Privātuma politika
APSTIPRINĀTS
Mērsragā, 2023.gada 27.jūlijā
SIA “Mergera” fizisko personu datu aizsardzības (privātuma) politika
I Ievads
1.Noteikumi nosaka fizisko personas datu aizsardzības (privātuma) politiku, ko SIA “Mergera” (turpmāk – Uzņēmums) darbinieki ievēro, pildot savus amata pienākumus attiecībā uz fizisko personu datu (turpmāk – Personas dati) apstrādi un aizsardzību.
2.Uzņēmums nodrošina, ka Personas dati:
2.1.tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā saskaņā ar Uzņēmuma Personas datu aizsardzības (privātuma) politikā noteikto;
2.2. tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā;
2.3. ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos;
2.4.ir precīzi un, ja nepieciešams, atjaunināti;
2.5. tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos Personas datus apstrādā;
2.6. tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša Personas datu drošība.
3. Uzņēmumā Personas datu aizsardzības (privātuma) politikas (turpmāk - Privātuma politika) mērķis ir, ievērojot Personas datu apstrādes principus, kas iekļauti Eiropas Parlamenta un Padomes 2016. gada 27.aprīļa Regulā Nr.2016/679 par fizisku personu aizsardzību attiecībā uz Personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regulā) (turpmāk – VDAR), sniegt vispārīgu informāciju attiecībā uz Uzņēmumā veikto Personas datu apstrādi.
4. Uzņēmums respektē datu subjektu tiesības uz Personas datu aizsardzību un ir veikusi organizatoriskus un tehniskus pasākumus, lai nodrošinātu Eiropas Savienībā un Latvijas Republikā spēkā esošajos normatīvajos aktos noteikto Personas datu apstrādes un aizsardzības prasību godprātīgu, likumīgu, pienācīgu un pārredzamu izpildi.
5. Personas datu apstrādes organizatorisko pasākumu un nepieciešamo tehnisko līdzekļu kopumu, kas nodrošina godprātīgu un likumīgu Personas datu apstrādi un lietošanu tikai paredzētajiem mērķiem, to glabāšanas, atjaunošanas un dzēšanas veidu, nodrošinot ikvienas fiziskās personas tiesības uz Personas datu aizsardzību, nosaka Uzņēmuma iekšējie normatīvie akti.
II Pārziņa kontaktinformācija
6. VDAR izpratnē Uzņēmums ir Personas datu apstrādes pārzinis (adrese: Lielā ielā 15, Mērsrags, Mērsraga pagasts, Talsu novads, Latvijā, LV - 3264. Reģ. Nr.: 40203329535).
7. Ikviens datu subjekts var vērsties ar jautājumiem pie Uzņēmuma (e-pasta adrese: mergera@mergera.lv).
III Personas datu aizsardzībā lietotie normatīvie akti un termini
8.Personas datu apstrādes pamatprincipi un prasības fizisku personu datu aizsardzībai ietvertas VDAR, kas sākot ar 2018. gada 25. maiju, ir tieši piemērojama Latvijas Republikā. Termini “Personas dati”, “datu subjekts”, “apstrādātājs”, “apstrāde”, “pārzinis” un citi termini šajā Privātuma politikā tiek lietoti tādā pašā nozīmē, kāda tiem piešķirta saskaņā ar VDAR.
9. Uzņēmuma kā Personas datu apstrādes pārziņa vai apstrādātāja funkcijas, uzdevumi un kompetence ir noteikta VDAR, Fizisko personu datu apstrādes likumā un Uzņēmuma iekšējos normatīvajos aktos.
10. Papildus VDAR prasībām, datu aizsardzības jomā Uzņēmums ievēro Fizisko personu datu apstrādes likumu, kas reglamentē datu apstrādes un brīvas aprites noteikumus, kā arī uz tā pamata izdotos normatīvos aktus.
11. Uzņēmums ir ārpakalpojuma grāmatvedības un projektu vadības pakalpojumu sniedzējs uz kuru attiecas LR likums ”Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums”.
12. Lai izpildītu šīs Privātuma politikas norādītās funkcijas, Uzņēmums savas kompetences ietvaros veic Personas datu apstrādi Uzņēmuma tiesisko interešu realizācijai, normatīvajos aktos noteikto pienākumu izpildei, sabiedrības interesēs, līgumos noteikto saistību izpildei, sabiedrības informēšanas nodrošināšanai.
13. Uzņēmums neveic īpašu kategoriju Personas datu apstrādi, izņemot VDAR 9. pantā noteiktos gadījumus, kad apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj normatīvie akti, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm.
IV Personas datu apstrāde Uzņēmumā
14. Uzņēmums var veikt Personas datu apstrādi, lai nodrošinātu:
14.1. vārda vai informācijas brīvības tiesības, tostarp plašsaziņas līdzekļos, izņemot gadījumus, kad datu subjekta tiesības ir svarīgākas par Uzņēmuma kā pārziņa interesēm;
14.2. informācijas sistēmu un tehnisko resursu fizisko drošību;
14.3. uz Uzņēmumu attiecināmo juridisku pienākumu izpildi;
14.4. Uzņēmuma pakalpojumu kvalitātes nodrošināšanu un uzlabošanu;
14.5. Uzņēmuma darbības popularizēšanu;
14.6. Uzņēmuma rīcībā esošu Personas datu ļaunprātīgas izmantošanas novēršanu.
14.7. Uzņēmuma līgumsaistību izpildi;
14.8. Uzņēmuma pārziņā esošo datu apstrādes sistēmu darbības analīzi, uzlabojumu izstrādi un ieviešanu;
14.9. sabiedrības informēšanu par Uzņēmuma darbību.
V Uzņēmuma Personas datu apstrādes nolūki
15.Uzņēmums veic Personas datu apstrādi, lai nodrošinātu:
15.1. uzdevumu izpildi, ko veic sabiedrības interesēs;
15.2. administratīvo darbību, kas saistīta ar Uzņēmuma funkciju, uzdevumu un kompetenču īstenošanu;
15.3. līgumu sagatavošanu un noslēgšanu, to izpildes administrēšanu;
15.4. Uzņēmuma personāla vadību un algu grāmatvedības sistēmas uzturēšanu;
15.5. Uzņēmuma esošos pakalpojumus ;
15.6. Uzņēmuma rīkoto pasākumu publicitāti;
15.7. statistikas un atskaišu sagatavošanu Uzņēmuma kompetences ietvaros;
15.8. informācijas, informācijas sistēmu un Uzņēmuma telpu fizisko drošību;
15.9. datu subjektu iesniegumu, ierosinājumu un sūdzību izskatīšanu un apstrādi;
15.10. Uzņēmuma tīmekļvietnes uzturēšanu un tās darbības uzlabošanu;
15.11. informācijas sniegšanu valsts pārvaldes iestādēm un operatīvās darbības subjektiem ārējos normatīvajos aktos noteiktajos gadījumos un apjomā;
15.12. citus nolūkus, par kuriem datu subjekts tiek informēts normatīvajos aktos noteiktā kārtībā un apjomā.
VI Personas datu apstrādes Uzņēmumā tiesiskais pamats
16. Uzņēmums veic Personas datu apstrādi balstoties uz šādiem, t.sk., VDAR 6. Pantā noteiktiem, tiesiskiem pamatiem:
16.1. uzdevumu izpilde, ko veic sabiedrības interesēs, vai īstenojot pārzinim likumīgi piešķirtās tiesības;
16.2. datu subjekta piekrišana;
16.3. līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;
16.4. sabiedrības intereses saņemt informāciju par Uzņēmuma darbību;
16.5. uz Uzņēmumu attiecināmu juridisku pienākumu izpilde;
16.6. datu subjekta vai citas fiziskas personas vitālo interešu aizsardzība.
VII Uzņēmuma apstrādājamie Personas dati
17. Uzņēmums savas kompetences ietvaros var veikt šādu kategoriju Personas datu apstrādi:
17.1. personas identifikācijas dati un kontaktinformācija, piemēram, vārds, uzvārds, personas kods, dzimšanas datums, pases vai identifikācijas kartes numurs, personas paraksts, adrese, telefona numurs, e-pasta adrese, ko izmanto komunikācijai ar iesniedzēju;
17.2. Uzņēmuma veiktās anketēšanas, interviju (t.sk. darba interviju) un aptauju dati;
17.3. foto, video un balss ieraksti, kas uzņemti Uzņēmuma organizētos publiskos pasākumos Uzņēmuma telpās vai ārpus tām;
17.4. informācija par personu, kas pieteikusies Uzņēmumam personāla atlases konkursam norādot savu izglītību, darba pieredzi, pašreizējo nodarbinātību, amatus, profesionālo darbību, dzimšanas datus, īpašu kategoriju datus un citus personu identificējošos datus;
17.5. informācija par Uzņēmuma tīmekļvietnes apmeklējumu (sīkdatnes) un Uzņēmuma internetveikalā veiktajiem darījumiem;
17.6. gadījumā, ja Uzņēmuma uzturētās tīmekļvietnēs tiks izmantoti sīkdatnes, kas ļauj iepazīties ar informāciju par apmeklētāju aktivitātēm, lapu skatījumiem, avotiem un vietnē pavadīto laiku lietotāji par to tiks informēti pirms lietošanas uzsākšanas.
17.7. videonovērošanas ieraksti, kas veikti Uzņēmuma ēkās un to teritorijās sabiedriskās kārtības un Uzņēmuma materiālo vērtību saglabāšanas nodrošināšanai.
VIII Uzņēmuma sadarbība ar apstrādātājiem
18. Uzņēmuma noslēgto līgumu saistību izpildes nodrošināšanai vai citu uzdevumu veikšanai savas kompetences ietvaros, Uzņēmums var pilnvarot sadarbības partnerus veikt atsevišķas Personas datu apstrādes darbības ar Uzņēmuma rīcībā esošajiem Personas datiem, ka arī saņemt atļauju veikt atsevišķas Personas datu apstrādes darbības ar cita pārziņa rīcībā esošiem personu datiem.
19. Privātuma politikas 16.punktā minētie sadarbības partneri uzskatāmi par datu apstrādātājiem vai pārziņiem VDAR izpratnē un Uzņēmumam ir tiesības nodot tiem Personas datus datu apstrādes līguma noteikto saistību izpildei nepieciešamā apjomā, paredzot šo Personas datu adekvātu aizsardzību.
IX Personas datu aizsardzība
20. Uzņēmums izmanto drošības pasākumus (fiziskās, tehniskās un administratīvās procedūras un līdzekļus), lai nepieļautu nesankcionētu piekļuvi Personas datiem, nelikumīgu Personas datu izpaušanu.
21. Personas datus saturošas informācijas apstrāde, uzglabāšana un šo datu integritāte tiek nodrošināta ar atbilstošu tehniskās drošības līmeni.
22. Uzņēmuma īstenotie Personas datu drošības pasākumi tiek pastāvīgi pilnveidoti, lai laika gaitā nepazeminātu Personas datu aizsardzības līmeni.
23. Uzņēmuma definēto lietotāju savienojumu ar Uzņēmuma pārraudzībā esošajām informācijas sistēmām personu datu aizsardzība tiek īstenota ar datu šifrēšanas līdzekļiem, ugunsmūra aizsardzību, kā arī ar citiem datu tīkla drošības risinājumiem.
24. Uzņēmuma darbinieki ir informēti par Personas datu aizsardzību, savām tiesībām un pienākumiem Personas datu aizsardzības jomā un ir atbilstoši apmācīti.
X Personas datu nodošana trešajām personām
25. Uzņēmums neizpauž trešajām personām Personas datus, t.sk., informāciju par saņemtajiem elektronisko sakaru vai citiem pakalpojumiem, izņemot šādus gadījumus:
25.1. ja trešajai personai Personas dati tiek nodoti noslēgtā līguma ietvaros, lai veiktu kādu līguma izpildei nepieciešamu vai ar likumu deleģētu funkciju (piemēram, bankas norēķinu ietvaros, rezervējot viesnīcu komandējumam u.tml.);
25.2. saņemot datu subjekta piekrišanu;
25.3. ārējos normatīvajos aktos paredzētajos gadījumos, noteiktajā kārtībā un apjomā;
25.4. gadījumos, kad Uzņēmums vēršas tiesā ar prasījumu.
26. Atsevišķos gadījumos, ievērojot normatīvo aktu prasības, darba līguma nosacījumus vai datu subjektu piekrišanu Uzņēmuma darbinieku Personas dati var tikt nodoti trešajām valstīm, lai izpildītu starptautisko līgumu saistības vai nodrošinātu Uzņēmuma uzdevumu izpildi.
XI Personas datu uzglabāšana
27. Personas dati Uzņēmumā tiek uzglabāti atbilstoši Arhīvu likumam uz to pamata izdotiem normatīvajiem aktiem arhīvu un dokumentu pārvaldības jomā.
28. Personas datus Uzņēmumā glabā tikai tik ilgi, cik nepieciešams to mērķu un nolūku sasniegšanai, kuriem tie tika iegūti, bet ne ilgāk, kā to nosaka ārējie normatīvie akti arhīvu un dokumentu pārvaldības jomā.
29. Ja Personas dati vairs nav nepieciešami iepriekš noteiktajiem apstrādes mērķiem un nolūkiem, vai, ja datu subjekts atsauc savu piekrišanu datu apstrādei VDAR noteiktajā kārtībā, datu nesēji tiek iznīcināti vai Personas dati tajos tiek dzēsti.
30. Personas datus Uzņēmums uzglabā, kamēr ārējos normatīvajos aktos noteiktajā kārtībā iespējams realizēt savas leģitīmās tiesības noslēgto līgumu ietvaros (piemēram, celt vai vest prasību tiesā).
31. Uzņēmums līgumos norādītos Personas datus uzglabā, kamēr tai kā līgumslēdzējai pastāv juridisks pienākums Personas datus glabāt.
XII Datu subjekta tiesības
32. Datu subjektam, kura Personas datus apstrādā Uzņēmums, ir šādas tiesības:
32.1. pieprasīt un saņemt informāciju par savu datu apstrādi, tādā apjomā, kāds ir noteikts VDAR 13., 14. un 15. pantā;
32.2. pieprasīt savu datu labošanu, dzēšanu vai apstrādes ierobežošanu atbilstoši VDAR 16., 17. un 18. pantā noteiktajam;
32.3. iebilst pret savu Personas datu apstrādi;
32.4. atsaukt piekrišanu savu datu apstrādei. Piekrišanas atsaukums neietekmē datu apstrādi, kas veikta laikā, kad piekrišana bija spēkā.
32.5. datu subjektam atsaucot piekrišanu, nevar tikt pārtraukta to datu apstrāde, kas noteikta kā izņēmums VDAR 17. panta 3.punktā un 21. panta 6.punktā, kā arī tāda, ko nosaka ārējie normatīvie akti.
32.6. ja datu subjekts, apmeklējot, piedaloties Uzņēmuma rīkotajos pasākumos nevēlas tikt fotografēts vai filmēts, tam ir tiesības par to iepriekš informēt pasākuma organizatoru. Šāds lūgums tiks ņemts vērā iespēju robežās, samērīgi ar sabiedrības tiesībām būt informētai par notiekošo pasākumu.
32.7. ikvienai personai ir tiesības vērsties ar jautājumiem vai sūdzībām par Personas datu apstrādi nosūtot savu jautājumu uz e-pasta adresi mergera@mergera.lv vai vērsties ar sūdzību Datu valsts inspekcijā.
XIII Uzņēmuma informatīvie paziņojumi
33. Gadījumā, ja Uzņēmumam veicot savas funkcijas un pildot uzdevumus nepieciešams informēt datu subjektus, kuru Personas dati ir Uzņēmuma rīcībā, Uzņēmums ievēro šādus principus:
33.1. informatīvos paziņojumus Uzņēmums veic saskaņā ar ārējos normatīvajos aktos noteikto vai saskaņā ar datu subjekta piekrišanu;
33.2. datu subjekts piekrišanu Uzņēmuma paziņojumu saņemšanai var dot apliecinājuma veidnēs, Uzņēmuma tīmekļvietnē vai citādi ievērojot VDAR noteiktos nosacījumus datu subjekta piekrišanai;
33.3. datu subjekta dotā piekrišana Uzņēmuma informatīvo paziņojumu saņemšanai ir spēkā līdz tās atsaukumam vai Uzņēmuma norādītajam termiņam;
33.4. nododot savu kontaktinformāciju (e-pasta adresi, tālruņa nr. u.c.) Uzņēmuma rīcībā, datu subjektam tiek sniegta visa VDAR paredzētā informācija un saņemta piekrišana saziņai izmantojot datu subjekta sniegto kontaktinformāciju;
34. Datu subjekts jebkurā laikā var atteikties no Uzņēmuma informatīvo paziņojumu saņemšanas nosūtot e-pastu uz adresi mergera@mergera.lv.
XIV Publiskie pasākumi
35. Uzņēmuma rīkotajos pasākumos var tikt veikta filmēšana vai fotografēšana ar mērķi informēt sabiedrību par Uzņēmuma aktualitātēm Uzņēmuma profilos sociālajos tīklos vai citās publikācijās plašsaziņas līdzekļos. Šādā gadījumā pasākuma organizators par to informē pasākuma dalībniekus nosūtot paziņojumu vai izvietojot informāciju pasākuma norises vietā, vai informē mutiski pasākuma laikā. Ja pasākumā piedalās bērni līdz 13 gadu vecumam, viņu filmēšanu vai fotografēšanu veic tikai tad, ja ir saņemta personīga vai rakstveida piekrišana no bērna mātes vai tēva, vai no bērna likumiskā aizbildņa.
36. Uzņēmumā var tikt veikta videonovērošana ar mērķi novērst un atklāt noziedzīgus nodarījumus, kā arī rūpēties par Uzņēmuma darbinieku un apmeklētāju drošību.
37. Videonovērošanas ieraksti var tikt nodoti valsts tiesībsargājošām iestādēm normatīvajos aktos paredzētajā kārtībā un apjomā.
38. Beidzoties glabāšanas termiņam, videonovērošanas ieraksti tiek dzēsti.
XV Uzņēmuma tīmekļvietnes apmeklējums un sīkdatņu apstrāde
39. Uzņēmuma tīmekļvietne var izmantot sīkdatnes, par to brīdinot tīmekļa vietnes lietotājus un apmeklētājus.
40. Uzņēmuma mājaslapa var iestatīt sekojošas sīkdatnes:
40.1. Funkcionālās sīkdatnes ir nepieciešamas, lai spētu pārvietoties mājaslapā un lietotu tās funkcijas. Bez šim sīkdatnēm nevar nodrošināt pieprasītos pakalpojumus, piemēram, preču groza funkcionalitāti.
40.2. Google Analytics sīkdatnes lieto, lai iegūtu mājaslapas apmeklējuma statistiku. Uzņēmums lieto šo informāciju, lai uzlabotu vietnes darbību un reklāmas pasākumus.
40.3. Mērķētas reklāmas rīku sīkdatnes lieto, lai paaugstinātu reklāmas efektivitāti un rādītu reklāmas, kas, visticamāk, jūs interesēs visvairāk.
40.4. Trešās puses pakalpojumu sniedzēja sīkdatnes var iestatīt mājaslapā lietotie trešo pušu pakalpojumi: Facebook poga "Patīk", YouTube video un citi pakalpojumi. Dažas no šīm sīkdatnēm var tikt izmantotas, lai sekotu līdzi personu darbībām citās mājaslapās, un Uzņēmums tās nevaram kontrolēt, jo šīs sīkdatnes nav iestatījusi Uzņēmuma mājaslapa.
41. Lai atteiktos no sīkdatņu saņemšanas, personas var izmantojot privātās pārlūkošanas režīmu, kuru nodrošina lielākā daļa pārlūkprogrammu (privāts logs, inkognito logs vai InPrivate logs). Jebkādas sīkdatnes, kas tiek izveidotas, darbojoties privātās pārlūkošanas režīmā, tiek dzēstas, tiklīdz personas aizverat visus pārlūka logus.
42. Lai atteiktos no mērķētas reklāmas rādīšanai nepieciešamās informācijas iegūšanas un lietošanas, jūs personas var izmantot, piemēram, bezmaksas rīkus Your Online Choices vai YourAdChoices.
43. Uzņēmuma tīmekļvietnē var tikt ievietotas saites uz trešo personu tīmekļvietnēm, kurām ir atšķirīgi lietošanas un Personas datu aizsardzības noteikumi un standarti, par kuriem Uzņēmums neuzņemas atbildību.
XVI Nobeiguma noteikumi
44. Datu pārzinim ir tiesības veikt izmaiņas vai papildinājumus Privātuma politikā jebkurā brīdī un bez iepriekšēja brīdinājuma. Labojumi stājas spēkā pēc to publicēšanas mājaslapā www.mergera.lv.