Personas datu aizsardzības politika

Šis dokuments atbilst Regulas (ES) 2016/679 (Vispārīgā datu aizsardzības regula, GDPR) noteikumiem.

Šis dokuments nosaka politikas un procedūras SIA "TH Askona" - saskaņā ar Latvijas tiesību aktiem dibināts un pastāvošs uzņēmums ar reģistrācijas numuru 40203239369 un juridiskās adreses adresi: Rīga, Krasta iela 68a, LV-1019, Latvija (turpmāk tekstā). kā “Uzņēmumam”), ko Uzņēmums ievēros, rīkojoties ar personas datiem.

Atkarība no personas datiem normālai uzņēmējdarbības veikšanai rada nepieciešamību izveidot šo politiku, lai noteiktu personas datu aizsardzības procedūras un pasākumus.

Šī politika nosaka noteikumus, procedūras un pasākumus, lai vāktu, izmantotu un uzglabātu personas datus saskaņā ar GDPR un kontrolētu un novērstu nesankcionētu piekļuvi personas datiem. Datu drošības pārkāpums var izraisīt regulējošos naudas sodus, nespēju sniegt pakalpojumus, klientu uzticības zudumu, fizisku, finansiālu un emocionālu kaitējumu skartajām personām.

Šo politiku un tās papildinājumus nosaka izpilddirektora apstiprināšanas rīkojums, un tos var rediģēt, mainīt vai pārtraukt tādā pašā veidā.

Tāpēc šajā politikā tiek apspriests:

• Datu kategorijas

• Datu klasifikācija

• Datu vākšana/ģenerēšana

• Datu lietojums

• Datu glabāšana

• Datu iznīcināšana

• Datu pārsūtīšana

• Datu drošība

Šī politika nosaka vispārējos datu aizsardzības mērķus un procedūras, kuras mēs apstiprinām.

Tas ietver datu aizsardzības principus, kas aprakstīti VDAR 5. pantā, proti:

• Likumīgums, godīgums un caurspīdīgums,

• Mērķa ierobežojums,

• datu minimizēšana,

• Precizitāte,

• Uzglabāšanas ierobežojums,

• Integritāte un konfidencialitāte

Ko mēs saprotam ar “personas datiem”?

Personas dati ir jebkura informācija, kas attiecas uz identificējamu personu, kuru var tieši vai netieši identificēt ar datiem.

Personas identifikatori ietver vārdus, identifikācijas numurus, atrašanās vietas datus vai tiešsaistes identifikatorus, piemēram, IP adreses. Tas attiecas uz automatizētiem personas datiem, kā arī manuālām reģistrēšanas sistēmām, kurās personas dati ir pieejami saskaņā ar noteiktiem kritērijiem; tas varētu ietvert hronoloģiski sakārtotas manuālu ierakstu kopas, kas satur personas datus.

Personas dati, kas ir šifrēti vai pseidonimizēti, piemēram, izmantojot atslēgu kodus, arī ietilps GDPR aizsardzības jomā atkarībā no tā, cik grūti ir attiecināt pseidonīmu konkrētai personai.

Politikas pārkāpums un tā sekas

Šīs politikas pārkāpums var radīt nopietnas sekas Uzņēmumam, tā spējai sniegt pakalpojumus vai saglabāt pakalpojumu integritāti, konfidencialitāti vai pieejamību.

Apzināta datu ļaunprātīga izmantošana, kuras rezultātā tiek pārkāpta jebkura šīs politikas daļa, tiks piemērota disciplināratbildībai pēc Uzņēmuma augstākās vadības ieskatiem. Jebkura darbinieka nopietni, tīši vai atkārtoti politikas pārkāpumi var tikt uzskatīti par iemeslu tūlītējai atlaišanai vai uzņēmuma pārdevēja gadījumā līgumā paredzēto pakalpojumu pārtraukšanai. Visiem darbiniekiem un pārdevējiem ir jāievēro šīs politikas, un viņi ir atbildīgi par to stingru izpildi.

Politikas darbības joma

Šis dokuments ir daļa no mūsu nodarbinātības nosacījumiem attiecībā uz darbiniekiem, līgumiem par pārdevējiem, piegādātājiem un trešās puses apstrādātājiem vai aģentiem, kas turpmāk saukti par “pārdevējiem”. Visām pusēm ir pilnībā jāizlasa šī politika un jāapstiprina, ka tās saprot politikas saturu un piekrīt to ievērot.

Šī politika attiecas uz visiem Uzņēmuma un klientu datu aktīviem, kas pastāv jebkurā Uzņēmuma apstrādes vidē, jebkurā datu nesējā jebkurā tā dzīves cikla daļā. Šī politika attiecas uz šādām personām vai lietotājiem: Uzņēmuma pilnas vai nepilnas slodzes darbinieki, kuriem ir piekļuve Uzņēmuma vai klientu datiem, ar uzņēmumu saistītās struktūras, kurām ir piekļuve Uzņēmuma vai klientu datiem, pārdevēji, kuriem ir piekļuve Uzņēmuma vai klienta dati.

Datu dzīves cikls

Datu drošību var saprast, izmantojot datu dzīves ciklu. Tipisks datu dzīves cikls ir vākšana/ģenerēšana, izmantošana, uzglabāšana un iznīcināšana. Nākamajās sadaļās ir sniegti norādījumi par šīs politikas piemērošanu dažādās datu dzīves cikla fāzēs.

Datu līdzekļu lietotāji ir personīgi atbildīgi par šīs politikas ievērošanu. Visi lietotāji būs atbildīgi par tās informācijas precizitāti, integritāti un konfidencialitāti, kurai viņiem ir piekļuve. Datus drīkst izmantot tikai saskaņā ar šo politiku.

Paziņojums par datu aizsardzības politiku

Mērķi

Šī politika ir izstrādāta, paturot prātā šādus mērķus:

• Nodrošināt visu uzņēmuma un klientu datu drošības integritāti un pieejamību

• Izveidot uzņēmuma bāzes datu drošības nostāju un klasifikācijas shēmu

• ka tai jāļauj saviem lietotājiem izpildīt prasības attiecībā uz personas informācijas pārvaldību

• ka tai būtu jāatbalsta organizatoriskie mērķi un pienākumi

• ka tai būtu jāievieš kontrole atbilstoši pieņemamam riska līmenim;

• ka tai jānodrošina, ka uzņēmums pilda piemērojamos likumā noteiktos, reglamentējošos, līgumiskos un/vai profesionālos pienākumus;

• ka tai jāaizsargā personu un citu galveno ieinteresēto personu intereses

Apstrādes vide

Uzņēmuma apstrādes vide, uz kuru attiecas šī politika, sastāv no:

• Sistēmas – Sistēma ir datoru aparatūras (piem., apakštīklu lietojumprogrammu serveru, failu serveru, darbstaciju datu utt.) un lietojumprogrammatūras kopums, kas konfigurēts, lai apstrādātu pārsūtīšanas un saņemšanas datu uzglabāšanas apstrādi, ko izmanto ražošanas vai atbalsta vidē. lai atbalstītu konkrētas lietojumprogrammas un biznesa organizācijas to uzdevumu un biznesa procesu izpildē.
• Lietojumprogrammas– Lietojumprogrammatūra ir sistēmas vai tīkla līmeņa rutīnas un programmas, ko izstrādājuši (un priekš) sistēmas lietotāji un klienti. Tā atbalsta konkrētus uz biznesu orientētu procesu darbus vai funkcijas. Tas var būt vispārīgs vai īpaši pielāgots vienai vai ierobežotam funkciju skaitam.
• Tīkli– Tīkls ir definēts kā divas vai vairākas sistēmas, kas savienotas ar sakaru līdzekli. Tajā ir iekļauti visi elementi (piemēram, maršrutētāji, slēdži, tilti, centrmezgli, serveri, ugunsmūri, kontrolleri un citas ierīces), kas tiek izmantoti informācijas pārsūtīšanai starp sistēmām.
• Mobilās lietotnes– Mobilā lietojumprogramma, ko visbiežāk dēvē par lietotni, ir lietojumprogrammatūras veids, kas paredzēts darbam mobilajā ierīcē, piemēram, viedtālrunī vai planšetdatorā. Mobilās lietojumprogrammas bieži kalpo, lai sniegtu lietotājiem līdzīgus pakalpojumus tiem, kuriem tiek piekļūts personālajos datoros.

Datu aizsardzības pienākumi

IT un sistēmu administrēšanas nodaļa ir atbildīga par:

• Drošības prasību kontroles un mehānisma noteikšana

• Visu datu aktīvu identificēšanai un klasificēšanai izmantoto metožu un vadlīniju noteikšana

• Procedūru noteikšana datu īpašnieku identificēšanai visiem datu aktīviem

• Marķēšanas prasību noteikšana visiem datu līdzekļiem

• Datu izmantošanas apstrādes, pārraides uzglabāšanas un iznīcināšanas procedūru noteikšana

• Nepieciešamo procedūru noteikšana, lai nodrošinātu atbilstību šai politikai

• Jaunu normatīvo prasību un labākās prakses novērtēšanas veicināšana

Vadības pienākumi

Arī citiem uzņēmuma departamentiem ir dažādi pienākumi, lai nodrošinātu atbilstību šai politikai, piemēram:

• Visām personām departamentā ir jānodrošina, ka darbinieki ievēro šo politiku.

• IT un sistēmu administrācijai ir jānodrošina, lai par visiem datiem tiktu saglabāti atbilstoši žurnāli un audita pēdas.

• IT un sistēmu administrācijai ir jānodrošina visu drošības mehānismu aktivizēšana.

• Juridiskā nodaļa ir atbildīga par biznesa prasību un biznesa procesu jautājumu un tajos iekļauto datu paziņošanu, lai nodrošinātu to pareizu datu klasifikāciju.

• IT un sistēmu administrācija ir atbildīga par datu klasifikācijas shēmas regulāru novērtēšanu konsekventai lietošanai un lietošanai.

Citi pienākumi

Citu departamentu un saistīto struktūru pienākums ir ievērot šo politiku, piemēram:

Visiem uzņēmuma aģentiem, pārdevējiem, satura nodrošinātājiem un trešo pušu nodrošinātājiem, kas apstrādā klientu datus, ir jābūt dokumentētai datu aizsardzības politikai, kas skaidri identificē šos datus un citus resursus, kā arī kontroles, kas tiem tiek uzliktas.

Visiem Uzņēmuma aģentiem, pārdevējiem, satura nodrošinātājiem un trešo pušu nodrošinātājiem, kas piekļūst Uzņēmuma apstrādes videi un tās datiem vai nodrošina tai saturu, ir jābūt drošības politikai, kas atbilst un nav pretrunā ar Uzņēmuma datu aizsardzības politiku.

Visiem aģentiem, pārdevējiem, satura nodrošinātājiem un trešo pušu nodrošinātājiem ir jāpiekrīt neapiet nevienam no mūsu drošības prasībām.

Datu klasifikācija

Datu klasifikācija ir nepieciešama, lai varētu piešķirt resursus datu aktīvu aizsardzībai, kā arī noteikt iespējamos zaudējumus vai bojājumus datu sabojāšanas, nozaudēšanas vai izpaušanas rezultātā.

Lai nodrošinātu visu datu drošību un integritāti, noklusējuma klasifikācijai visiem datiem, kurus nav klasificējis to īpašnieks, ir jābūt uzņēmuma datiem.

Par datu klasifikāciju ir atbildīga IT un sistēmu administrācija.

IT un sistēmu administrācija ir atbildīga par datu klasifikācijas shēmas novērtēšanu un saskaņošanu ar jauniem datu tipiem, kad tie tiek lietoti. Uzsākot jaunus biznesa centienus, var būt nepieciešams izstrādāt papildu datu klasifikācijas.

Visiem apstrādes vidē atrastajiem datiem ir jāiekļaujas vienā no šīm kategorijām:

Publisko uzņēmumu dati– Publiski uzņēmuma dati ir definēti kā dati, kuriem var piekļūt jebkura uzņēmuma iekšēja vai ārēja entītija. Publisku uzņēmumu datu izpaušanai, izmantošanai vai iznīcināšanai būs ierobežota vai nekādas negatīvas ietekmes uz uzņēmumu, kā arī nebūs nekādu būtisku atbildību. (Publisko uzņēmumu datu piemēri ietver viegli pieejamas ziņas, akciju cenas vai sporta informāciju.)

Privātā uzņēmuma dati – Privāta uzņēmuma dati ir definēti kā dati, kuriem nevar piekļūt neviena uzņēmuma iekšēja vai ārēja vienība. Privātā uzņēmuma datu izpaušana, izmantošana vai iznīcināšana negatīvi ietekmēs uzņēmumu un var uzlikt ievērojamu atbildību. (Privāta uzņēmuma datu piemēri ietver darbinieku sarakstus, personāla struktūru, apmeklētāju un pārdevēju sarakstus.)

Publiski klientu dati – Publiskie klientu dati ir definēti kā dati par personu, kuriem var piekļūt jebkura organizācija. Publisko klientu datu izpaušanai, izmantošanai vai iznīcināšanai būs ierobežota vai nekādas negatīvas ietekmes uz uzņēmumu, kā arī nebūs nekādu būtisku atbildību. (Publisko klientu datu piemēri ietver jaunumus, pašu publicētus datus vai plaši zināmu informāciju.)

Privātie klienta dati – Privātie Klienta dati ir definēti kā dati par personu, kam nevar piekļūt neviena vienība. Privāto klientu datu izpaušanai, izmantošanai vai iznīcināšanai būs visnelabvēlīgākā ietekme uz uzņēmumu un var tikt uzlikta ļoti nozīmīga atbildība. (Privāto klientu datu piemēri ietver personu apliecinošus dokumentus, medicīniskos datus vai ģimenes sastāvu.)

Pēc noklusējuma visi vēl neklasificētie dati tiks skatīti kā privātā uzņēmuma dati.

Datu vākšana/ģenerēšana

Dati tiks vākti saskaņā ar GDPR 13. un 14. pantu, apstiprinot caurskatāmības principu un nodrošinot datu aizsardzības principu pienācīgu ievērošanu.

Datus var vākt šādos veidos: Dati, kas iegūti līgumu starp pārdevējiem un Uzņēmumu rezultātā, dati, kas iegūti līgumu starp darbiniekiem un uzņēmumu rezultātā, dati, kas iegūti līgumu starp klientiem un uzņēmumu rezultātā.

Katram datu vākšanas veidam ir jābūt noteiktam mērķim kopā ar vienu vai vairākiem juridiskajiem pamatiem, kā noteikts GDPR.

Datu lietojums

Visiem lietotājiem, kuri piekļūst Uzņēmuma vai klienta datiem izmantošanai, tas jādara tikai saskaņā ar šo politiku. Unikāli identificētiem, autentificētiem un autorizētiem lietotājiem drīkst piekļūt tikai datiem un tos izmantot.

Dati jāizmanto tikai norādītajam to vākšanas vai ģenerēšanas mērķim. Jebkurš mērķis ārpus definētās jomas tiks uzskatīts par “datu ļaunprātīgu izmantošanu” un radīs sekas iesaistītajām pusēm.

Katram lietotājam ir jānodrošina, ka uzņēmuma datu līdzekļi, kas ir viņa vadībā vai kontrolē, ir pareizi marķēti un aizsargāti atbilstoši to jutīgumam, īpašumtiesībām un kritiskumam.

Jāizmanto arī piekļuves kontroles mehānismi, lai nodrošinātu, ka tikai pilnvaroti lietotāji var piekļūt datiem, kuriem viņiem ir piešķirtas nepārprotamas piekļuves tiesības.

Datu glabāšana

Datu uzglabāšanas perioda vispārīgais priekšnoteikums ir:

• uz laiku, kas nepieciešams šī mērķa sasniegšanai.

• līdz datu subjekts nav iesniedzis pamatotu pieprasījumu dzēst savus datus

Visiem lietotājiem, kuri ir atbildīgi par Uzņēmuma vai klientu datu drošu glabāšanu, tas jādara tikai saskaņā ar šo politiku.

Ja nepieciešams, saglabātie dati ir jāaizsargā ar šifrēšanu. Tas var ietvert konfidencialitātes un/vai integritātes mehānismu izmantošanu.

Jāizmanto arī piekļuves kontroles mehānismi, lai nodrošinātu, ka tikai pilnvaroti lietotāji var piekļūt datiem, kuriem viņiem ir piešķirtas nepārprotamas piekļuves tiesības.

Datu pārraide

Visiem lietotājiem, kuri piekļūst Uzņēmuma vai klienta datiem, lai nodrošinātu to pārsūtīšanu, tas jādara tikai saskaņā ar šo politiku.

Ja nepieciešams, pārsūtītie dati ir jāaizsargā ar šifrēšanu. Tas var ietvert konfidencialitātes un/vai integritātes mehānismu izmantošanu. Konkrēti kriptogrāfijas mehānismi ir norādīti Uzņēmuma informācijas drošības politikā.

Datu izplatīšanai izmantotie plašsaziņas līdzekļi ir jāklasificē, lai tos varētu identificēt kā konfidenciālus, un, ja datu nesējs tiek nosūtīts, izmantojot kurjeru vai citas piegādes metodes, tie ir precīzi jāseko līdzi.

Datus nevar izplatīt nevienā datu nesējā no drošas zonas bez atbilstošas ​​vadības apstiprinājuma.

Datu iznīcināšana

IT un sistēmu administrācijai ir jāizstrādā un jāievieš procedūras, lai nodrošinātu dažādu veidu datu pareizu iznīcināšanu. Šīm procedūrām jābūt pieejamām visiem lietotājiem, kuriem ir piekļuve datiem, kuriem nepieciešama īpaša iznīcināšanas tehnika.

Dati jāiznīcina drošā veidā, lai tie tiktu pilnībā iznīcināti un no atkritumiem nevarētu iegūt informāciju.

• Elektroniskajiem datiem dzēšanas process tiks veikts ar elektronisku smalcināšanu.

• Papīra ierakstiem tiks izmantoti fiziski papīra smalcinātāji.

• Visas digitālās atmiņas ierīces, t.i., cietie diski vai zibatmiņas diski, tiks pilnībā iznīcinātas, lai no tām nevarētu atgūt datus.

Politikas apskats.Juridiskā nodaļa ir atbildīga par šīs politikas regulāru pārskatīšanu. Šī politika tiks pārskatīta katru gadu. I.T un sistēmu administrācija, Juridiskā nodaļa ir jāiekļauj vismaz šīs politikas ikgadējā pārskatā.

Pēdējo reizi atjaunināts: 2021-10-06