2018.gada 25.maijā
SIA “Secured Finance MGMT”
PERSONU DATU AIZSARDZĪBAS PROCEDŪRA
Pārzinis un tā kontaktinformācija:
Personas datu apstrādes pārzinis ir SIA "Secured Finance MGMT" (turpmāk tekstā -Sabiedrība), juridiskā adrese: Hospitāļu iela 8 - 7, Rīga, Latvija, LV-1013
Sabiedrības kontaktinformācija ar personas datu apstrādi saistītajos jautājumos ir E-pasts: lend.secured@gmail.com un Tālrunis: +371 25182216.
Izmantojot šo kontaktinformāciju vai vēršoties Sabiedrības pakalpojuma sniegšanas adresē: Brīvības gatve 226-9, Rīga, LV-1039, var uzdot jautājumu par personas datu apstrādi. Pieprasījumu par savu tiesību īstenošanu var iesniegt saskaņā ar šīs procedūras 10.punktu.
Mērķis:
šī procedūra nosaka vispārējo personas datu apstrādes kārtību kādā Sabiedrība nodrošina godprātīgu un likumīgu fizisko personu datu apstrādi
šī procedūra piemērojama, ja datu subjekts izmanto, ir izmantojis vai ir izteicis vēlēšanos izmantot Sabiedrības pakalpojumus, vai ir citā veidā saistīts ar Sabiedrības sniegtajiem pakalpojumiem
šī procedūra nosaka kārtību, kā rīkoties ar fizisku personu datiem, procedūra nosaka Sabiedrības minimālās prasības un principus personas datu apstrādei un aizsardzībai
procedūras mērķis ir sniegt jebkurai fiziskajai personai, tajā skaitā Sabiedrības potenciālajiem un esošajiem klientiem, kā arī sadarbības partneriem informāciju par personas datu apstrādes nolūku, apjomu, aizsardzību, apstrādes termiņu un datu subjekta tiesībām datu iegūšanas laikā, kā arī apstrādājot personas datus.
Definīcijas:
3.1. personas dati – ir jebkura informācija, kas ir Sabiedrības rīcībā un attiecas uz identificētu vai identificējamu fizisku personu; ar datiem ir saprotama jebkādā formā fiksēta informācija, tas ir, gan rakstiski papīra formātā, gan elektroniskā formātā, gan audio un videoierakstos fiksēta informācija
3.2. datu subjekts – Sabiedrības klients (t.sk. potenciālais klients), pretendents - fiziskā persona, darbinieks, sadarbības partneru pilnvarotie pārstāvji un jebkura cita identificēta vai identificējama fiziska persona, kuras datus apstrādā Sabiedrība
3.3. trešā persona – jebkura fiziska vai juridiska persona, publiska iestāde, izņemot pašu datu subjektu, apstrādātājus (datu operatorus) un personas, kuras tieši pilnvarojusi Sabiedrība datu apstrādei
3.4. klients - – jebkura fiziska persona, kura izmanto, ir izmantojusi, vai ir izteikusi vēlēšanos izmantot jebkurus Sabiedrības sniegtos pakalpojumus vai ir jebkādā citā veidā saistīts ar tiem (piemēram, patiesais labuma guvējs, pilnvarotā persona, pārstāvis, galvinieks u.tml.)
3.5. apstrādātājs (datu apstrādes operators) - fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā un uzdevumā apstrādā personas datus
3.6. personas datu apstrāde - jebkuras ar Sabiedrības rīcībā esošajiem personas datiem veiktās darbības vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, organizēšanu, strukturēšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu, izpaušanu, izplatīšanu vai citādi darot tos pieejamus, saskaņošanu, ierobežošanu, bloķēšanu, dzēšanu un iznīcināšanu
3.7. datu subjekta piekrišana — fiziskas personas nepārprotami izteikts gribas apliecinājums, ar kuru viņš atļauj apstrādāt personas datus atbilstoši pārziņa sniegtajai informācijai
3.8. personas datu aizsardzības pārkāpums – drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve.
Šī procedūra attiecas uz visu veidu personas datu apstrādi Sabiedrībā un ir saistoša visiem Sabiedrības darbiniekiem, kuri, pildot amata pienākumus, saskaņā ar darbinieka darba līgumu un amata aprakstu veic personas datu apstrādi (turpmāk – Darbinieks).
Sabiedrība rūpējas par tās rīcībā esošo personas datu aizsardzību un ievēro personu tiesības uz personas datu apstrādes likumību saskaņā ar piemērojamajiem tiesību aktiem - Eiropas Parlamenta un padomes 2016. gada 27. aprīļa Regulu 2016/679 (Vispārīgā datu aizsardzības regula) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (turpmāk tekstā - Regula) un citiem piemērojamajiem tiesību aktiem privātuma un datu apstrādes jomā.
Sabiedrībā tiek apstrādāti sekojoši personu dati, nosakot sekojošus personu datu apstrādes mērķus:
Nr.p.k. |
Datu subjekti |
Personu dati |
Personas datu apstrādes mērķis |
Tiesiskais pamats |
1. |
Klienti (potenciālie klienti, galvotāji, ķīlas devēji) |
Vārds Uzvārds Dzīvesvietas adrese Personu apliecinoša dokumenta kopija |
Klientu identificēšanai, Klientu izpētes veikšanai pirms līguma noslēgšanas, līguma sagatavošanai un noslēgšanai un līgumsaistību izpildei |
Līgumisku attiecību nodibināšanai un izpildei, juridiskā pienākuma izpildei |
Informācija par personas finansiālo situāciju (konta pārskats, informācija par darba devēju, izziņas no VSAA, Kredītinformācijas biroja, VID utt.) |
Kredītspējas novērtēšanai, kredītu uzraudzībai, Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likuma prasību izpildei, Patērētāju tiesību aizsardzības likuma izpildei |
Līgumisku attiecību nodibināšanai un izpildei, juridiskā pienākuma izpildei |
||
Informācija par personai piederošo nekustamo īpašumu Informācija par ģimenes statusu, apgādājamiem Konta numurs |
Pakalpojuma sniegšanai, līgumattiecību nodibināšanai |
Līgumisku attiecību nodibināšanai un izpildei |
||
Telefona Nr. E-pasta adrese |
Saziņai ar Klientu |
Līgumisku attiecību nodibināšanai un izpildei, Sabiedrības vai trešās personas leģitīmās intereses aizsardzībai |
||
|
|
Informācija par līguma izpildi/neizpildi, noslēgtie un spēku zaudējušie līgumi, iesniegtie pieteikumi, pieprasījumi, iesniegumi un sūdzības |
Pakalpojuma kvalitātes nodrošināšanai, Sabiedrības interešu aizsardzībai |
Līgumisku attiecību nodibināšanai un izpildei, Sabiedrības vai trešās personas leģitīmās intereses aizsardzībai |
2. |
Klientu pieteikumā norādītās kontaktpersonas/likumiskie pārstāvji |
Vārds Uzvārds Adrese
|
Identifikācijai, saziņai
|
Dati tiek apstādāti ar datu subjekta piekrišanu |
Telefona nummurs E-pasta adrese |
Saziņai |
Dati tiek apstādāti ar datu subjekta piekrišanu |
||
3. |
Sadarbības partneru pārstāvji |
Paraksttiesīgās personas vārds, uzvārds, amats, pilnvaru dati (vārds, uzvārds, personas kods) |
Pilnvarotās personas identifikācijai, līguma noslēgšanai
|
Līgumisku attiecību nodibināšanai un izpildei |
Kontaktinformācija (telefona nummurs, e-pasta adrese) |
Saziņai ar sadarbības partneri |
Līgumisku attiecību nodibināšanai un izpildei |
Ja Datu subjekts atsakās no Personu datu apstrādes, Sabiedrībai ir iemesls atteikt Sabiedrības pakalpojumu sniegšanu.
Personu datu aizsardzības politika ir attiecināma uz datu apstrādi neatkarīgi no tā, kādā formā un/vai klienti (t.sk. potenciālie klienti), viņu likumiskie pārstāvji, darbinieki, sadarbības partneri un interneta lietotnes apmeklētāji sniedz personas datus (Sabiedrības interneta mājaslapā, papīra formātā, elektroniski vai telefoniski) un kādās Sabiedrības sistēmās vai papīra formā tie tiek apstrādāti.
Sabiedrība uzsāk Personas datu apstrādi tikai gadījumā, ja Personas datu apstrādei ir konkrēts nolūks (piemēram, līguma noslēgšana, noteikta pakalpojuma sniegšana, normatīvajos aktos noteikto pienākumu izpilde utt.) un ja Personas datu apstrādei ir noteikts atbilstošs tiesiskais pamats.
Sabiedrība apstrādā personu datus, atbilstoši normatīvo aktu prasībām, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Sabiedrībai saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus.
Datu subjekta personas datus var apstrādāt tikai tiesiska un iepriekš noteikta mērķa sasniegšanai, kas saistīts ar Sabiedrības sniegtajiem pakalpojumiem. Par mērķu noteikšanu un mērķu īstenošanu Sabiedrībā, kā arī personas datu apstrādes atbilstību normatīvo aktu prasībām ir atbildīga Sabiedrības valde un darbinieki, kas veic datu apstrādi.
Personas datu apstrādē tiek ievērots proporcionalitātes princips, kas paredz, ka Sabiedrībai ir tiesības apstrādāt tikai tos datus un tādā apjomā, kas nepieciešami noteikta mērķa sasniegšanai.
Sabiedrība ir tiesīga nodot nepieciešamos personu datus saviem sadarbības partneriem, pamatojoties uz starp pusēm noslēgtu līgumu. Ja sadarbības partneri apstrādā Sabiedrības rīcībā esošos personas datus, attiecīgais sadarbības partneris ir uzskatāms par datu apstrādes operatoru (apstrādātāju). Saskaņā ar starp pusēm noslēgto līgumu, Sabiedrības sadarbības partneri (personas datu apstrādātāja statusā) nodrošina personas datu apstrādes un aizsardzības prasību izpildi saskaņā ar Sabiedrības prasībām un tiesību aktiem, un neizmanto personas datus citos nolūkos, kā tikai noslēgtā līguma un normatīvo aktu prasību izpildei.
Personas datu apstrādi veic Sabiedrības telpās, izņemot gadījumus, kad darbinieks ar piešķirto lietotājvārdu un paroli veic drošu attālinātu piekļuvi informācijas sistēmām. Personas datu apstrādes laiks ir darba laiks atbilstoši apstiprinātajiem darba kārtības noteikumiem vai laiks virs darba laika, ņemot vērā darbinieka darba specifiku.
Personas datu apstrādi veic tikai tie darbinieki, kuru amata pienākumos ietilpst veikt šādas darbības saskaņā ar normatīvo aktu, darba līgumu, amata aprakstu, valdes locekļa rīkojumu, ievērojot Vispārīgās datu aizsardzības regulas, Informācijas atklātības likuma un citos normatīvajos aktos noteiktās prasības. Informācijas sistēmās personas datus drīkst apstrādāt tikai tie darbinieki, kuram tehnisko resursu turētājs ir piešķīris attiecīgu piekļuvi informācijas sistēmai.
Personas datu aizsardzība un drošība
Sabiedrība aizsargā personas datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Sabiedrībai saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus un citus aizsardzības pasākumus atbilstoši aktuālajām tehnikas attīstības iespējām.
Lai Sabiedrība varētu īstenot atbilstošus tehniskus un organizatoriskus pasākumus, lai personas datu apstrāde notiktu saskaņā ar Vispārīgo datu aizsardzības regulu un citiem Latvijā spēkā esošiem tiesību aktiem, Sabiedrība ir izstrādājusi Informācijas sistēmas drošības procedūru un lietošanas noteikumus, kas nosaka politiku, kādā Sabiedrība nodrošina izmantotās informācijas sistēmas un elektroniskā veidā glabātās informācijas aizsardzību pret ārējiem un iekšējiem riskiem un nodrošina informācijas sistēmas pieejamību, integritāti un konfidencialitāti.
Izmantojot elektroniskos sakaru līdzekļus (epastu) personas datu sūtīšanai Sabiedrības darbiniekiem ir jāveic šādi aizsardzības pasākumi:
sūtot epastu ar personasdatu saturošu informāciju, Sabiedrības darbinieks epastam pievieno šādu atrunu: „Šī vēstule ir paredzēta tikai augstāk minētajam adresātam. Tā var saturēt konfidenciālu informāciju. Ja Jūs neesat šīs vēstules adresāts, Jūs nedrīkstat tajā iekļauto informāciju izmantot, pavairot, izplatīt, pārsūtīt, atklāt iekļauto informāciju citām personām, atskaitot vēstules adresātu. Tā vietā, lūdzu, nosūtiet to atpakaļ nosūtītājam un pēc tam izdzēsiet no sava epasta. SIA „Secured Finance MGMT” neuzņemas atbildību par izmaiņām, kas skārušas šo vēstuli pēc tās nosūtīšanas. Par neautorizētas personas datu apstrādi (t.sk. personas datu glabāšanu), persona var tikt saukta pie atbildības atbilstoši Vispārīgās datu aizsardzības regulas prasībām.”.
Personas datu saņēmēju kategorijas
7.1 Sabiedrība neizpauž trešajām personām personas datus, izņemot:
ja trešajai personai dati jānodod noslēgtā līguma ietvaros, lai veiktu kādu līguma izpildei nepieciešamu vai ar likumu deleģētu funkciju.
saskaņā ar personas skaidru un nepārprotamu piekrišanu;
ārējos normatīvajos aktos paredzētajām personām pēc viņu pamatota pieprasījuma, ārējos normatīvajos aktos noteiktajā kārtībā un apjomā (piemēram – tiesībsargājošās institūcijas, pašvaldības vai citas institūcijas);
ārējos normatīvajos aktos noteiktos gadījumos Sabiedrības leģitīmo interešu aizsardzībai, piemēram, vēršoties tiesā vai citās valsts institūcijās pret personu, kura ir aizskārusi Sabiedrības leģitīmās intereses;
citām personām, kuras galvo par Klienta saistību pret Sabiedrību pienācīgu izpildi, piemēram, galvotājiem, ķīlas devējiem;
Sabiedrības saistītajiem uzņēmumiem;
trešajām pusēm, kuras uztur reģistrus, piemēram, kredītu reģistrus, iedzīvotāju reģistrus, komercreģistrus, vērtspapīru reģistrus un citus reģistrus, kuri satur vai caur kuriem tiek nodoti Personas dati.
7.2. Pirms datu nodošanas trešajai personai, Sabiedrība noslēdz ar to līgumu, kurā detalizēti tiek atrunāta kārtība, kādā trešā persona apstrādās un aizsargās Personas datus. Trešajai personai tiek nodota tikai noteiktajam nolūkam nepieciešamā informācija. Sabiedrība neslēdz līgumu ar trešo personu tikai gadījumos, kad attiecīgo datu nodošanu reglamentē Latvijas un ES spēkā esošie normatīvie akti.
Trešo valstu subjektu piekļuve personas datiem
Sabiedrība nenodot personas datus trešajām valstīm (valstis, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis).
Personas datu glabāšanas ilgums
Personas dati tiek apstrādāti un glabāti līdz noteiktā personas datu apstrādes mērķa sasniegšanai, saskaņā ar Sabiedrības noteikto lietu nomenklatūru, dokumentu un arhīvu pārvaldības un citu normatīvo aktu prasībām.
Ja dokuments satur datus ar dažādiem glabāšanas termiņiem vai sasaistītiem dokumenti ir dažādi glabāšanas termiņi, Sabiedrība glabā dokumentu vai dokumentu paketi līdz brīdim, kamēr iestājas visu dokumentā minēto datu dzēšanas vai dokumentu paketē esošu atsevišķu dokumentu dzēšanas termiņš.
Pēc dokumentu pārvaldības gada noslēguma, atbildīgie darbinieki veic savā darbībā izveidojušos un lietvedībā pabeigtu lietu, kas satur personas datus, analīzi saskaņā ar to glabāšanas termiņiem un sagatavo pastāvīgi un ilgstoši glabājamās lietas nodošanai arhīvā arhivēšanai turpmākai glabāšanai.
Katru gadu pēc pastāvīgi un ilgstoši glabājamo dokumentu par attiecīgo dokumentu pārvaldības periodu aprakstīšanas un pēc lietu nomenklatūrā noteiktā glabāšanas termiņa beigām, īslaicīgi glabājamos dokumentus (līdz 10 gadiem ieskaitot) iekļauj dokumentu iznīcināšanas aktā un pēc tam organizē aktā iekļauto lietu iznīcināšanu.
Datu nesēji papīra formātā, kuri satur personas datus, t.sk. visus dokumentu sagatavošanas procesā radušos un turpmākam darbam nederīgos pierakstus (arī pašrocīgi veiktos), kuri vairāk nav nepieciešami noteiktā datu apstrādes mērķa sasniegšanai, un kuri nav jāsaglabā atbilstoši Sabiedrības noteiktajai lietu nomenklatūrai, darbinieks iznīcina, izmantojot dokumentu smalcinātāju.
Darbinieks pēc dokumentu pārvaldības gada noslēguma izdzēš no savā pārziņā esošiem datu nesējiem elektroniski saglabātu informāciju, kas satur personas datus, ja tie vairāk nav nepieciešami datu apstrādes mērķa sasniegšanai.
Tehnisko resursu turētājs pēc nepieciešamības nodrošina stacionāro un pārnēsājamo datu nesēju iznīcināšanu, veicot informācijas izdzēšanu un datu nesēju fizisku sabojāšanu, kas neļauj atjaunot to funkcionēšanu. Stacionārie un pārnēsājamie datu nesēji var tikt nodoti iznīcināšanai ārpakalpojuma sniedzējam, ievērojot pakalpojuma līgumā noteiktās prasības un kārtību.
Gadījumos, kad personas datu apstrādi Sabiedrības uzdevumā veic apstrādātājs (datu operators), tiek slēgts rakstveida līgums, kurā noteikts pienākums apstrādāt Sabiedrības nodotos personas datus tikai līgumā paredzētajam mērķim un noteiktā apjomā, iekļaujot līgumā konfidencialitātes atrunu, personas datu apstrādes obligātās prasības un atbildības apmēru, datu apstrādes ilgumu, tiesības un pienākumus, t.sk. izbeidzot minēto līgumu.
Sabiedrība kā darba devējs ir tiesīga apstrādāt tikai to Darbinieka personas datu kopumu, kas ir nepieciešams, lai īstenotu normatīvajos aktos noteiktās prasības un pienākumus un nodrošinātu Darbinieka amata pienākumu pildīšanu. Papildus Personas datu uzkrāšana un apstrāde pieļaujama tikai ar Darbinieka rakstisku piekrišanu.
Piekļuve personas datiem un citas tiesības
Datu subjektam ir tiesības saņemt normatīvajos aktos noteikto informāciju saistībā ar viņa datu apstrādi.
Datu subjektam saskaņā ar normatīvajiem aktiem ir tiesības pieprasīt Sabiedrībai piekļuvi saviem personas datiem, kā arī pieprasīt Sabiedrībai veikt to papildināšanu, labošanu vai dzēšanu, vai apstrādes ierobežošanu, vai tiesības iebilst pret apstrādi (tajā skaitā pret personas datu apstrādi, kas veikta pamatojoties uz Sabiedrības leģitīmajām interesēm), kā arī tiesības uz datu pārnesamību. Šīs tiesības īstenojamas, ciktāl datu apstrāde neizriet no Sabiedrības pienākumiem, kas tam ir uzlikti ar spēkā esošajiem normatīvajiem aktiem.
Datu subjekts var iesniegt pieprasījumu par savu tiesību īstenošanu:
uzrādot personu apliecinošu dokumentu;
elektroniskā pasta veidā, parakstot ar drošu elektronisko parakstu, uz e-pastu: lend.secured@gmail.com.
Saņemot personas pieprasījumu par savu tiesību īstenošanu, Sabiedrība pārliecinās par personas identitāti, izvērtē pieprasījumu un izpilda to saskaņā ar normatīvajiem aktiem.
Personai nav tiesību saņemt informāciju, ja šo informāciju aizliegts izpaust saskaņā ar likumu nacionālās drošības, valsts aizsardzības, sabiedrības drošības, krimināltiesību jomā.
Sabiedrība ir tiesīga noteikt saprātīgu termiņu atbildes sagatavošanai (datu savākšanai), kas nav garāks par vienu mēnesi, sākot no iesnieguma saņemšanas dienas.
Gadījumos, ja persona pieprasa informāciju par savu personas datu apstrādi biežāk nekā divas reizes gadā, Sabiedrība ir tiesīga noteikt samaksu par datu sagatavošanu, kas nepārsniedz administratīvo izdevumu apmēru.
Sabiedrība var atteikties izpildīt pieprasījumu, ja viņš spēj uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
Sabiedrība atbildi personai nosūta pa pastu uz viņa norādīto kontaktadresi ierakstītā vēstulē, vai ņemot vērā datu subjekta norādīto atbildes saņemšanas veidu.
Sabiedrība nodrošina datu apstrādes un aizsardzības prasību izpildi saskaņā ar normatīvajiem aktiem un personas iebildumu gadījumā veic lietderīgās darbības, lai iebildumu atrisinātu. Tomēr, ja tas neizdodas, personai ir tiesības vērsties uzraudzības iestādē - Datu valsts inspekcijā.
Personas piekrišana datu apstrādei un tiesības to atsaukt
Persona piekrišanu personas datu apstrādei, kuras tiesiskais pamats ir piekrišana, Sabiedrībai sniedz brīvā formā ar iesniegumu.
Personai ir tiesības jebkurā brīdī atsaukt datu apstrādei doto piekrišanu – ar rakstisku iesniegumu Sabiedrībai. Šādā gadījumā turpmāka datu apstrāde, kas balstīta uz iepriekš doto piekrišanu konkrētajam nolūkam turpmāk vairs netiks veikta.
Piekrišanas atsaukums neietekmē datu apstrādes, kuras veiktas tajā laikā, kad personas piekrišana bija spēkā.
Atsaucot piekrišanu, nevar tikt pārtraukta datu apstrāde, kuru veic, pamatojoties uz citiem tiesiskajiem pamatiem, piemēram, likumdošanas aktu prasības, tiesībsargājošo iestāžu pieprasījumi, u.tml.
Rīcība ārkārtas situācijās:
Lai novērstu personas datu prettiesisku apstrādi, Sabiedrība nodrošina Darbiniekus ar instruktāžu par personas datu apstrādes jautājumiem, iepazīstināšanu ar šiem noteikumiem un iekšējiem noteikumiem par informācijas sistēmu lietošanu un informācijas resursu piešķiršanas kārtību, apliecinot ar parakstu.
Konstatējot informācijas nesēja drošības apdraudējumu vai Personas datu aizsardzības pārkāpumu (turpmāk – Drošības pārkāpums), Darbinieks saglabā visus pierādījumus un nekavējoties, ne vēlāk kā divu stundu laikā, rakstiski ziņo Sabiedrības valdes loceklim un Datu aizsardzības speciālistam ziņojumā iekļaujot šādu informāciju:
datumu un laiku, kad noticis (konstatēts) Drošības pārkāpums;
Drošības pārkāpuma aprakstu tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo datu ierakstu kategorijas un aptuveno skaitu;
pasākumus, kas veikti Drošības pārkāpuma pārvaldīšanai (identificēšanai, novērtēšanai, samazināšanai, kontrolēšanai).
Sabiedrības valdes loceklis, saņemot ziņojumu par Drošības pārkāpumu, izvērtē to vai Drošības pārkāpums rada risku fizisku personu tiesībām un brīvībām. Ja risks tiek konstatēts Datu aizsardzības speciālists sagatavo aprakstu par pārkāpuma saturu, tā sekām un pasākumiem, ko Sabiedrība ir veikusi un plāno veikt, lai novērstu pārkāpumu un 72 stundu laikā iesniedz to Datu valsts inspekcijā.
Izvērtējot, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, Sabiedrība bez liekas kavēšanās paziņo datu subjektam par personas datu pārkāpumu, lai datu subjekts varētu veikt nepieciešamos piesardzības pasākumus. Paziņojumā Sabiedrība apraksta personas datu aizsardzības pārkāpuma raksturu, kā arī ieteikumus, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas.
Personas datu aizsardzības speciālists
Sabiedrībā ir iecelts personu datu aizsardzības speciālists, kas organizē, kontrolē un uzrauga Sabiedrības kā Pārziņa veiktās personu datu apstrādes atbilstību normatīvo aktu un šīs procedūras prasībām, nodrošina sadarbību ar uzraudzības iestādi – Datu valsts inspekciju. Personas datu aizsardzības speciālists konsultē Sabiedrības darbiniekus, kuri veic Personas datu apstrādi, par viņu pienākumiem saskaņā ar Regulu un citiem normatīvajiem aktiem par datu aizsardzību, kā arī sniedz informāciju Datu subjektiem, kuri vēršas Sabiedrībā, ar Personas datu apstrādi saistītiem jautājumiem.
Citi noteikumi
Procedūras aktualizācija tiek veikta, ievērojot izmaiņas Sabiedrības Personas datu apstrādē un atbilstoši grozījumiem normatīvajos aktos, bet ne retāk kā reizi gadā.
Sabiedrība saglabā Personu datu aizsardzības politikas iepriekšējās redakcijas un tās ir pieejamas Sabiedrības personu datu aizsardzības dokumentācijā.
Procedūra ar veiktiem grozījumiem tiek publicēta Sabiedrības interneta vietnē un ir spēkā no publicēšanas datuma.