Sabiedrības ar ierobežotu atbildību FIZIOFIT videonovērošanas datu aizsardzības noteikumi
Videonovērošanas datu aizsardzības noteikumi (turpmāk – noteikumi) nosaka videonovērošanas rezultātā iegūto datu apstrādi, lietošanu un aizsardzību, videonovērošanas tehnikas uzstādīšanas kārtību.
Noteikumi izstrādāti atbilstoši 2016.gada 27.aprīļa Eiropas Parlamenta un Padomes regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk - Datu Regula) prasībām un Latvijas Republikas tiesību aktos noteiktajām prasībām, Uzņēmuma personas datu apstrādes drošības politiku, informācijas sistēmas lietošanas noteikumiem un rīkojumiem, kas attiecas uz videonovērošanas sistēmu lietošanu, izmantošanu un drošību.
Videonovērošanas mērķis ir aizsargāt Uzņēmuma īpašumus, gādāt par apmeklētāju un darbinieku drošību, nodrošināt viņu vitāli svarīgu interešu aizsardzību, novērst iespējamos likumpārkāpumus, fiksēt noziedzīga nodarījuma izdarīšanas faktu, identificēt iespējamo likumpārkāpēju (nodrošinot pierādījumu tiesiskumu).
Datu subjektu kategorijas uz kuram attiecas noteikumi: personas, kas nokļūst videonovērošanas kameras uztveršanas zonā.
Personas datu veidi, kas tiek iegūti videonovērošanas laikā: personas attēls (izskats, uzvedība). Personas attēla ieraksta vieta (telpa, kameras atrašanās vieta). Personas attēla ieraksta laiks (datums, laiks, ieraksta sākums un beigas).
Iespējami personas datu saņēmēju kategorijas: pirmstiesas izmeklēšanas iestādes, operatīvās darbības subjekti, valsts drošības iestādes, prokuratūra (lai iegūtu pierādījumus krimināllietās), tiesas (lai iegūtu pierādījumus izskatāmajās lietās).
Noteikumi ir saistoši visiem videonovērošanas personas datu apstrādes lietotājiem. Noteikumi ir attiecināmi uz visiem personas datiem, kas tiek ierakstīti videonovērošanas kamerās (videoierakstā).
Videonovērošana un tās rezultātā iegūto personas datu apstrāde tiek veikta Sabiedrības ar ierobežotu atbildību Fiziofit (turpmāk – Uzņēmums), administratīvajā ēkā, palīgēkās un tās teritorijā, kas atrodas Muitas 3e Daugavpilī, LV-5401 (turpmāk tekstā – administratīvas ēkas).
1. Vispārīgie noteikumi
1.1. Veicot videonovērošanu administratīvajās ēkās, pie ieejas videonovērošanas zonā novieto īpašo brīdinājuma zīmi. Ja ēkā ir vairākas telpas vai teritorijā ir vairākas ierobežotas vietas, kur veic videonovērošanu, zīmi jānovieto pirms katras ieejas novērošanas zonās. Zīmei jābūt viegli pamanāmai un tekstam jābūt viegli salasāmam.
1.2. Zīmei jāsatur informācija par videonovērošanas un datu apstrādes mērķi, tiesisku pamatu, pārziņa kontaktinformācija, informācija par videoierakstu glabāšanas laiku, par datu subjekta tiesībām apskatīt, dzēst par viņu savākto informāciju. Zīmi noformē atbilstoši šo noteikumu 1.pielikumām.
1.3. Par videonovērošanas rezultātā iegūto personas datu aizsardzības drošību atbild Uzņēmuma valdes loceklis.
2. Informācijas klasifikācija un pilnvarotā lietotāja tiesību piešķiršana
2.1. Dati, kas tiek ierakstīti ar videonovērošanas kameru palīdzību, ir klasificējami kā ierobežotas pieejamības informācija, jo satur personu identificējošus datus. Tiesības piekļūt un veikt šo datu apstrādi ir tikai pilnvarotiem lietotājiem.
2.2. Pilnvaroto lietotāju, kuram atļauts veikt personas datu apstrādi, piekļūšanu videonovērošanas programmatūrai un tās veiktajiem ierakstiem, nozīmē Uzņēmuma valdes loceklis ar savu rīkojumu vai arī atrūna pilnvarotu darbinieku tiešus pienākumus, tiesības un atbildību katra šim darbam pilnvarota darbinieka amata aprakstā.
3. Pilnvarotā lietotāja pienākumi, tiesības un atbildība
3.1. Pilnvarotā lietotāja pienākums ir iepazīties ar šiem noteikumiem un ievērot tos ikdienas darbā.
3.2. Pilnvarotajām lietotājam ir tiesības:
3.2.1. izmantot lietošanā nodoto datortehniku, lai organizētu videoattēla ierakstīšanu;
3.2.2. pieprasīt atbalstu gadījumā, ja datoram vai tā programmatūrai ir radušies traucējumi vai arī lietotājam ir pietiekams pamats uzskatīt, ka ir iespējami draudi (apdraudējums);
3.2.3. izpaust videonovērošanas rezultātā iegūtos personas datus tikai tiesībaizsardzības iestādēm saskaņā ar viņu rakstisku pieprasījumu un pēc rakstiskās saskaņošanas ar Uzņēmuma valdes locekli. Gadījumos, kad ir nepieciešama personas datu izpaušana, pilnvarotājam lietotājam jānodrošina pierakstu esamība par to, kam (identificējot personu), kad, kādam mērķim un kādi dati ir izpausti. Gadījumā, ja uz tiesiska pamata ir izdoti videonovērošanas dati citai personai, par tālāku personas datu apstrādi un likumību atbild persona, kura datus saņēmusi.
3.3. Pilnvarotajām lietotājam aizliegts:
3.3.1. izpaust ziņas par Uzņēmuma videonovērošanas tīkla uzbūvi un konfigurāciju, kā arī atklāt ierobežotas pieejamības informāciju nepiederošām personām;
3.3.2. atļaut piekļūt videonovērošanas rezultātā iegūtajiem personas datiem (videoierakstiem) citām personām, ja tas nav saistīts ar tiešo darba pienākumu pildīšanu un ja šādu pilnvarojumu nav devis Uzņēmuma valdes loceklis;
3.3.3. aizliegts jebkādā veidā mainīt lietošanā saņemtās videonovērošanas tehnikas un programmatūras konfigurāciju, kā arī instalēt programmatūru;
3.3.4. kopēt personu datus saturošus failus uz ārējiem datu nesējiem (USB kartēm un / vai kompaktdiskiem), ja tas nav saistīts ar tiešo darba pienākumu pildīšanu un, ja šādu pilnvarojumu nav devis Uzņēmuma valdes loceklis.
3.4. Pilnvarotais lietotājs ir atbildīgs:
3.4.1. par videonovērošanas tehniku un datortehniku (videokamerām, serveri un citam iekārtām un ierīcēm, kas ir saistītas ar videonovērošanas veikšanu), kas nodota viņa rīcībā;
3.4.2. par fiziskās aizsardzības pasākumu nodrošināšanu (fiziskā aizsardzība – videonovērošanas tehnikas, datortehnikas aizsardzība pret fiziskas iedarbības rādītu informācijas sistēmas apdraudējumu (piemēram, ugunsgrēks, plūdi, sprieguma pazemināšanās vai pārspriegums enerģijas pievades tīklā, tehnisko resursu zādzība, ekspluatācijas noteikumiem neatbilstošs mitrums, gaisa temperatūra utt.);
3.4.3. par darbībām, kas tiek veiktas ar viņam nodoto videonovērošanas tehniku;
3.4.4. par videonovērošanas un datortehnikas izmantošanu atbilstoši ražotāja noteiktajām prasībām, lai nodrošinātu videonovērošanas sistēmas drošību un darbību;
3.4.5. par videonovērošanas tehnikas tehnisko stāvokli, nodrošinot ierakstu kvalitāti un nepieļaujot nevēlamus attēla/datu detaļu izkropļojumus ierakstīšanas procesā vai uzglabāšanas laikā.
3.4.6. par datu saglabāšanu, nepieļaujot to nelikumīgu apstrādi, personas datu nejaušu zaudēšanu, iznīcināšanu vai sabojāšanu;
3.4.7. par videonovērošanas tehnikas un datortehnikas atjaunošanu vai nomaiņu, ja tā ir bojāta.
3.5. Pilnvarota lietotāja pienākumi:
3.5.1. vienu reizi trijos mēnešos mainīt videonovērošanas tehnikas pieejas paroli, paredzot, ka parolē jābūt vismaz 8 zīmēm, no kurām vismaz viens lielais burts, divi cipari, viens simbols. Gadījumā, ja trešajai personai kļuvis zināms pieejas kods, tas jānomaina nekavējoties, un par šo faktu jāziņo Uzņēmuma valdes loceklim;
3.5.2. nekavējoties ziņot Uzņēmuma valdes loceklim par visām avārijas situācijām (t.sk. ugunsgrēku, nelaimes gadījumiem utt.);
3.5.3. ziņot valdes loceklim par gadījumiem, kad trešajai personai nesankcionēti kļuva pieejami videonovērošanas ieraksti un/vai notika informācijas noplūde, kā arī par citiem personu datu aizsardzības pārkāpumiem;
3.5.4. veikt uzskaiti par personām, kuras tiek iesaistītas personas datu apstrādē;
3.5.5. nodrošināt, ka videoieraksti fiziski atrodas drošajā vietā (atsevišķajā slēdzamajā telpā vai slēdzamā skapī, kurš nevar būt viegli atvērts, pārvietots utt.);
3.5.6. nodrošināt, ka nepilnvarotās personas videoierakstiem nevar piekļūt;
3.5.7. saglabāt informācijas konfidencialitāti arī pēc darba tiesisko attiecību izbeigšanas.
4. Videonovērošanas tehnikas uzstādīšana, programmas lietošana,
informācijas saglabāšana, drošība un izsniegšanas kārtība
4.1. Videonovērošanas tehnikas un tās programmatūras uzstādīšanu un administrēšanu nodrošina uzņēmums/firma, ar kuru Uzņēmumam ir noslēgts līgums. Uzņēmumam, kurš uzstāda programmatūru un pēc pieprasījuma veic tā administrēšanu, jāapliecina, ka viņi neveic nesankcionētu piekļūšanu ierakstiem un videonovērošanas datiem.
4.2. Uzstādot videonovērošanas kameras, jāizvēlas tāds kameru izvietojums, lai tās būtu drošībā no neatļautas piekļuves un aizsargātu tās no bojājumiem.
4.3. Videonovērošanas rezultātā iegūtās informācijas glabāšanas ilgums tiek noteikts, trīsdesmit dienu laikā. Pēc šī termiņa beigām lietotājs nodrošina pilnīgu datu dzēšanu, ja dati iepriekš nav pieprasīti vai nav konstatēti noziedzīgi nodarījumi. Šajos gadījumos datus pēc iespējas īsākā laikā, bet ne vēlāk, ka viena mēneša laikā, no konstatēta noziedzīga nodarījuma, nodot tiesībsargājošajās iestādēs tiesiska mērķa sasniegšanai – savu tiesisko interešu aizsardzībai valsts un pašvaldību institūcijās. Gadījumā, ja dati netiek izmantoti tiesiskā mērķa sasniegšanai – tos jādzēš.
4.4. Par katru nelikumīgu piekļuvi videonovērošanas tehnikai (kamerām) un/vai ierakstu datiem nekavējoties jāziņo Uzņēmuma valdes loceklim. Nelikumīgās piekļuves faktu jādokumentē.
4.5. Videonovērošanas datu rezerves kopiju veikšana nav obligāta. Lēmumu par nepieciešamību nodrošināt rezerves kopijas pieņem Uzņēmuma valdes loceklis.
4.6. Videonovērošanas datu rezerves kopijām, ja tas tiek veiktas, jānodrošina tāds pats drošības un aizsardzības līmenis kā pašai videonovērošanas sistēmai atbilstoši šiem noteikumiem.
4.7. Jebkāda veida videonovērošanas sistēmas ieraksta iekārtā esošo personas datu (ierakstu) izpaušana, manuālā dzēšana, kopēšana vai nodošana tiesībsargājošām iestādēm un citām iestādēm vai personām, kurām ar likumu ir tiesības saņemt informāciju konkrētos apstākļos, notiek tikai pēc rakstiska pieprasījuma, kuram ir jābūt pamatotam saskaņā ar Datu Regulas un citu normatīvo aktu noteikumiem.
4.8. Par pieprasītiem un izsniedzamiem personas datiem (ierakstiem) atbildīgas personas sagatavo dienesta ziņojumu, tajā norādot kad, kam (identificējot personu), kādam mērķim, uz kāda pamata (dokumenta (pieprasījuma) reģistrācijas numurs un datums, kā arī tiesiskais pamatojums), tiks nodota informācija, par kādu laika periodu (datums, laika/ stundu/ minušu posms) notiks esošo datu (ierakstu) kopēšana uz citiem datu nesējiem, uz kādiem datu nesējiem.
4.9. Šie dienesta ziņojumi tiek uzglabāti uzņēmuma ienākošo dokumentu lietvedībā un ir pieejamās atbildīgajām personām, un pēc pieprasījuma arī kompetentām tiesībsargājošām un citām valsts iestādēm normatīvajos aktos noteiktajos gadījumos un kārtībā.
4.10. Videoieraksta dzēšanu, kopēšanu vai nodošanu trešajām personām veic pilnvarotājs lietotājs pēc Uzņēmuma valdes locekļa rīkojuma.
4.11. Pilnvarotājs lietotājs, kurš veic videoieraksta, attēlu kopēšanu vai nodošanu trešajām personām pārliecinās, ka pēc pamatota rakstiska pieprasījuma tiek izsniegta tikai tā ieraksta daļa, kas attiecas uz pieprasījumā norādīto datumu, laiku, apstākļiem un/vai personu.
4.12. Katrai fiziskai personai atbilstoši Datu Regulai ir tiesības pieprasīt informāciju un ierakstu kopijas par sevi. Pirms informācijas izsniegšanas, jāsaņem no personas rakstisks pieprasījums, jāidentificē personu (piemēram, palūgt iesniegt savu fotogrāfiju – lai salīdzinātu ar ierakstiem; jāpārbauda šis personas identitāti – palūgt uzrādīt personas apliecinošu dokumentu, jāpieprasa konkretizēt dienu un laiku (laika posmu), pirms ierakstu izsniegšanas jāpārliecinās, ka uz ieraksta nav saskatāma cita persona, ja tā ir saskatāmā, jāizvērtē vai ir iespējams izsniegt ierakstu vai tomēr pirms izsniegšanas jāveic šo personu sejas aizklāšanu vai piemēram, padarīt trešo personu attēli miglaini).
4.13. Aizliegts nodot trešajām personām tehniskos resursus (videonovērošanas tehniku, datortehniku), ja tie satur personas datus. Šis aizliegums jāievēro arī gadījumos, kad tehnika tiek nodota utilizācijai.
4.14. Attālināta piekļuve videonovērošanas ierakstiem caur internetu (ja tāda ir pamatoti nepieciešamā) jābūt aizsargātai ar lokālā tīkla maršrutētāju, kam ir ugunsmūra (ugunsmūris - programmatūras un aparatūras komplekss, kas savieno lokālo tīklu ar ārējiem tīkliem, nodrošinot lokālajā tīklā savienoto informācijas sistēmu aizsardzību) funkcija.
4.15. Incidentu gadījumā Uzņēmuma pilnvarotājam lietotajam savu iespēju un pilnvaru ietvaros ir pienākums nodrošināt tehnisko un informācijas resursu (videonovērošanas tehnikas, datortehnikas, ierakstu) drošību, kā arī veikt visas nepieciešamas darbības drošības apdraudējuma novēršanai.
4.16. Pilnvarotājs lietotājs iespēju robežās nodrošina tehnisko resursu aizsardzību pret dabas stihijām, ugunsgrēka, plūdiem u.tml.
4.17. Ārkārtas apstākļu gadījumā datortehnikas un videonovērošanas tehnikas (turpmāk– tehniskie resursi) aizsardzība notiek saskaņā ar telpu ugunsdrošības noteikumiem. Iespēju gadījumā tehniskie resursi, uz kuriem glabā personas datus, jānogādā drošā vietā.
4.18. Ārkārtas apstākļu gadījumā informācijas resursu atjaunošanai izmanto līdzīgus tehniskos resursus un, ja nepieciešams izmanto arī rezerves kopiju pierakstus.
5. Līdzekļi ar kādiem tiek nodrošināti tehnisko resursu aizsardzība pret tīšu bojāšanu un neatļautu iegūšanu
5.1. Lai nodrošinātos pret nesankcionētu piekļuvi, tehniskus resursus (datorus, serverus) novieto atsevišķā slēdzamā telpā, kurai var piekļūt tikai atbildīgas personas, šim darbam pilnvaroti darbinieki.
5.2. Tehniskie resursi tiek saglabāti, nodrošinot telpu aizslēgšanu pēc darba laika beigām vai visa darba laika garumā, ja telpā nepaliek neviens no pilnvarotajiem darbiniekiem/lietotājiem.
5.3. Telpās, kurās tiek veikta personas datu apstrāde (atrodas serveris vai dators, kurā glabājas ieraksts) nevar piekļūt nepiederošas personas.
5.4. Ja rodas aizdomas par noziedzīgu nodarījumu (tehnisko resursu zādzību, tīšo bojāšanu), atbildīgas personas pēc saskaņošanas ar Uzņēmuma valdes locekli pieņem lēmumu par ziņošanu Valsts vai pašvaldības policijai.
5.5. Ja rodas aizdomas par personas datu nesankcionētu noplūdi (pazuda vai tika iznīcināti videonovērošanas ieraksti ar personas datiem utt.), par to nekavējoties jāinformē Uzņēmuma valdes locekli.
5.6. Gadījumā, ja izvērtējot personas datu aizsardzības pārkāpumu, tika secināts, ka šis pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām, Uzņēmumam ir pienākums 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņot par to uzraudzības iestādei.
5.7. Tehnisko resursu drošības incidentu gadījumā tiek veikta iekšēja pārbaude un nepieciešamības gadījumā tiek ieviesti citi drošības pasākumi.
6. Noslēguma jautājumi
6.1. Papildu prasības pilnvarotājiem lietotajiem var noteikt ar atsevišķu rīkojumu, amata aprakstā vai citā dokumentā.
6.2. Pilnvarotā lietotāja, kam piešķirta attiecīga piekļuve informācijas un tehniskajiem resursiem, prombūtnē Uzņēmuma valdes loceklis, vai viņa pilnvarota persona ar rīkojumu ieceļ vietnieku prombūtnē esošas personas pienākumu pildīšanai.
6.3. Pilnvarotie lietotāji iepazīstinās ar šiem noteikumiem, un atbild par šo noteikumu ievērošanu un izskaidrošanu darbiniekiem, kuri viņus aizvietos.
6.4. Par noteikumu neievērošanu un/ vai pārkāpšanu, darbiniekam var tikt izteikta rakstveida piezīme vai rājiens, minot tos apstākļus, kas norāda uz pārkāpuma izdarīšanu.
6.5. Noteikumos paredzētās drošības prasības tiek pārskatītas pēc nepieciešamības, tai skaitā arī, ja ir notikušas izmaiņas spēkā esošajos normatīvajos aktos.
6.6. Noteikumi ir uzskatāmi par ierobežotas pieejamības informāciju. Paredzēti izmantošanai tikai Uzņēmuma, to struktūrvienību/iecirkņu/nodaļu ietvaros un to izpaušana citām trešajām personām ir atļaujama tikai ar Uzņēmuma valdes locekļa atļauju, kad to pieprasa valsts vai tiesībsargājošas iestādes.
