Privātuma politika
SIA “Kuldīgas komunālie pakalpojumi” personas datu apstrādes privātuma politika (2025.gada redakcija)
1. Vispārīgie noteikumi
1.1.Noteikumi nosaka personas datu apstrādes kārtību SIA “Kuldīgas komunālie pakalpojumi”, lai nodrošinātu vienotu, godprātīgu un likumīgu fizisko personu datu apstrādi, kā arī sniegtu informāciju fiziskām personām par personas datu apstrādi.
1.2.Noteikumi ir saistoši SIA “Kuldīgas komunālie pakalpojumi” darbiniekiem, kas veic personas datu apstrādi.
1.3.Šos noteikumus publicē SIA “Kuldīgas komunālie pakalpojumi” iestāžu tīmekļvietnēs.
1.4.Šo noteikumu pārkāpšana vai neievērošana tiek uzskatīta par būtisku darba līguma un darba kārtības noteikumu pārkāpumu un var būt par pamatu darba tiesisko vai citu civiltiesisko attiecību pārtraukšanai. Par neatļautu personas datu un it īpaši - sensitīvo (īpašo kategoriju personas datu) prettiesisku apstrādi SIA “Kuldīgas komunālie pakalpojumi” darbinieki, saucami pie disciplinārās, civiltiesiskās, administratīvās vai kriminālās atbildības.
1.5.Ja datu subjekti izvirza pretenzijas pret SIA “Kuldīgas komunālie pakalpojumi”, tad gadījumos ja viņu privātuma pārkāpumu izdarīšanā vainojams darbinieks, SIA “Kuldīgas komunālie pakalpojumi” ir tiesības celt prasību vaininieku, kā arī pieprasīt apmaksāt radītos zaudējums.
1.6.SIA “Kuldīgas komunālie pakalpojumi” neveic automatizētu lēmumu pieņemšanu personas datu apstrādei.
2. Definīcijas
2.1. Personas dati - jebkura informācija, kas attiecas uz identificētu vai identificējamu datu subjektu, tai skaitā objektīvā informācija (piemēram, personas vārds, uzvārds, dzimšanas datums, personas kods, adrese), kā arī jebkāda saglabāta informācija, t.i., gan rakstiski papīra formātā, gan elektroniskā formātā, gan audio un videoierakstos.
2.2. Īpašo personas datu kategorijas personas dati - personas dati, kas atklāj rasi vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī, ģenētiskie dati, biometriskie dati, lai veiktu fiziskas personas unikālu identifikāciju, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju.
2.3. Personas datu apstrāde - jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu. Noteikumi tiek piemēroti jebkāda veida personas datu apstrādei – manuālai un datorizētai.
2.4.Datu subjekts - fiziskā persona, t.sk., darbinieks, pilnvarotā persona un jebkura cita identificēta, vai identificējama persona, kuras datus apstrādā SIA “Kuldīgas komunālie pakalpojumi”.
2.5.Pārzinis – SIA “Kuldīgas komunālie pakalpojumi” reģistrācijas numurs – 56103000221, juridiskā adrese – Liepājas iela 37, Kuldīga, LV-3301, Latvija, e-pasts kkp@kuldiga.lv , kas veic personas datu apstrādi, nodrošina datu drošību un aizsardzību, kā arī sniedz informāciju fiziskām personām par datu apstrādi.
2.6.Pārziņa darbinieki – SIA “Kuldīgas komunālie pakalpojumi”.
2.7. Datu aizsardzības pārkāpums - drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.
2.8. Par tehniskajiem resursiem atbildīgā persona – ar rīkojumu noteikta atbildīgā persona, kurai uzdota atbildība par informācijas tehnoloģiju resursiem un to drošību, kā arī par IT drošības politikas, drošības iekšējo noteikumu, drošības riska pārvaldības un sistēmas darbības atjaunošanas plāna izstrādi un aktualizēšanu, kā arī to izpildes kontroli.
2.9. Datu aizsardzības speciālists (turpmāk – DAS) - persona, kas uz civiltiesiska līguma pamata pilda pašvaldības datu aizsardzības speciālista uzdevumus, kam ir nepieciešamās zināšanas un kompetences, kas ir sasniedzama, izmantojot e-pastu das@dsa.lv, ar norādi “Personas datu aizsardzības speciālistam”. DAS kontrolē personas datu apstrādes atbilstību datu apstrādes mērķim, datu apstrādes tiesisko pamatu, apstrādes samērīgumu un apstrādes līdzekļu atbilstību, veic datu apstrādes operāciju kontroli un pārliecinās par to pamatotību, veic lietotāju apmācību un sniedz atbildes datu subjektiem.
2.10. Atbildīgā persona - ar rīkojumu noteikta atbildīgā persona, kura koordinē attiecības starp datu aizsardzības speciālistu un SIA “Kuldīgas komunālie pakalpojumi”, kā arī uzrauga šajā jomā noslēgtā līguma saistību izpildi.
2.11. Regula - Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46EK (Vispārīgā datu aizsardzības regula (publicēta: https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX%3A32016R0679).
3. Personas datu apstrādes tiesiskais pamats
3.1.Pārzinis apstrādā personas datus tikai konkrētiem un nepieciešamiem nolūkiem, balstoties uz noteiktiem tiesiskiem pamatiem tā, lai spētu izpildīt likumā “Par pašvaldībām” noteiktās autonomās funkcijas un uzdevumus, kā arī brīvprātīgi uzņemtās funkcijas un valsts pārvaldes deleģētos uzdevumus. Jebkurā gadījumā SIA “Kuldīgas komunālie pakalpojumi” apstrādā personas datus tikai ciktāl to pieļauj konkrētais apstrādes mērķis.
3.2. Pārzinis apstrādā personas datus:
3.2.1. lai izpildītu uz SIA “Kuldīgas komunālie pakalpojumi” attiecināmu juridisku pienākumu, piemēram, gādāt par komunālo pakalpojumu sniegšana iedzīvotājiem, uzņēmumiem, organizācijām un iestādēm, kā arī dzīvojamo un nedzīvojamo ēku apsaimniekošana Kuldīgā un Kuldīgas novada pagastos;
3.2.2. līguma izpildei vai pasākuma veikšanai pirms līguma noslēgšanas ar personu, piemēram, organizējot darbinieku atlasi, noslēdzot darba līgumu, izīrējot nekustamo īpašumu, u.c.
3.2.3. izpildītu uzdevumu sabiedrības interesēs, vai īstenojot pašvaldībai likumīgi piešķirtas pilnvaras, piemēram, publiska pasākuma laikā organizēt filmēšanu vai fotografēšanu, u.c.;
3.2.4. veiktu telefona sarunu audioierakstu Pārziņa pakalpojumu kvalitātes kontrolei;
3.2.5. veiktu videonovērošanu sabiedriskās kārtības un drošības nodrošināšanai, izvietojot atbilstošas brīdinājuma zīmes;
3.2.6. SIA “Kuldīgas komunālie pakalpojumi” organizēto pasākumu norišu dokumentēšanai, t.sk., fotografēšanai un filmēšanai pašvaldības noteiktā kārtībā.
3.3. Normatīvajos aktos neparedzētos gadījumos datu apstrādi var veikt tikai ar personas piekrišanu.
3.4. Ja pārziņa darbiniekam rodas šaubas par personas datu apstrādes atbilstību (pamatojumu, mērķi un apjomu. utt.), kā arī personas datu izpaušanas likumību vai citiem jautājumiem, kas attiecas uz personas datu apstrādi, viņš par to ziņo savam tiešam vadītājam, kurš neskaidrību gadījumā vēršas pie DAS.
4. Datu iegūšana
4.1. Pārzinis personas datus iegūst:
4.1.1. no datu subjekta vai datu subjekta likumiskā pārstāvja, piemēram, saņemot SIA “Kuldīgas komunālie pakalpojumi” adresētu iesniegumu;
4.1.2. no valsts informācijas sistēmām, lai nodrošinātu pašvaldībai noteikto funkciju izpildi (ja informācija nepieciešama un pieejama saskaņā ar normatīvajiem aktiem);
4.1.3. no trešajām personām, ja informācijas apmaiņa paredzēta normatīvajos aktos un nepieciešama SIA “Kuldīgas komunālie pakalpojumi” noteikto funkciju izpildei;
4.1.4. identificējot personu videonovērošanas iekārtās, vai to ierakstos.
4.2. Pirms datu iegūšanas no datu subjekta, Pārziņa darbiniekiem jāsniedz datu subjektam Regulas 13. pantā noteiktā informācija, tādējādi dodot datu subjektam iespēju pārliecināties par savu datu pareizību un apstrādes tiesiskumu.
4.3. Pārzinis saņem datus, ja persona interesējas par SIA “Kuldīgas komunālie pakalpojumi” izmantojot sociālos tīklu kontus (Twitter, Facebook, Instagram, Youtube), ko tehniski uztur citi pakalpojumu sniedzēji. Pārzinis nodrošina sabiedrības informēšanu par aktualitātēm SIA “Kuldīgas komunālie pakalpojumi”, izmantojot sociālos tīklus, t.sk. ievietojot foto un videomateriālus. Pārzinis izskata ziņojumus vai ziņas, ko personas ieraksta sociālo tīklu kontos, bet ziņojumus vai ziņas glabā attiecīgais sociālā tīkla tehniskais nodrošinātājs, saskaņā ar tā noteikto privātuma politiku. Pārzinis neveic turpmāku personas datu apstrādi saistībā ar ziņojumiem vai ziņām sociālā tīklā.
4.4. Pārziņa rīkotajos pasākumos var tikt veikta filmēšana un fotografēšana ar mērķi informēt sabiedrību par aktualitātēm, vai pildot konkrētā pasākuma finansējuma līguma prasības. Fotogrāfijas vai videoieraksti var tikt publicēti Pārziņa, tīmekļvietnēs, sociālo tīklu kontos vai citās publikācijās plašsaziņas līdzekļos. Šādā gadījumā Pārzinis par to informē pasākuma dalībniekus relīzēs, nolikumos, afišās, nosūta paziņojumu vai izvieto informāciju pasākuma norises vietā, vai informē mutiski pasākuma laikā. Ja pasākumā piedalās bērni, viņu filmēšanu vai fotografēšanu veic tikai saņemot personīgu vai rakstveida piekrišanu no bērna likumiskā pārstāvja (bērna mātes vai tēva, vai aizbildņa), izņemot, ja tas notiek akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām.
4.5. Pārziņa tīmekļvietņu nodrošināšanai tiek vāktas sīkdatnes, par ko norāda uznirstošā paziņojumā. Sīkāka informācija par sīkdatnēm pieejama Pārziņa tīmekļvietņu sadaļā “Sīkdatņu politika”.
5. Personas datu saņēmēju kategorijas
5.1. Pārzinis var nodot personas datus:
5.1.1. datu pārzinim un tā pilnvarotiem darbiniekiem;
5.1.2. datu subjektam;
5.1.3. valsts un pašvaldību institūcijām normatīvajos aktos noteiktajos gadījumos;
5.1.4. pašvaldības funkciju izpildei nolīgtam ārpakalpojuma veicējam.
5.2. Bez personas piekrišanas Pārzinis drīkst izpaust datus tikai normatīvajos aktos noteiktajos gadījumos, piemēram, sniedzot informāciju valsts uzturētajām datu bāzēm, atbildot uz tiesībsargājošo iestāžu rakstveida pieprasījumiem un gadījumos, ja tas nepieciešams pašvaldības tiesību un interešu aizstāvībai. Atsevišķu funkciju īstenošanai un pakalpojumu nodrošināšanai pašvaldība personas datus var nodot pakalpojumu sniedzējiem, uzņemoties atbildību par datu konfidencialitāti un pakalpojumu sniedzēji iegūtos datus drīkst apstādāt tikai saskaņā ar pašvaldības norādījumiem.
5.3. Datus var nosūtīt trešajai personai uz datu subjekta rakstveida iesnieguma pamata.
5.4. Personas datus glabā un apstrādā Eiropas Ekonomiskajā zonā. Ja nepieciešams nodot personas datus ārpus Eiropas Ekonomiskās zonas, Pārzinis to dara, ja tai ir tiesības to darīt un nodrošinot pietiekamu aizsardzības līmeni.
6. Personas datu glabāšana un aktualitāte
6.1. Pārzinis glabā Personas datus normatīvajos aktos noteikto laika periodu vai līdz brīdim, kad sasniegts mērķis, kādam tie tika ievākti.
6.2. Pārzinis glabā personas datus atbilstoši datu apstrādes mērķiem un normatīvo aktu prasībām tik ilgi, kamēr pastāv vismaz viens no šādiem nosacījumiem:
6.2.1. Pārzinis realizē savas leģitīmās intereses;
6.2.2. Pārzinis pilda tiesisku pienākumu datu glabāšanai (glabāšanas ilgumu nosaka nomenklatūrā);
6.2.3. ir spēkā esoša datu subjekta piekrišana datu apstrādei;
6.2.4. telefona sarunu audioierakstus glabā 30 kalendāra dienas;
6.2.5. videoierakstus, kas veikti pārkāpumu novēršanai un atklāšanai, saistībā ar īpašuma, veselības un dzīvības aizsardzību, sabiedriskās kārtības nodrošināšanu un prettiesisku darbību izmeklēšanai nepieciešamo pierādījumu nodrošināšanai, atkarībā no tehniskām iespējām, var uzglabāt līdz 30 kalendāra dienām.
6.3. Personas datus, kas iegūti pamatojoties uz personas piekrišanu, Pārzinis glabā līdz brīdim, kamēr tiek īstenots datu ievākšanas mērķis vai persona atsauc savu piekrišanu. Atsaukums neietekmē datu apstrādes darbību likumību, kas veiktas tad, kad piekrišana bija spēkā. Pēc piekrišanas atsaukuma pašvaldībai ir tiesības apstrādāt personas datus tikai tad, ja tai ir cits tiesiskais pamats. Pēc tam, kad šie kritēriji nav piemērojami, personas dati tiek dzēsti vai iznīcināti, vai nodoti glabāšanai valsts arhīvam saskaņā ar normatīvajiem aktiem.
6.4. Pārziņa darbinieki, kas veic personas datu apstrādi, nodrošina, lai dati vienmēr būtu precīzi, aktuāli un atbilstoši vākšanas mērķim. Uzsākot datu apstrādi vai veicot grozījumus esošajā datu apstrādē, atbildīgajai personai, sazinoties ar DAS, nepieciešams ieviest procedūru, kādā tiek nodrošināta tās rīcībā esošo datu labošana, dzēšana, apstrādes ierobežošana. Nepilnīgi, novecojuši, nepatiesi, pretlikumīgi apstrādāti dati vai dati, kuri vairs nav nepieciešami vākšanas mērķim, ir attiecīgi jāizlabo vai jāizdzēš. Par to jāpaziņo arī trešajām personām (sadarbības partneriem, valsts un pašvaldību iestādēm, citām personām), kas iepriekš saņēmušas apstrādātos datus.
6.5. Visos gadījumos, kad zvanītāju interesē informācija par jebkādu fizisku personu, kuras dati ir vai varētu būt darbinieka rīcībā, darbiniekam ir pienākums pārliecināties par zvanītāja identitāti. Vismazāko šaubu gadījumā par zvanītāja identitāti, pieprasīto informāciju telefoniski neizsniedz. Pārziņa darbinieks apzinās, ka neidentificējot zvanītāju un izsniedzot informāciju trešajai personai, tas ar savu rīcību var radīt kaitējumu Pārzinim un tāpēc var tikt saukts pie disciplinārās, civiltiesiskās un administratīvās atbildības. Informāciju telefoniski drīkst izsniegt tikai tad, ja identificēts informācijas saņēmējs un pieprasītā informācija attiecas uz viņu personīgi.
7. Datu subjekta prasību izpildes kārtība
7.1. Datu subjekta tiesības tiek realizētas, balstoties uz datu subjekta pieprasījumu. Pārzinis, tā pēc noklusējuma īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu datu subjekta pieprasījumu izpildi atbilstoši normatīvo aktu prasībām. Datu subjektu tiesību īstenošanu nodrošina bez maksas. Ja datu subjektu pieprasījumi ir acīmredzami nepamatoti, vai pārmērīgi, t.sk., regulāras atkārtošanās dēļ, Pārzinim ir tiesības atteikties izpildīt pieprasījumu, sniedzot pamatotu atbildi datu subjektam.
7.2.SIA “Kuldīgas komunālie pakalpojumi” klātienē saņemot personas pieprasījumu par šajā noteikumu daļā noteikto tiesību realizāciju, nodrošina tā virzību saskaņā ar šiem noteikumiem un noteikumiem par dokumentu apriti SIA “Kuldīgas komunālie pakalpojumi”.
7.3. Pārzinis izvērtē, vai:
7.3.1. pieprasījums skar personas datus un satur vienu vai vairākus elementus:
7.3.1.1. piekļūt personas datiem;
7.3.1.2. labot un papildināt personas datus;
7.3.1.3. dzēst personas datus;
7.3.1.4. ierobežot personas datu apstrādi;
7.3.1.5. iebildumus pret personas datu apstrādi.
7.3.1.6. pieprasījums ir pamatots;
7.3.1.7. pieprasījumu iesniedzis pats datu subjekts vai tā pilnvarotā persona, pārbaudot pilnvarojuma apjoma atbilstību;
7.3.1.8. nav iestājies kāds no pieprasījuma noraidīšanas pamatiem.
7.4. Ja pieprasījuma iesniegšanas brīdī nav noskaidrota datu subjekta identitāte, Pārziņa darbinieki lūdz datu subjektu apstiprināt savu identitāti. Identitāte uzskatāma par apstiprinātu, ja datu subjekts pieprasījumu iesniedzis personiski, uzrādot personu apliecinošu dokumentu, vai arī nosūtījis elektroniski, izmantojot drošu elektronisku parakstu.
7.5. Ja datu subjektu nav iespējams identificēt, Pārzinis atsaka izpildīt datu subjekta pieprasījumu, izņemot:
7.5.1. ja pieprasījums iesniegts par datu labošanu vai papildināšanu, un datu subjektu nav iespējams identificēt vai arī datu subjekts pats nav aktīvi pieprasījis datu labošanu, tomēr Pārziņa rīcībā ir pamatota informācija (piemēram, pamatoti un tiesiski iegūta papildu informācija no citiem objektīviem un saistošiem avotiem) par patiesiem personas datiem. Šādos gadījumos Pārzinis nodrošina datu labošanu vai papildināšanu, lai nodrošinātu aktuālu, precīzu un patiesu datu apstrādi.
7.5.2. ja pieprasījums iesniegts par datu dzēšanu un datu subjektu nav iespējams identificēt, tomēr Pārzinis konstatē, ka nepastāv tiesisks pamats Pārziņa rīcībā esošo personas datu apstrādei. Pārziņa darbinieki jebkurā gadījumā nodrošina datu dzēšanu, lai nodrošinātu tikai tiesiski pamatotu datu apstrādi.
7.6. Pieprasījuma izskatīšanas ietvaros Pārziņa darbinieki noskaidro:
7.6.1. visos gadījumos - vai Pārzinis vai datu apstrādātājs, kas darbojas Pārziņa uzdevumā, joprojām apstrādā konkrētos datus;
7.6.2. visos gadījumos – vai dati ir publiskoti, izņemot, ja pieprasīta piekļuve datiem;
7.6.3. gadījumā, ja datu subjekts ir pieprasījis piekļuvi saviem datiem – vai Pārziņa rīcībā ir auditācijas pieraksti, kuros ir pieejama informācija, ko pieprasījis datu subjekts.
7.7. Pārbaudi par to, vai konkrētie personas dati atrodas Pārziņa arhīvā, jāveic tikai gadījumā, ja personas pieprasījums ir par piekļuvi saviem datiem, datu dzēšanu vai par iebildumu pret datu apstrādi. Pārziņa struktūrvienība vai iestāde saskaņā ar tās kompetenci nodrošina visu nepieciešamo informāciju datu subjekta pieprasījuma izvērtēšanai, izpildei un atbildes sniegšanai.
7.8. Personas pieprasījumu var noraidīt, ja:
7.8.1. Pārzinis vai datu apstrādātājs Pārziņa vārdā neapstrādā konkrētos personas datus;
7.8.2. nav iespējams identificēt datu subjektu;
7.8.3. pieprasījums neatbilst ārējo normatīvo aktu prasībām;
7.8.4. Pārzinis izmanto savas tiesības atteikt pieprasījuma izpildi saistībā ar datu subjekta pieprasījumu acīmredzamo nepamatotību vai pārmērību dēļ.
7.9. Personas pieprasījumu var noraidīt pilnībā vai daļēji, ja noraidīšanas pamats attiecas tikai uz daļu no pieprasījuma satura. Noraidīšanas gadījumā tiek sniegta pamatota atbilde datu subjektam, norādot noraidīšanas pamatu un tiesības iesniegt sūdzību Datu valsts inspekcijai.
8. Datu subjekta tiesības
8.1. Datu subjekts var īstenot savas tiesības:
8.1.1. nosūtot SIA “Kuldīgas komunālie pakalpojumi” iesniegumu uz adresi: Liepājas iela 37, Kuldīga, LV-3301, Latvija, e-pasts kkp@kuldiga.lv ;
8.1.2. iesniedzot personīgi iesniegumu SIA “Kuldīgas komunālie pakalpojumi”, Liepājas iela 37, Kuldīga, LV-3301, Latvija, un uzrādot personu apliecinošu dokumentu;
8.1.3. nosūtot SIA “Kuldīgas komunālie pakalpojumi” ar drošu elektronisko parakstu parakstītu iesniegumu e-pastā kkp@kuldiga.lv.
8.1.4. Nosūtot SIA “Kuldīgas komunālie pakalpojumi” datu aizsardzības speciālistam iesniegumu uz e-pastu: das@dsa.lv
8.2. Datu subjektamirtiesības saņemt no Pārziņa informāciju par to, vai Pārzinis veic datu subjekta personas datu apstrādi:
8.2.1. kādi dati par viņu ir Pārziņa rīcībā;
8.2.2. kādiem nolūkiem Pārzinis tos apstrādā;
8.2.3. personas, kam dati ir izpausti vai kam tos paredzēts izpaust;
8.2.4. cik ilgi dati tiks glabāti, vai kritēriji, ko izmanto laikposma noteikšanai;
8.2.5. datu avots, ja dati netiek saņemti no datu subjekta;
8.2.6. informāciju par datu subjektu tiesībām, t.sk., tiesības pieprasīt datu labošanu vai dzēšanu, vai datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;
8.2.7. norāde par tiesībām iesniegt sūdzību Datu valsts inspekcijai;
8.2.8. informācija par atbilstošām garantijām saistībā ar datu nosūtīšanu, ja datus nosūta trešajai valstij vai starptautiskai organizācijai.
8.3. Datu subjektam ir tiesības prasīt savu personas datu labošanu, ja tas uzskata, ka Pārziņa rīcībā esošā informācija ir novecojusi, neprecīza vai nepareiza. Pārzinis informē datu subjektu par personas datu saņēmējiem, kuriem ir izpausti tie personas dati, kuru labošanu vai papildināšanu pieprasa datu subjekts. Par saņēmējiem nav uzskatāmas valsts vai pašvaldības institūcijas, kā arī tiesas, ja to tiesības saņemt konkrētos datus izriet no normatīvajiem aktiem.
8.4. Pārzinis bez kavēšanās paziņo katram datu saņēmējam, kuram personas dati ir izpausti, par jebkuru personas datu labojumu, izņemot, ja informēšana nav iespējama vai ja tas saistīts ar nesamērīgi lielām pūlēm.
8.5. Ja datu subjekts lūdz papildināt personas datus ar papildu informāciju, bet Pārzinis konstatē, ka veiktajai personas datu apstrādei šāda informācija nav nepieciešama nolūku sasniegšanai un neietekmē pieņemtos lēmumus attiecībā uz datu subjektu, Pārzinis sniedz skaidrojumu datu subjektam, kādēļ papildu informācija nav vajadzīga. Ja pieprasījums ir atbalstāms, Pārzinis nodrošina datu labošanu.
8.6. Ja tiek konstatēts, ka ir pieņemti lēmumi, kas var būtiski ietekmēt datu subjektu un kas balstīti uz nepamatotiem vai neprecīziem personas datiem, kas ar datu subjekta pieprasījumu tiek laboti, tādā gadījumā nekavējoties tiek informēts DAS un tas Pārziņa darbinieks, kas atbild par lēmuma izpildi. Pārziņa darbinieki, struktūrvienības un iestādes sadarbojas, lai nodrošinātu datu subjektu interešu aizsardzību un novērstu tādu lēmumu tālāku izpildi, kas ir balstīta uz nepamatotiem vai neprecīziem datiem un var būtiski ietekmēt datu subjektu. Nepieciešamības gadījumā tiek izvērtēts, vai nav radīts datu pārkāpuma risks, kā arī vai par to ir jāinformē datu subjekts.
8.7. Datu subjektam ir tiesības pieprasīt savu personas datu dzēšanu, vai iebilst pret apstrādi, ja tas uzskata, ka dati apstrādāti nelikumīgi, vai nav nepieciešami ievākšanas un apstrādes nolūkam. Pieprasījums attiecas tikai uz šādiem datiem:
8.7.1. dati vairs nav nepieciešami ievākšanas un apstrādes nolūkam;
8.7.2. dati, kas iegūti uz datu subjekta piekrišanas pamata, kuru datu subjekts ir atsaucis, un nav cita likumīga pamata to apstrādei;
8.7.3. dati, kuru apstrādei nav tiesiska pamata;
8.7.4. datiem, kuri jādzēš, lai nodrošinātu ārējo normatīvo aktu izpildi.
8.8. Pārzinim ir pienākums nodrošināt iepriekš minēto personas datu dzēšanu, izņemot, ja dati nepieciešami jebkurā no šādiem gadījumiem:
8.8.1. lai īstenotu tiesības uz vārda brīvību un informāciju;
8.8.2. lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi saskaņā ar ārējiem normatīviem aktiem, vai lai izpildītu uzdevumu, ko veic visas sabiedrības interesēs vai saistībā ar pašvaldībai likumīgi piešķirto oficiālo pilnvaru īstenošanu;
8.8.3. pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, t.sk., apstrādei profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanai;
8.8.4. arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos;
8.8.5. lai celtu, īstenotu vai aizstāvētu likumīgas prasības, t.sk., celtu prasību tiesā.
8.9. Pārzinis pēc noklusējuma īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu datu subjekta pieprasījumu izpildi, kā arī personas datu dzēšanu pēc noklusējuma pēc noteikto apstrādes nolūku sasniegšanas.
8.10. Pārzinis informē datu subjektu par personas datu saņēmējiem, kuriem ir izpausti tie dati, kuru dzēšanu pamatoti pieprasa datu subjekts. Pārzinis bez kavēšanās ziņo katram datu saņēmējam, kuram dati ir izpausti, par jebkuru datu dzēšanu, izņemot, ja informēšana nav iespējama vai ja tas saistīts ar nesamērīgi lielām pūlēm.
8.11. Ja pārzinis ir publiskojis personas datus, kas ir dzēšami, tā veic saprātīgus pasākumus, tai skaitā, tehniskus pasākumus, lai informētu citus personu datu pārziņus par datu subjekta pieprasījumu nodrošināt šādu datu dzēšanu un visu saišu uz minētajiem datiem dzēšanu, un minēto datu kopiju vai atveidojumu dzēšanu.
8.12. Ja personas datu dzēšanu informācijas sistēmās nav iespējams nodrošināt vai dzēšana ir sarežģīti realizējama, Pārzinis veic datu pilnīgu anonimizāciju veidā, kad datu subjektu nav iespējams identificēt, kā arī jebkādā tiešā vai netiešā veidā nav iespējams informāciju saistīt ar identificētu vai identificējamu fizisku personu.
8.13. Ja Pārzinis konstatē, ka datu subjekta pieprasījums ir pamatots un vairs nav pamata veikt personas datu apstrādi, tie tiek dzēsti un vairs netiek veikta dzēsto datu apstrāde.
8.14. Datu subjektam ir tiesības prasīt, lai Pārzinis ierobežo apstrādi šādos gadījumos:
8.14.1. datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā Pārzinis var pārbaudīt personas datu precizitāti;
8.14.2. apstrāde ir nelikumīga, un datu subjekts iebilst pret datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;
8.14.3. Pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;
8.14.4. datu subjekts ir iebildis pret apstrādi, kamēr nav pārbaudīts, vai Pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajām interesēm.
8.15. Personas datu apstrādes ierobežošana nozīmē, ka dati tiek tikai glabāti un netiek apstrādāti nekādā citā veidā.
8.16. Pēc apstrādes ierobežošanas perioda beigām Pārzinis atsāk un turpina tiesiskā veidā apstrādāt personas datus, vai pārtrauc datu apstrādi un tos dzēš, ja radies tiesisks pamats šādai darbībai. Pirms atsāk datu apstrādi, kura tika ierobežota, datu subjekts tiek informēts par apstrādes ierobežojuma atcelšanu.
8.17. Ja ir pamats ierobežot personas datu apstrādi, ierobežošanu nodrošina visos informācijas resursos, tai skaitā, Pārziņa informācijas sistēmās.
8.18. Datu subjektam ir tiesības uz datu pārnesamību, ja apstrāde pamatojas uz datu subjekta nepārprotamu piekrišanu, vai uz līgumu un apstrādi veic ar automatizētiem līdzekļiem.
8.19. Datu subjektam ir tiesības iesniegt sūdzību Datu valsts inspekcijai, ja tas uzskata, ka Pārzinis datus ir apstrādājis prettiesiski un neatbilstoši šiem noteikumiem.
8.20. Pēc atbilstoša datu subjekta pieprasījuma Pārzinis nodrošina apstrādē esošo personas datu kopiju izsniegšanu.
8.21. Datu subjekts jebkurā brīdī var rakstiski atsaukt savu piekrišanu datu apstrādei. Piekrišanas sniegšana vai atsaukums ir brīva izvēle, un tas neuzliek obligātus papildu pienākumus, taču piekrišanas atsaukuma gadījumā datu apstrāde vairs netiks veikta vai turpmāk nebūs pieejama iepriekšējā apmērā. Piekrišanas atsaukums neietekmē datu apstrādes, kas veiktas laikā, kad piekrišana bija spēkā. Atsaucot piekrišanu, nevar tikt pārtraukta datu apstrāde, ko veic uz citiem tiesiskajiem pamatiem.
9. Personas datu drošības prasības
9.1. Pārziņa darbiniekiem aizliegts izpaust savā rīcībā esošos personas datus, kā arī jārūpējas par tādu apstākļu radīšanu un uzturēšanu, kas nodrošina personas datu drošību. Pārziņa darbiniekiem ir jānovērš nelikumīga personas datu apstrāde, kā arī jācenšas neizgatavot nevajadzīgas datu kopijas.
9.2. Pārziņa darbiniekiem, kuri apstrādā personas datus vai kuriem tapuši zināmi personas dati, ir aizliegts izpaust datu subjekta datus trešajām personām bez tā piekrišanas un tiešā vadītāja saskaņojuma, izņemot gadījumos, kas noteikti ārējos normatīvajos aktos un pašvaldības saistošajos noteikumos.
9.3. Pārziņa darbiniekiem pienākums neizpaust personas datus saglabājas arī pēc darba tiesisko un citu civiltiesisko attiecību ar pašvaldību izbeigšanās.
9.4. Lai ievērotu Pārziņa tiesiskās intereses un citu personu tiesības uz viņu personas datu aizsardzību, darbiniekiem ir aizliegts izmantot darba pienākumu izpildes laikā iegūto informāciju personīgos nolūkos.
9.5. Par katru gadījumu, kad Pārziņa darbiniekam ir aizdomas, ka tā pieejas tiesību ir ieguvušas nepilnvarotas personas, tam ir pienākums ziņot tiešajam vadītājam, atbildīgai personai un DAS. Ja piekļuve konstatēta informācijas sistēmām, nekavējoties jāziņo par tehniskajiem resursiem atbildīgajai personai.
9.6. Pārziņa darbiniekiem, kas apstrādā personas datus, ir jāziņo par tehniskajiem resursiem atbildīgajai personai par iespējamiem draudiem datu drošībai (plūdi, zibens, uguns, elektrības padeves traucējumi, datora aprīkojuma darbnederīgums, temperatūras un mitruma svārstības, putekļi, zādzība, programmēšanas aprīkojuma kļūda, u.c.). Par tehniskajiem resursiem atbildīgajai personai jānodrošina pasākumu kopums, lai novērstu iespējamās sekas. Sīkāka IT datu aizsardzības kārtība noteikta pašvaldības Informācijas sistēmu drošības noteikumos.
9.7. Par personas datu aizsardzības pārkāpumu uzskatāms drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga, ilgstoša vai īslaicīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem. Datu aizsardzības pārkāpumi var būt:
9.7.1. trešās personas neatļauta piekļuve datiem;
9.7.2. dati nosūtīti nepareizam saņēmējam;
9.7.3. ierīces, kurās ir personas dati, ir nozaudētas vai nozagtas;
9.7.4. datu neatļauta grozīšana;
9.7.5. neatļauta datu pieejamības zaudēšana;
9.7.6. citi atbilstoši gadījumi.
9.8. Pārkāpums rada risku personas tiesībām un brīvībām, ja pārkāpuma rezultātā var iestāties šādas sekas:
9.8.1. datu subjekta diskriminācija;
9.8.2. datu subjekta identitātes zādzība vai viltošana;
9.8.3. finansiāli zaudējumi datu subjektam;
9.8.4. kaitējums datu subjekta reputācijai;
9.8.5. ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana;
9.8.6. neatļauta datu subjekta pseidonimizācijas atcelšana;
9.8.7. ja datu subjektam var tikt atņemtas tiesības un brīvības;
9.8.8. datu subjektam var tikt atņemta iespēja kontrolēt savus personas datus;
9.8.9. neatļauti tiek apstrādāti dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, ģenētiskie dati, veselības dati vai dati par dzimumdzīvi, vai sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem;
9.8.10. neatļauti tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati;
9.8.11. jebkāda cita attiecīgajai fiziskajai personai nelabvēlīga ekonomiskā vai sociālā situācija.
10. Datu aizsardzības pārkāpuma paziņošanas termiņš uzraudzības iestādei.
10.1. Personas datu aizsardzības pārkāpuma gadījumā Pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad tai kļuvis zināms pārkāpums, paziņo par personas datu aizsardzības pārkāpumu Datu valsts inspekcijai, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana uzraudzības iestādei nav notikusi 72 stundu laikā, paziņojumam pievieno kavēšanās iemeslus.
10.2. Paziņojumā uzraudzības iestādei norāda šādu informāciju:
10.2.1. pārkāpuma apraksts, t.sk. skarto datu subjektu kategorijas un aptuvenais skaits, skarto datu kategorijas;
10.2.2. DAS vārds, uzvārds un kontaktinformācija, vai informācija par citu kontaktpersonu;
10.2.3. pārkāpuma iespējamās sekas;
10.2.4. pasākumu apraksts, ko Pārzinis ir veicis vai plāno veikt, lai novērstu pārkāpumu vai mazinātu iespējamās nelabvēlīgās sekas.
10.3. Ja gadījumā uz ziņošanas brīdi nav apkopota visa informācija, lai nodrošinātu tās sniegšanu uzraudzības iestādei, būtu sniedzama informācija, kas iestādei ir zināma, un, tiklīdz tas ir iespējams, nepieciešams papildināt ziņojumu un nosūtīt to atkārtoti uzraudzības iestādei.
10.4. Ziņošana uzraudzības iestādei veic, izmantojot uzraudzības iestādes tīmekļvietnē pieejamo datu aizsardzības pārkāpuma ziņošanas platformu. Ja platforma nav pieejama, Pārzinis izmanto citus pārkāpuma paziņošanas kanālus.
10.5. Ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, Pārzinis bez nepamatotas kavēšanās, izmantojot skaidru un vienkāršu valodu, paziņo datu subjektam par personas datu aizsardzības pārkāpumu, aprakstot pārkāpumu un ietver vismaz Regulas 33. panta trešā punkta “b”, “c” un “d” apakšpunktā paredzēto informāciju un pasākumus. Datu subjektam paziņojums nav jāsniedz, ja tiek izpildīts jebkurš no Regulas 34. panta trešajā punktā minētajiem nosacījumiem.
10.6. Identificējot datu aizsardzības pārkāpuma ietekmi uz datu subjektu, jāvērtē pārkāpuma raksturs, jāņem vērā pārkāpuma veids (piemēram, vai dati publicēti, vai nepamatoti iznīcināti), datu raksturs (piemēram, īpašu kategoriju dati, finanšu dati, paroles), datu subjekta identifikācijas iespējamība, seku būtiskums datu subjektam, datu subjektu kategorijas, skarto datu subjektu skaits.
11. Noslēguma jautājums
11.1. Ar šo noteikumu spēkā stāšanos spēku zaudē:
11.1.1. SIA “Kuldīgas komunālie pakalpojumi” 2023. gada 28. septembra noteikumi “SIA “Kuldīgas komunālie pakalpojumi” personu datu apstrādes privātuma politika”;