VAS “Latvijas Loto”
Personas datu aizsardzības politika
1. Mērķis:
1.1. Personas datu aizsardzības politikas mērķis ir noteikt personas datu aizsardzības pamatnostādnes, kas tiek ievērotas valsts akciju sabiedrības Latvijas Loto darbībā, nodrošinot fizisko personu tiesības un brīvības saistībā ar Personas datu apstrādi un tās atbilstību spēkā esošajiem normatīvajiem aktiem.
1.2. Personas datu aizsardzības politika attiecas uz visu ar Latvijas Loto darbību saistīto Datu subjektu Personas datu apstrādi, tai skaitā Personas datu apstrādi, veicot video novērošanu.
1.3. Personas datu aizsardzības politika paredzēta šādām personu grupām - Latvijas Loto darbinieki, klienti, sadarbības partneri (piegādātāji, pakalpojumu sniedzēji, apakšuzņēmēji u.tml.), Datu subjekti, kuru Personas dati tieši vai netieši tiek apstrādāti Latvijas Loto darbības rezultātā.
2. Dokumentā lietoto terminu un saīsinājumu skaidrojums:
2.1. ES - Eiropas Savienība;
2.2. Datu subjekts - identificēta vai identificējama fiziska persona. Identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
2.3. Personas dati - jebkura informācija, kas attiecas uz Datu subjektu;
2.4. Pārzinis – šī dokumenta izpratnē VAS Latvijas Loto ;
2.5. Apstrādātājs - fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura Pārziņa vārdā apstrādā Personas datus.
3. Personas datu apstrādes organizācija un atbildība:
3.1. Latvijas Loto valde ir atbildīga par Personas datu aizsardzību reglamentējošo normatīvo aktu un citos Latvijas Loto saistošos juridiskos aktos noteikto prasību izpildes nodrošināšanu Latvijas Loto darbībā (“pārskatatbildība”);
3.2. Latvijas Loto tiek nozīmēts speciālists, kurš ir atbildīgs par:
3.2.1. ar Latvijas Loto darbību saistītās Personas datu apstrādes atbilstību spēka esošo ārējo normatīvo aktu prasībām;
3.2.2. atbilstošu Latvijas Loto iekšējo normatīvo aktu izstrādes koordināciju vai konsultēšanu, to prasību izpildes uzraudzību;
3.2.3. Latvijas Loto vadības un darbinieku konsultēšanu;
3.2.4. komunikāciju ar Datu valsts inspekciju.
3.3. Latvijas Loto darbinieki ir atbildīgi par:
3.3.1. Personas datu aizsardzības politikas ievērošanu ikdienas darbībā;
3.3.2. Personas datu apstrādi reglamentējošo Latvijas Loto iekšējo normatīvo aktu izpildes ievērošanu;
3.3.3. ar Personas datu apstrādi saistīto atgadījumu vai pārkāpumu ziņošanu Latvijas Loto iekšējos normatīvajos aktos noteiktajā kārtībā.
3.4. Latvijas Loto sadarbības partneri ir atbildīgi par godprātīgu savstarpējos līgumos vai vienošanās noteikto saistību attiecībā uz Personas datu apstrādi izpildes nodrošināšanu.
4. Personas datu apstrādes principi:
4.1. Latvijas Loto Personas datu aizsardzības politika ir balstīta uz Personas datu aizsardzību reglamentējošajos Latvijas un ES normatīvajos aktos noteiktajiem principiem:
4.1.1. Personas dati tiek apstrādāti likumīgi, godprātīgi un Datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
4.1.2. funkciju izpildei nepieciešamie Personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos (“nolūka ierobežojumi”). Šo datu turpmāku apstrādi Latvijas Loto veic ar minētajiem nolūkiem tikai savietojamā veidā;
4.1.3. apstrādātie Personas dati ir adekvāti, atbilstīgi un satur tikai to informāciju, kas nepieciešama saistīto Latvijas Loto uzdevumu izpildei attiecīgās apstrādes nolūkos (“datu minimizēšana”);
4.1.4. Personas dati ir precīzi un, ja vajadzīgs – tiek atjaunināti (“precizitāte”). Latvijas Loto izstrādā atbilstošus mehānismus Personas datu precizitātes nodrošināšanai, tos pirmreizēji ievācot, kā arī turpmāk datus apstrādājot konkrētu nolūku sasniegšanai, ja dati mainās vai tie ir neprecīzi;
4.1.5. Personas dati tiek glabāti tikai tik ilgi, cik tas ir nepieciešams nolūka sasniegšanai, un, tiklīdz nolūks ir sasniegts, dati tiek dzēsti vai informācijas nesēji, kuros dati atrodas, tiek iznīcināti (“glabāšanas ierobežojums”). Īstenojot glabāšanas ierobežojuma principu, Latvijas Loto ievēro nosacījumu, ka, beidzoties vienam nolūkam, var rasties jauni leģitīmi nolūki, kas var pamatot nepieciešamību Personas datus glabāt ilgāk – arī pēc pamatnolūka izbeigšanās. Šādā gadījumā Latvijas Loto pārvērtē Personas datu apstrādes apjoma atbilstību jaunā nolūka sasniegšanai;
4.1.6. Latvijas Loto pārziņā esošie Personas dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša Personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu piekļuvi, labošanu, skatīšanu vai neparedzētu izmantošanu (“integritāte un konfidencialitāte”). Latvijas Loto apstrādātie Personas dati pēc iespējas tiek aizsargāti pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. Aizsardzības pasākumu nodrošināšana tiek īstenota, izmantojot atbilstošus tehniskos un organizatoriskos pasākumus.
4.2. Latvijas Loto ir pārskatatbildīgs (“pārskatatbildība”) par tiem Personas datiem, kuriem tas ir Pārzinis. Savukārt datiem, kuru apstrādi Latvijas Loto veic kā Apstrādātājs, Latvijas Loto piemēro gan uzņēmumā noteikto kārtību, gan arī šo Personas datu Pārziņa noteiktās prasības.
5. Datu apstrādes nolūki un tiesiskais pamats:
5.1. Latvijas Loto Personas datu apstrādi veic tikai skaidri noteiktos nolūkos, to sasniegšanai nepieciešamā apjomā un balstoties uz atbilstošu tiesisko pamatu.
5.2. Uzsākot Personas datu apstrādi vai mainoties nolūkam, kādā Personas dati tika sākotnēji iegūti, Datu subjekts tiek informēts par Personas datu apstrādes nolūku. Šāda informēšana netiek veikta normatīvajos aktos noteiktajos izņēmuma gadījumos.
5.3. Latvijas Loto Personas datu apstrādi veic, balstoties uz šādiem tiesiskajiem pamatiem:
5.3.1. Datu subjekta piekrišana - Datu subjekts skaidri un nepārprotami ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;
5.3.2. līgumisku attiecību nodibināšana un izpilde - apstrāde ir vajadzīga līguma starp Datu subjektu un Latvijas Loto noslēgšanai un izpildei;
5.3.3. juridiska pienākuma izpilde - apstrāde ir vajadzīga, lai izpildītu uz Latvijas Loto attiecināmu juridisku pienākumu un/vai normatīvo aktu prasības;
5.3.4. Datu subjekta vai trešo personu vitāli svarīgu interešu aizsardzība - apstrāde ir vajadzīga, lai aizsargātu Datu subjekta vai citas fiziskas personas vitālas intereses;
5.3.5. sabiedrības interešu ievērošana vai oficiālo pilnvaru realizācija - apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot Latvijas Loto likumīgi piešķirtās oficiālās pilnvaras;
5.3.6. Pārziņa vai trešās personas leģitīmās intereses - apstrāde ir vajadzīga Latvijas Loto vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja Datu subjekta intereses vai pamattiesības un pamatbrīvība, kam nepieciešama Personas datu aizsardzība, ir svarīgāka par šādām interesēm, jo īpaši, ja Datu subjekts ir bērns.
5.4. Informācija par Latvijas Loto veikto Personas datu apstrādi tiek reģistrēta un uzturēta Latvijas Loto Personas datu apstrādes darbību reģistrā.
6. Personas datu apstrāde:
6.1. Latvijas Loto apstrādā Personas datus un nodrošina to aizsardzību, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā izvērtēšanas rezultātā apzinātos privātuma riskus un Latvijas Loto saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus.
6.2. Nododot Personas datu apstrādi ārpakalpojuma sniedzējiem (Apstrādātājiem), Latvijas Loto izvērtē to atbilstību Personas datu aizsardzību reglamentējošo normatīvo aktu prasībām un, slēdzot attiecīgu līgumu, nosaka tiem saistošas prasības Personas datu aizsardzības nodrošināšanai saskaņā ar Personas datu aizsardzību reglamentējošos normatīvajos aktos un citos Latvijas Loto saistošajos juridiskajos aktos noteiktajām prasībām.
6.3. Gadījumos, kad Latvijas Loto ir Personas datu apstrādātājs, šo datu apstrādei tiek piemērotas gan atbilstošās Latvijas Loto iekšējās normatīvo aktu prasības un aizsardzības pasākumi, gan arī attiecīgo Personas datu pārziņu noteiktās datu aizsardzības prasības.
6.4. Personas datu aizsardzības pārkāpuma gadījumā Latvijas Loto bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums uzņēmumam kļuvis zināms, paziņo par to Datu valsts inspekcijai, izņemot gadījumus, kad ir maz ticams, ka Personas datu aizsardzības pārkāpums varētu radīt risku Datu subjekta tiesībām un brīvībai.
7. Personas datu glabāšanas ilgums:
7.1. Latvijas Loto glabā un apstrādā Personas datus, kamēr izpildās vismaz viens no šiem kritērijiem:
7.1.1. ir spēkā starp Latvijas Loto un Datu subjektu noslēgtais līgums;
7.1.2. Latvijas Loto vai Datu subjekts ārējos normatīvajos aktos noteiktajā kārtībā var realizēt savas leģitīmās intereses (piemēram, iesniegt iebildumus vai celt vai uzturēt prasību tiesā);
7.1.3. Latvijas Loto ir juridisks pienākums glabāt Personas datus;
7.1.4. ir spēkā Datu subjekta piekrišana attiecīgai Personas datu apstrādei, ja nepastāv cits Personas datu apstrādes likumīgs pamats.
7.2. Pēc tam, kad vairs neizpildās neviens no 7.1. punktā minētajiem kritērijiem, Personas dati tiek dzēsti.
8. Piekļuve Personas datiem un citas Datu subjekta tiesības
8.1. Veicot Personas datu apstrādi, Latvijas Loto nodrošina šādas Datu subjekta tiesības:
8.1.1. tiesības uz informāciju - Latvijas Loto kodolīgā, pārredzamā un saprotamā veidā, izmantojot skaidru un vienkāršu valodu, pēc Datu subjekta pieprasījuma sniedz Datu subjektam informāciju par Latvijas Loto veikto attiecīgās Personas datu apstrādi;
8.1.1.1. tiesības piekļūt saviem Personas datiem – pēc Datu subjekta pieprasījuma Latvijas Loto sniedz atbildi, informējot, vai attiecīgās Personas dati Latvijas Loto tiek/ netiek apstrādāti. Gadījumā, ja Personas dati tiek apstrādāti - sniedz informāciju par apstrādāto Personas datu kopumu;
8.1.2. tiesības labot datus - balstoties uz Datu subjekta pamatotu pieprasījumu, Latvijas Loto nodrošina tā Personas datu labošanu, ja tie ir neatbilstoši, nepilnīgi vai nepareizi;
8.1.3. tiesības uz datu pārnesamību - Latvijas Loto nodrošina Datu subjektam iespēju saņemt savus Personas datus, ko tas ir sniedzis un kas tiek apstrādāti uz piekrišanas un līguma izpildes pamata rakstiskā formā vai kādā no biežāk izmantotajiem elektroniskajiem formātiem, lai, ja iespējams, nodotu šādus datus citam pakalpojumu sniedzējam;
8.1.4. tiesības uz dzēšanu (tiesības ”tikt aizmirstam”) - Datu subjektam ir tiesības pieprasīt un Latvijas Loto ir pienākums bez nepamatotas kavēšanās dzēst Personas datus, ja:
8.1.4.1. Personas dati vairs nav nepieciešami vai izmantojami saistībā ar mērķiem, kādiem tie tika vākti un apstrādāti;
8.1.4.2. Datu subjekts ir atsaucis savu piekrišanu Personas datu apstrādei un nav cita tiesiskā pamatojuma datu apstrādei;
8.1.4.3. Datu subjekts ir iebildis datu apstrādei un pēc leģitīmo interešu atkārtota izvērtējuma Latvijas Loto atzīst, ka datu apstrādei nav tiesiskā pamata;
8.1.4.4. Personas dati ir dzēšami, pamatojoties uz Latvijas Loto attiecināmiem tiesību aktiem;
8.1.5. tiesības ierobežot apstrādi – Datu subjektam ir tiesības Latvijas Loto pieprasīt uz laiku ierobežot Personas datu apstrādi saskaņā ar piemērojamajiem normatīvajiem aktiem, t.sk. gadījumos, ja Datu subjekts ir konstatējis neprecizitātes savos Personas datos un Latvijas Loto nepieciešams laiks datu precizitātes pārbaudei;
8.1.6. tiesības iebilst – Datu subjektam ir tiesības iebilst savu Personas datu apstrādei, ja apstrāde ir saistīta ar profilēšanu tiešā mārketinga nolūkiem vai ir balstīta uz Latvijas Loto leģitīmajām interesēm un Datu subjekts apšauba šo tiesisko pamatu;
8.1.7. tiesības uz automatizētu individuālo lēmumu pieņemšanu – Datu subjektam ir tiesības netikt pakļautam pilnībā automatizētai lēmumu pieņemšanai, tai skaitā profilēšanai, ja šādai lēmumu pieņemšanai ir tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē Datu subjektu. Šīs tiesības nav spēkā, ja lēmuma pieņemšana ir nepieciešama, lai noslēgtu vai izpildītu Latvijas Loto līgumu ar Datu subjektu, ja lēmuma pieņemšana ir atļauta saskaņā ar uz Latvijas Loto attiecināmiem tiesību aktiem vai ja Datu subjekts ir devis savu nepārprotamu piekrišanu;
8.1.8. tiesības atsaukt savu piekrišanu savu Personas datu apstrādei, kad tas ir pieļaujams un/vai iespējams;
8.1.9. tiesības saņemt informāciju par personas datu aizsardzības pārkāpumu - Latvijas Loto bez nepamatotas kavēšanās Datu subjektam paziņo par tā Personas datu apstrādē konstatētu datu aizsardzības pārkāpumu, ja pārkāpums var radīt augstu risku Datu subjekta tiesībām un brīvībām.
8.2. Datu subjektam ir tiesības iesniegt sūdzības par Latvijas Loto veikto Personas datu apstrādi Datu valsts inspekcijai (www.dvi.gov.lv), ja Datu subjekts uzskata, ka tā Personas datu apstrāde pārkāpj tā tiesības un intereses saskaņā ar piemērojamajiem normatīvajiem aktiem.
9. Saziņa ar Datu subjektu
9.1. Ar Personas datu apstrādi saistītiem jautājumiem Datu subjekti un citas ieinteresētās personas var vērsties Latvijas Loto, rakstot uz Latvijas Loto e-pastu datu.aizsardziba@latloto.lv vai nosūtot savu jautājumu uz Latvijas Loto juridisko adresi - Meistaru iela 19, Rīga, LV-1050.
9.2. Datu subjekta pieprasījumus, kas saistīti ar tā tiesību īstenošanu, Latvijas Loto izvērtē un izpilda mēneša laikā, skaitot no pieprasījuma saņemšanas brīža, attiecīgi informējot Datu subjektu par Latvijas Loto veiktajām darbībām. Ņemot vērā pieprasījuma sarežģītību, tā izpildes laiks var tikt pagarināts vēl uz diviem mēnešiem. Šādā gadījumā Latvijas Loto mēneša laikā pēc pieprasījuma saņemšanas informē Datu subjektu par pieprasījuma izpildes pagarinājumu un kavēšanās iemesliem.
9.3. Ja, izvērtējot Datu subjekta pieprasījumu, Latvijas Loto secina, ka Datu subjekta pieprasījums ir acīmredzami nepamatots vai pārmērīgs, Latvijas Loto, sniedzot Datu subjektam attiecīgu skaidrojumu, var pieprasīt saprātīgu samaksu, ņemot vērā administratīvās izmaksas, kas saistītas ar pieprasītās darbības veikšanu, vai arī atteikties izpildīt pieprasījumu.
10. Citi noteikumi
10.1. Latvijas Loto Personas datu aizsardzības politika ir pieejama Latvijas Loto tīmekļa vietnē www.latloto.lv.
10.2. Latvijas Loto ir tiesības vienpusēji veikt papildinājumus Personas datu aizsardzības politikā, aktuālo versiju ievietojot Latvijas Loto tīmekļa vietnē www.latloto.lv.
11. Saistītie dokumenti:
|
Nr.p.k. |
Dokumenta izdošanas datums, veids, Nr. |
Nosaukums |
|
1. |
27.04.2016., Eiropas parlamenta un Padomes regula (ES) 2016/679 |
“Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)” |
|
2. |
20.03.2000., likums |
Fizisko personu datu aizsardzības likums |
|
3. |
30.01.2001, MK. noteikumi Nr. 40 |
„Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības” |
|
4. |
12.05.2015, MK noteikumi Nr.216 |
“Kārtība, kādā sagatavo un iesniedz personas datu apstrādes atbilstības novērtējumu” |
|
5. |
28.07.2015, MK. noteikumi Nr.442 |
“Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” |
|
6. |
LVS ISO/IEC 27002:2013
|
Informācijas tehnoloģija. Drošības metodika. Prakses kodekss informācijas drošības pārvaldībai |