[1] SIA "Baltic Agro", (turpmāk – “Sabiedrība”) ir izstrādājusi un ieviesusi Sabiedrībā personas datu apstrādes vadlīnijas (turpmāk – “Vadlīnijas”), ņemot vērā Fizisko personu datu apstrādes likumu turpmāk – “Likums”) un Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – “Regula”) prasības.
[2] Vadlīnijas attiecas uz tādiem personas datiem, kurus Sabiedrības amatpersonas, pilnvarnieki un darbinieki (turpmāk tekstā – “Pilnvarotās personas”) apstrādā Sabiedrības vārdā, pildot savus pienākumus pret Sabiedrību leģitīmu mērķu sasniegšanai.
Vadlīnijās tiek izmantotas šādas ar Regulu saskaņotas definīcijas:
“Personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
“Sensitīvie personas dati” ir personas dati, kuri atklāj datu subjekta rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī ģenētiskie dati, biometriskie dati, caur kuriem tiek veikta fiziskas personas unikāla identifikācija, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju.
“Personas datu apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
“Pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus.
“Apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus.
[3] Katrai Pilnvarotajai personai ir pienākums ievērot Personas datu apstrādes ietvaros šādus Regulā norādītos principus: likumīguma, godprātības un pārredzamības princips, nolūka ierobežojuma princips, datu minimizēšanas princips, precizitātes princips, glabāšanas ierobežojuma princips, integritātes un konfidencialitātes princips, pārskatatbildības princips
[4] Tiek noteiktas šādas Personas datu īpašības:
-Apstrādes nolūks: definēt Personas datu apstrādes nolūku (mērķi);
-Personas datu apjoms: noteikt kādas ir apstrādāto Personas datu kategorijas (veidi);
-Sabiedrības apstrādes loma: definēt Sabiedrības Personas datu apstrādes lomu (pārzinis, koppārzinis vai apstrādātājs);
-Datu nodošana trešajām personām: identificēt tos Personas datu saņēmējus, kam Sabiedrība nodod Personas datu;
-Datu apstrādātāji: identificēt personas datu apstrādātājus, kam Sabiedrība nodod datus;
-Apstrādes pamats: definēt Personas datu apstrādes pamatu, izmantojot Regulā pieejamo Personas datu apstrādes pamatu sarakstus, kā arī ņemt vērā, ka Personas datu apstrādes pamati Personas datiem un Sensitīvajiem Personas datiem, kā arī Personas datiem par sodāmību un pārkāpumiem ir atšķirīgi. Ja Personas datu apstrādes pamats ir piekrišana, Atbildīgajai personai ir pienākums ņemt vērā, ka piekrišanai jābūt brīvai, nepārprotamai, apzinātai un konkrētai;
-Apstrādes termiņš: noteikt Personas datu apstrādes termiņu
[5] Atbildīgai personai ir pienākums konstatēt, kurā valstī atrodas (fiziski glabājas) Personas dati. Atbildīgā persona pārbauda, vai Personas dati atrodas ārpus ES, kā arī pārbauda, kādas garantijas tiek izmantotas Personas datu nodošanai, glabāšanai un citai apstrādei ārpus ES. Proti, Atbildīgā persona pārbauda, vai valstīm, kur tiek apstrādāti noteikti Personas dati, var piemērot Eiropas Komisijas lēmumu par aizsardzības līmeņa pietiekamību, kā arī vai Personas dati tiek nodoti Eiropas ekonomiskajā zonā.
[6] Ja Sabiedrība kā Pārzinis ir piesaistījusi trešo personu kā Apstrādātāju, tad ar šādu personu ir nepieciešams rakstveidā vienoties par datu apstrādes noteikumiem.
[7] Datu apstrādes noteikumi ir līgums vai līguma pielikums starp Sabiedrību un Apstrādātāju. Datu apstrādes noteikumi nosaka to, kā un kādā apjomā tiek veikta datu apstrāde Sabiedrības vārdā no Apstrādātāja puses.
Atbildīgā persona nodrošina to, ka ir izstrādāti un ieviesti datu apstrādes noteikumi ar visiem Sabiedrības Apstrādātājiem.
[8] Ja saskaņā ar šīm Vadlīnijām Pilnvarotajai un/vai Atbildīgajai personai ir pienākums nodrošināt Personas datu dzēšanu:
-atbilstošajai personai arī ir tiesības dzēšanas vietā nodrošināt Personas datu anonimizāciju, tas ir, Personas datu pārveidošanu tādā veidā, ka datu subjekts nav vai vairs nav identificējams;
-atbilstošajai personai ir pienākums izvēlēties tādu Personas datu dzēšanas veidu, kas nodrošinātu drošu un pilnīgu Personas datu dzēšanu. Gadījumā, ja Pilnvarotā persona nevar patstāvīgi ar saviem spēkiem nodrošināt atbilstošo Personas datu dzēšanu, tai ir pienākums vērsties pie Atbildīgās personas, kura pieņem lēmumu attiecībā uz dzēšanas risinājuma nodrošināšanu.
[9] Pilnvarotajām personām ir pienākums nodrošināt zemāk norādīto datu subjektu tiesību īstenošanu tādos gadījumos, kad Sabiedrība ir Pārzinis attiecībā uz attiecīgajiem Personas datiem.
Sniedzot datu subjektam šajā sadaļā norādīto informāciju, Pilnvarotajām un Atbildīgajām personām ir pienākums pārliecināties, ka sniegtās informācijas apjoms nelabvēlīgi neietekmētu citu personu tiesības un brīvības.
-Informācijas sniegšana: Personas datu ievākšanas brīdī no datu subjekta Pilnvarotajai personai, kura komunicē ar konkrētu datu subjektu, ir pienākums sniegt datu subjektam Regulas 13. pantā norādīto informāciju par datu subjekta Personas datu apstrādi.
-Informācijas sniegšana: Gadījumā, ja Sabiedrība informāciju par datu subjektu saņem no trešās personas (nevis no paša datu subjekta), Pilnvarotā persona, kura pirmā saņem šos Personas datus pārliecinās par informācijas sniegšanu datu subjektam saskaņā ar Regulas 14. pantā aprakstīto kārtību.
-Piekļuves tiesības: gadījumā, ja datu subjekts izmanto piekļuves tiesības un pieprasa Regulas 15. pantā norādīto informāciju, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un sagatavo atbildi uz saņemto datu subjekta pieprasījumu.
-Kopiju izsniegšana: gadījumā, ja datu subjekts pieprasa Sabiedrības apstrādē esošo personas datu kopiju saskaņā ar Regulas 15. pantu, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un sagatavo atbilstošu Personas datu kopiju.
-Tiesības labot: gadījumā, ja Sabiedrība saņem datu subjekta pieprasījumu attiecībā uz Personas datu labošanu saskaņā ar Regulas 16. pantu, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un pārbauda pieprasījuma pamatotību un sagatavo Personas datu labošanas plānu, nododot to Atbildīgajai personai.
-Tiesības uz dzēšanu: gadījumā, ja Sabiedrība saņem datu subjekta pieprasījumu attiecībā uz Personas datu dzēšanu saskaņā ar Regulas 17. pantu, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un pārbauda pieprasījuma pamatotību, un sagatavo Personas datu dzēšanas plānu, ievērojot Regulas 17. pantā esošās prasības un izņēmumus, kā arī nodod šo plānu Atbildīgajai personai. Atbildīgā persona pārbauda Pilnvarotās personas plānu un pieņem lēmumu attiecība uz Personas datu dzēšanu, kā arī sagatavo atbildi datu subjektam atbilstoši pieņemtajam lēmumam, nodrošinot to parakstīšanu un nosūtīšanu datu subjektam.
-Tiesības ierobežot apstrādi: gadījumā, ja Sabiedrība saņem datu subjekta pieprasījumu attiecībā uz Personas datu apstrādes ierobežošanu saskaņā ar Regulas 18. pantu, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un pārbauda pieprasījuma pamatotību, un sagatavo Personas datu apstrādes ierobežošanas plānu, ņemot vērā Regulas 18. pantā noteiktos ierobežojumus, kā arī nodod to Atbildīgajai personai.
-Tiesības uz pārnesamību: gadījumā, ja Sabiedrība saņem datu subjekta pieprasījumu attiecībā uz Personas datu pārnesamības nodrošināšanu saskaņā ar Regulas 20. pantu, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un pārbauda pieprasījuma pamatotību, un sagatavo Personas datu pārnešanas plānu, ņemot vērā Regulas 20. pantā noteiktos ierobežojumus, kā ari nodod to Atbildīgajai personai.
-Tiesības ierobežot apstrādi automatizētas apstrādes gadījumā: gadījumā, ja Sabiedrība saņem datu subjekta pieprasījumu attiecībā uz iebildumiem pret automatizēto lēmumu pieņemšanu attiecībā uz datu subjekta Personas datiem saskaņā ar Regulas 21. un 22. pantu, Pilnvarotā persona, kura saņēma šādu pieprasījumu no datu subjekta, nekavējoties par to informē Atbildīgo personu un pārbauda pieprasījuma pamatotību, un sagatavo Personas datu apstrādes ierobežošanas plānu ņemot vērā Regulas 21. un 22. pantā noteiktos ierobežojumus, kā arī nodod to Atbildīgajai personai. Atbildīgā persona pārbauda Pilnvarotās personas plānu un pieņem lēmumu attiecība uz Personas datu apstrādes ierobežošanu šajā gadījumā, kā arī sagatavo atbildi datu subjektam atbilstoši pieņemtajam lēmumam, nodrošinot to parakstīšanu un nosūtīšanu datu subjektam.
[10] Ja Sabiedrība ir Pārzinis un attiecībā uz Sabiedrības apstrādē esošajiem Personas datiem notiek personas datu aizsardzības pārkāpums - pilnvarotā persona nekavējoties paziņo par to Atbildīgajai personai. Atbildīgā persona nekavējoties pieņem lēmumu par nepieciešamību paziņot par pārkāpumu DVI.