Privātuma politika

Biedrība “Baltijas Mediju izcilības centrs”

 

Biedrība “Baltijas Mediju izcilības centrs”, vienotais reģistrācijas numurs 40008244518 (turpmāk arī – “biedrība” un “BCME”), (angļu val. “Baltic Centre for Media Excellence”) ir nevalstiska organizācija, kuras biedri ir no Latvijas, Igaunijas, Lietuvas (Baltijas valstīm), kā arī, iespējams, no Dānijas, Islandes, Norvēģijas, Somijas un Zviedrijas (Ziemeļvalstīm), Vācijas un citām valstīm. BCME ir neatkarīgs un neatrodas nevienas valdības iestādes pakļautībā[1].

 

BCME mērķi ir atbalstīt kvalitatīvus plašsaziņas līdzekļus, sekmējot žurnālistu, citu plašsaziņas speciālistu un mediju organizāciju apmācību un zināšanu un prasmju uzlabošanu Baltijas valstīs un ārpus to robežām, atbalstīt preses un vārda brīvību, rosināt profesionālu domu apmaiņu starp žurnālistiem par mediju jautājumiem, tostarp, net ne tikai, par žurnālistikas ētiku.

 

Tostarp BCME mērķu ietvarā ietilpst apzināt, apkopot un izplatīt informāciju par attiecīgo plašsaziņas līdzekļu apmācības vajadzībām un apmācības piedāvājumu Baltijas valstīs un citviet, izstrādāt galvenokārt Baltijas valstu medijiem īpaši pielāgotas mācību programmas, izstrādāt mācību kursu moduļus, kas paredzēti Austrumu partnerības un, tostarp vēsturiskās sadarbības kontekstā, Krievijas medijiem, darboties ar citiem jautājumiem, kas saistīti ar mediju apmācību un izglītību, medijiem, kā to lēmusi BCME Pārstāvju sapulce, valde vai to deleģētas personas atbilstoši BCME 2018.gada 3.septembra statūtu 2.2.apakšpunktam un spēkā esošajos normatīvajos tiesību aktos ietvertajam tiesiskajam regulējumam.

 

Ņemot vērā minēto un to, ka BCME tā darbībā ievēro augstākos tiesiskuma un profesionālās ētikas standartus, biedrība tostarp ir izstrādājusi un apstiprinājusi šos fizisko personu datu apstrādes un aizsardzības noteikumus. BCME tā darbībā ir svarīgi nodrošināt atbilstošu personas datu aizsardzību un ieviest skaidrus procesus, kas palīdz aizsargāt sadarbības partneru, klientu un darbinieku personisko informāciju atbilstoši noteiktajam datu aizsardzības ietvaram – Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regulai (ES) Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula), kā arī citiem spēkā esošajiem normatīvajiem tiesību aktiem privātuma un personas datu apstrādes jomā.[2]

 

  1. Lietotie termini un saīsinājumi

 

  • ANO – Apvienoto Nāciju Organizācija.
  • Apstrādātājs – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus.
  • Apstrāde – jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
  • BCME – biedrība “Baltijas Mediju izcilības centrs”, vienotais reģistrācijas numurs 40008244518.
  • Biometriskie dati – personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati.
  • Datu regula – Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regula (ES) Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
  • Datu subjekta piekrišana – jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei.
  • ES – Eiropas Savienība.
  • Ģenētiskie dati – personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes.
  • Inspekcija – Datu valsts inspekcija atbilstoši Fizisko personu datu apstrādes likuma 3. – 16.pantam, Datu valsts inspekcijas direktores J.Macukas 2021.gada 8.marta (stājās spēkā 2021.gada 10.martā) nolikumam Nr.1-1/3 “Datu valsts inspekcijas nolikums”, kas izdoti saskaņā ar Fizisko personu datu apstrādes likuma 12.pantu un Valsts pārvaldes iekārtas likuma 33.panta pirmo daļu.
  • IT – informācijas tehnoloģijas.
  • Pārrobežu apstrāde – personas datu apstrāde, kas notiek saistībā ar darbībām, kuras ES veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai personas datu apstrāde, kas notiek saistībā ar darbībām, kuras ES veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī.
  • Pārzinis – Datu regulas 4.panta 7.punkta izpratnē pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar ES vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt ES vai dalībvalsts tiesību aktos. Šo noteikumu izpratnē pārzinis tostarp ir biedrība “Baltijas Mediju izcilības centrs”, vienotais reģistrācijas numurs 40008244518; juridiskā adrese Palasta iela 5-1, Rīga, Latvija, LV-1050; elektroniskā pasta adrese: info@bcme.eu; tīmekļa vietnes adrese: bcme.eu.
  • Personas dati – jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
  • Personas datu aizsardzības pārkāpums – drošības pārkāpums (turpmāk arī – “pārkāpums”), kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.
  • Saņēmējs – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar ES vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem.
  • Satversme – Latvijas Republikas Satversme (pieņemta Latvijas Satversmes Sapulces 1922.gada 15.februārī kopsēdē, stājās spēkā 1922.gada 7.novembrī).[3]
  • Starptautiska organizācija – Datu regulas 4.panta 26.punkta izpratnē ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata.
  • Statūti – biedrības “Baltijas Mediju izcilības centrs”, vienotais reģistrācijas numurs 40008244518, 2018.gada 3.septembra statūti.
  • Trešā persona – fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus.
  • Veselības dati – personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli.
  • Šajos noteikumos lietotie termini un legāldefinīcijas atbilst Datu regulā, jo īpaši tās 4.pantā, lietotajām definīcijām, kā arī citos spēkā esošajos normatīvajos tiesību aktos privātuma un personas datu apstrādes jomā lietotajai terminoloģijai.

 

  1. VISPĀRĪGIE NOTEIKUMI

 

2.1.     Fizisko personu datu apstrādes un aizsardzības noteikumu mērķis

  • Šo noteikumu mērķis ir, ievērojot datu aizsardzības principus, kā arī nosakot attiecīgas tehniskās un organizatoriskās prasības, noteikt iekšējo kārtību personas datu apstrādei un aizsardzībai biedrībā atbilstoši BCME darbības profesionālajai specifikai. Tostarp šie noteikumi identificē, kādam nolūkam BCME iegūst personas datus, sniedz informāciju par datu apjomiem un datu apstrādes termiņiem, kā arī datu subjekta tiesībām un sadarbības iespējam personas datu aizsardzības jomā.

 

  • Apstrādājot personas datus, BCME ievēro Latvijas Republikas spēkā esošos normatīvos tiesību aktus, Datu Regulu, kā arī citus normatīvos tiesību aktus privātuma un personas datu apstrādes jomā.

 

  • Šie noteikumi attiecas uz ikvienu fizisko personu, kuras personas datus apstrādā BCME un tie ir attiecināmi uz personas datu apstrādi neatkarīgi no tā, kādā formā datu subjekts vai jebkura cita fiziskā persona ir sniegusi personas datus: BCME interneta vietnē, ar elektroniskā pasta starpniecību, papīra formātā vai telefoniski.

 

  • BCME sīkdatņu (angļu val. ‘cookie’) politika ir pieejama biedrības interneta vietnē sadaļas “Par mums” apakšsadaļā “Sīkdatņu lietošana tīmekļa vietnē bcme.eu”.

 

  • Pārziņa identitāte un kontaktinformācija: biedrība “Baltijas Mediju izcilības centrs”, vienotais reģistrācijas numurs 40008244518; juridiskā adrese Palasta iela 5-1, Rīga, Latvija, LV-1050; elektroniskā pasta adrese: info@bcme.eu; tīmekļa vietnes adrese: bcme.eu.

 

  • Saziņai ar BCME datu aizsardzības speciālistu biedrībā tiek izmantota elektroniskā pasta adrese info@bcme.eu. Biedrības datu aizsardzības speciālists veic Datu regulas 39.pantā minētos uzdevumus, kā arī sniedz vispārīgo informāciju par biedrības veikto personas datu apstrādi atbilstoši šiem noteikumiem.

 

2.2. Datu apstrādes principi un nolūki

  • BCME personas dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”). Personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar Datu regulas 89.panta 1.punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem.

 

  • BCME profesionālajā darbībā personas datu apstrāde un personas dati per se ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos. Tie ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”).

 

  • Personas dati biedrībā tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar Datu regulas 89.panta 1.punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības.

 

  • BCME personas dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

 

  • Biedrība kā pārzinis ir atbildīga par atbilstību šo noteikumu 2.2.1., 2.2.2., 2.2.3., un 2.2.4.apakšpunktā noteikto personas datu apstrādes principu ievērošanu BCME atbilstoši Datu regulas, Fizisko personu datu apstrādes likuma un citiem biedrībai saistošo normatīvo tiesību aktu noteikumiem.

 

  • BCME apstrādā šādus personas datus šādiem nolūkiem:
    • vārds, uzvārds, dzimums, dzimšanas dati, kontaktinformācija, darba pieredze, izglītība (ieskaitot kursus un sertifikātus), valodu prasme, cita informācija, kuru datu subjekts vēlas sniegt biedrībai – lai nodrošinātu personāla atlases konkursa norisi un savu tiesisko interešu nodrošināšanai, ciktāl tās saistītas ar personāla atlasi;
    • vārds, uzvārds, dzimums, dzimšanas dati, kontaktinformācija – lai tostarp nodrošinātu kvalitatīvu plašsaziņas līdzekļu atbalstīšanu, sekmējot žurnālistu, citu plašsaziņas speciālistu un mediju organizāciju apmācības un zināšanu un prasmju uzlabošanu Baltijas valstīs un citās valstīs;
    • datu subjekta fotouzņēmums vai videomateriāls, tostarp balss, kas ekskluzīvi ar datu subjekta piekrišanu uzņemts BCME organizētās apmācībās, zināšanu un prasmju uzlabošanas konferencēs un citos pasākumos, kas ar biedrības atbalstu tiek sniegts Statūtos noteikto mērķu īstenošanai – lai veicinātu kvalitatīvus plašsaziņas līdzekļus, sekmējot žurnālistu, citu plašsaziņas speciālistu un mediju organizāciju apmācību un zināšanu un prasmju uzlabošanu Baltijas valstīs un ārpus to robežām, atbalstīt preses un vārda brīvību, rosināt profesionālu domu apmaiņu starp žurnālistiem par mediju jautājumiem, tostarp, net ne tikai, par žurnālistikas ētiku (informācijas izvietošana biedrības tīmekļvietnē, sociālajos tīklos, informatīvajos materiālos, relīžu sagatavošanai u.c.);
    • vārds, uzvārds, dzimums, personas kods, kontaktinformācija – ES ietvaros un starptautisko organizāciju, tostarp citu starptautisko nevalstisko organizāciju un citu starptautiski līdzfinansēto projektu atskaišu un grāmatvedības kārtošanas noteikumu izpildes īstenošanai, rēķinu, sadarbības līgumu un citu nepieciešamo dokumentu sagatavošanai;
    • vārds, uzvārds, personas kods, adrese, kontaktinformācija, kā arī cita informācija, kuru datu subjekts vēlas un patstāvīgi ir sniedzis biedrībai un tai nepieciešamā informācija, lai izpildītu tās Statūtos noteiktos mērķus un ar datu subjekta piekrišanu nosūtītu tam informāciju par biedrības kompetencē esošajām apmācībām, kā arī citu datu subjektam aktuālu informāciju atbilstoši tā izteiktajai piekrišanai.

 

2.3. Datu apstrādes tiesiskais pamats

  • BCME personas datu apstrādes virsnolūks ir izpildīt biedrības Statūtos noteiktos biedrības mērķus atbalstīt kvalitatīvus plašsaziņas līdzekļus, sekmējot žurnālistu, citu plašsaziņas speciālistu un mediju organizāciju apmācību un zināšanu un prasmju uzlabošanu Baltijas valstīs un ārpus to robežām, atbalstīt preses un vārda brīvību, rosināt profesionālu domu apmaiņu starp žurnālistiem par mediju jautājumiem, tostarp, net ne tikai, par žurnālistikas ētiku, kā arī apzināt, apkopot un izplatīt informāciju par attiecīgo plašsaziņas līdzekļu apmācības vajadzībām un apmācības piedāvājumu Baltijas valstīs un citviet, izstrādāt galvenokārt Baltijas valstu medijiem īpaši pielāgotas mācību programmas, izstrādāt mācību kursu moduļus, kas paredzēti Austrumu partnerības un darboties ar citiem jautājumiem, kas saistīti ar mediju apmācību un izglītību, medijiem, kā to lēmusi BCME Pārstāvju sapulce, valde vai to deleģētas personas atbilstoši biedrības Statūtu 2.2.apakšpunktam un spēkā esošajos normatīvajos tiesību aktos ietvertajam tiesiskajam regulējumam.

 

  • Personas datu apstrādes nolūks personāla atlases konkursa norisei un savu tiesisko interešu nodrošināšanai, ciktāl tās saistītas ar personāla atlasi:
    • datu subjekta kā pretendenta personas datu apstrāde ir nepieciešama, lai izpildītu uz biedrību, kā arī datu subjektu per se attiecināmu tiesisko interešu un pienākumu izpildi, tostarp Darba likumā, darba tiesisko attiecību, nodokļu un grāmatvedības jomu regulējošos normatīvajos tiesību aktos ietverto juridisko pienākumu izpildi;
    • saņemot datu subjekta kā pretendenta pieteikumu, BCME rodas tiesiska interese apstrādāt datu subjekta saņemto pieteikumu, izvērtējot tajā sniegto informāciju, organizējot pārrunu procedūru, veicot pārrunas un nodrošinoties ar pierādījumiem, kas pamato attiecīgā procesa tiesisku norisi. Strīdus gadījumā atlases procesā iegūtā informācija var tikt izmantota, lai atspoguļotu attiecīgā procesa tiesisku norisi, kā arī ar datu subjekta – pretendenta piekrišanu izmantotu saņemtos datus iespējamajai nākotnes profesionālajai sadarbībai ar BCME.

 

  • Personas datu apstrādes nolūks kvalitatīvas plašsaziņas līdzekļu atbalstīšanas nodrošināšanai, sekmējot žurnālistu, citu plašsaziņas speciālistu un mediju organizāciju apmācības un zināšanu un prasmju uzlabošanu Baltijas valstīs un citās valstīs:
    • datu subjekta personas datu apstrāde ir nepieciešama, lai sekmētu un kvalitatīvi nodrošinātu:
      • Latvijas Republikas Satversmes 100.pantā ietverto tiesību uz vārda brīvību, kas ietver tiesības brīvi iegūt, paturēt un izplatīt informāciju, paust savus uzskatus, cenzūras aizlieguma izpratni un tās veicināšanu profesionālajā žurnālistikas, citu plašsaziņas speciālistu un mediju organizāciju (apmācību) darbības jomā;
      • ANO Vispārējās cilvēktiesību deklarācijas 19.pantā ietverto tiesību uz pārliecības brīvību un brīvi paust savus uzskatus, kas ietver brīvību netraucēti palikt pie saviem uzskatiem un brīvību meklēt, saņemt un izplatīt informāciju un idejas ar jebkuriem līdzekļiem neatkarīgi no valstu robežām, izpratni un tās veicināšanu profesionālajā žurnālistikas, citu plašsaziņas speciālistu un mediju organizāciju (apmācību) darbības jomā;
      • ANO Starptautiskā pakta par pilsoniskajām un politiskajām tiesībām 19.pantā ietverto tiesību katram cilvēkam netraucēti pieturēties pie saviem uzskatiem, brīvi izpaust savus uzskatus, kas ietver brīvību meklēt, saņemt un izplatīt dažāda veida informāciju un idejas neatkarīgi no valstu robežām mutvārdos, rakstveidā, izmantojot presi vai mākslinieciskās izpausmes formas, vai citādā veidā pēc savas izvēles, izpratni un tās veicināšanu profesionālajā žurnālistikas, citu plašsaziņas speciālistu un mediju organizāciju (apmācību) darbības jomā;
      • Eiropas Cilvēktiesību konvencijas 10.pantā ietverto tiesību brīvi izteikties, kas ietver uzskatu brīvību un tiesības saņemt un izplatīt informāciju un idejas bez iejaukšanās no publisko institūciju puses un neatkarīgi no valstu robežām, izpratni un tās veicināšanu profesionālajā žurnālistikas, citu plašsaziņas speciālistu un mediju organizāciju (apmācību) darbības jomā;
      • likumā “Par presi un citiem masu informācijas līdzekļiem”, Sabiedrisko elektronisko plašsaziņas līdzekļu un to pārvaldības likumā, kā arī citos normatīvajos tiesību ietverto tiesību izpratni un to veicināšanu profesionālajā žurnālistikas, citu plašsaziņas speciālistu un mediju organizāciju (apmācību) darbības jomā.

 

  • Personas datu apstrādes nolūks – datu subjekta fotouzņēmums vai videomateriāls, tostarp balss, kas ekskluzīvi ar datu subjekta piekrišanu uzņemts BCME organizētās apmācībās, zināšanu un prasmju uzlabošanas konferencēs un citos pasākumos, kas ar biedrības atbalstu tiek sniegts Statūtos noteikto mērķu īstenošanai – datu subjekta piekrišana atbilstoši normatīvajiem tiesību aktiem kā tiesiskais pamats;

 

  • Personas datu apstrādes nolūks ES ietvaros un starptautisko organizāciju, tostarp citu starptautisko nevalstisko organizāciju un citu starptautiski līdzfinansēto projektu atskaišu un grāmatvedības kārtošanas noteikumu izpildes īstenošanai tiesiski balstās uz Grāmatvedības likumā, grāmatvedības un nodokļu jomu regulējošos normatīvajos tiesību aktos ietvertajiem pienākumiem;

 

  • Personas datu apstrādes nolūks – lai nosūtītu datu subjektam informāciju par biedrības kompetencē esošajām apmācībām, kā arī citu datu subjektam aktuālu informāciju atbilstoši tā izteiktajai piekrišanai, kas ir datu apstrādes tiesiskais pamats.

 

2.4. Datu subjekta informēšanas pienākums

  • BCME informē datu subjektu par personas datu apstrādi:
    • ar tās tīmekļa vietnes adresē bcme.eu pieejamo personas datu apstrādes un aizsardzības rakstveida dokumentāciju, kas var tikt izsniegta papīra formātā vai var būt pieejama plašākai auditorijai, izvietojot to biedrības vai tās organizēta pasākuma norises telpās, kur uzturas datu subjekti;
    • ar mutvārdos sniegtas informācijas starpniecību, kad informāciju klātienē sniedz biedrības norīkots darbinieks vai pārstāvis, vai tiek nodrošināta automatizētas vai iepriekš ierakstītas informācijas sniegšana;
    • “reālajā vidē” sniegta informācija – biedrība datu subjektu ērtībai un informētībai var izmantot redzamas plāksnes ar informāciju, publiskas norādes, sabiedrības informēšanas kampaņas vai paziņojumus laikrakstiem vai plašsaziņas līdzekļiem.

 

  • Ja datu subjekta personas datus vāc no datu subjekta, BCME kā pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:
    • pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;
    • attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;
    • apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;
    • pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz Datu regulas 6.panta 1.punkta “f” apakšpunktu (apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns);
    • apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns);
    • personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;
    • attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – Datu regulas 46. vai 47.pantā, vai 49.panta 1.punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

 

  • Papildus šo noteikumu 2.4.2.apakšpunktā minētajai informācijai BCME personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:
    • laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
    • tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;
    • ja apstrāde pamatojas uz Datu regulas 6.panta 1.punkta “a” apakšpunktu (datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem) vai Datu regulas 9.panta 2.punkta “a” apakšpunktu (īpašu kategoriju personas datu apstrāde ar datu subjekta piekrišanu un tiesisku iespēju šādus datus apstrādāt attiecīgajā valstī – datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde) tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;
    • tiesības iesniegt sūdzību uzraudzības iestādei;
    • informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;
    • tas, ja pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta Datu regulas 22.panta 1. un 4.punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

 

  • Ja biedrība kā pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, tā pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts šo noteikumu 2.4.3.apakšpunktā. Šo noteikumu 2.4.2., 2.4.3. un 2.4.4.apakšpunktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

 

  • Ja personas dati nav iegūti no datu subjekta, biedrība kā pārzinis datu subjektam sniedz šādu informāciju:
    • pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;
    • attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;
    • apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;
    • attiecīgo personas datu kategorijas;
    • personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir;
    • attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – Datu regulas 46. vai 47.pantā, vai 49.panta 1.punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.

 

  • Papildus šo noteikumu 2.4.5.apakšpunktā minētajai informācijai BCME personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:
    • laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
    • tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;
    • ja apstrāde pamatojas uz Datu regulas 6.panta 1.punkta “a” apakšpunktu (datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem) vai Datu regulas 9.panta 2.punkta “a” apakšpunktu (īpašu kategoriju personas datu apstrāde ar datu subjekta piekrišanu un tiesisku iespēju šādus datus apstrādāt attiecīgajā valstī – datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde) tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;
    • tiesības iesniegt sūdzību uzraudzības iestādei;
    • informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;
    • tas, ja pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta Datu regulas 22.panta 1. un 4.punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

 

  • Biedrība kā pārzinis šo noteikumu 2.4.5. un 2.4.6.apakšpunktā minēto informāciju sniedz:
    • saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;
    • ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai
    • vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.

 

  • Ja biedrība kā pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts šo noteikumu 2.4.6.apakšpunktā.

 

  • Šo noteikumu 2.4.5., 2.4.6., 2.4.7. un 2.4.8.apakš punktu nepiemēro, ja un ciktāl:
    • informācija jau ir datu subjekta rīcībā;
    • izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ievērojot Datu regulas 89.panta 1.punktā minētos nosacījumus un garantijas, vai ciktāl šo noteikumu 2.4.5.apakšpunktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus. Šādos gadījumos biedrība kā pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu;
    • iegūšana vai izpaušana ir skaidri paredzēta ES vai ES dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai
    • ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar ES vai ES dalībvalsts tiesību aktiem, ieskaitot statūtos noteiktu pienākumu glabāt noslēpumu.

 

2.5. Datu subjekta tiesību nodrošināšana

  • Datu subjektam ir tiesības saņemt no BCME apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:
    • apstrādes nolūki;
    • attiecīgo personas datu kategorijas;
    • personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;
    • ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
    • tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;
    • tiesības iesniegt sūdzību uzraudzības iestādei;
    • visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;
    • tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta Datu regulas 22. panta 1. un 4.punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

 

  • Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot Datu regulas 46.pantu.

 

  • BCME nodrošina apstrādē esošo personas datu kopiju. Par visām papildus kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā. Tiesības saņemt šajā apakšpunktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.

 

  • Datu subjektam ir tiesības panākt, lai biedrība bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

 

  • Datu subjektam ir tiesības panākt, lai BCME bez nepamatotas kavēšanās dzēstu datu subjekta personas datus (tiesības “tikt aizmirstam”), un biedrība kā pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv Datu regulas 17.pantā minētie nosacījumi.

 

  • Saskaņā ar Datu regulas 18.panta noteikumiem datu subjektam ir tiesības panākt, lai biedrība kā pārzinis ierobežotu personas datu apstrādi, kā arī saskaņā ar Datu regulas 19.pantu datu subjektam ir tiesības uz datu pārnesamību citam pārzinim.

 

  • Biedrība kā pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar Datu regulas 16., 17. un 18.panta prasībām, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. BCME informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.

 

  1. TEHNISKĀS UN ORGANIZATORISKĀS PRASĪBAS

 

3.1. Personas datu apstrāde, aizsardzība un glabāšana

  • Datu subjekta datu aizsardzībai BCME izmanto dažādus tehniskus un organizatoriskus drošības pasākumus. BCME datus uzglabā droši, un tie ir pieejami ierobežotam cilvēku skaitam, tikai pilnvarotām personām.

 

  • Personas datu saņēmēji ir BCME un tās pilnvarotās personas, datu subjekts pats, apstrādātāji, tiesībsargājošās vai uzraugošās iestādes, kā arī tiesa normatīvajos tiesību aktos noteiktajos gadījumos un kārtībā.

 

  • Laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai:
    • informācija, kas iegūta personāla atlases konkursa laikā, pilnībā vai daļēji tiek glabāta ne ilgāk kā 2 (divus) gadus par darbinieka amata pretendentiem, lai nodrošinātu biedrības tiesiskās intereses. Gadījumā, ja biedrība saņem sūdzības par konkrēto personāla atlases procesu, tad visa personāla atlases procesā apstrādātā informācija tiek saglabāta tik ilgi, cik nepieciešams konkrētajam procesam;
    • datu subjekta vārds, uzvārds, dzimums, personas kods, kontaktinformācija un cita informācija šajos noteikumos noteiktajā kārtībā – ne ilgāk kā 1 (vienu) gadu vai arī ilgāku laika posmu, ja to pieprasa speciālo normatīvo tiesību aktu prasības, tam piekrišanu ir devis datu subjekts vai atbilstoši šo noteikumu prasībām;
    • Personas datu glabāšanas laika posma noteikšanai tiek izmantoti šādi kritēriji:
      • kamēr ārējos normatīvajos tiesību aktos noteiktajā kārtībā datu subjekts vai biedrība var realizēt savas leģitīmās intereses (piemēram, prasījumu izskatīšana, tiesību aizsardzība, jautājumu risināšana, vest prasību tiesā vai noilguma ievērošana u.tml.);
      • kamēr kādai no pusēm pastāv juridisks pienākums datus glabāt. Pēc tam, kad šajā apakšpunktā minētie kritēriji nav piemērojami, personas dati tiek dzēsti vai iznīcināti, vai nodoti glabāšanai valsts arhīvam saskaņā ar normatīvo tiesību aktu prasībām.

 

3.2. Tehniski pasākumi datu aizsardzībai

  • Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, BCME īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:
    • personas datu pseidonimizāciju (jebkuras informācijas, ko varētu izmantot personas identificēšanai, aizstāšana ar pseidonīmu jeb vērtību, kas neļauj personu tieši identificēt) un šifrēšanu;
    • spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;
    • spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;
    • procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

 

  • BCME darbībā personas datu tehniskā aizsardzība tiek īstenota ar fiziskiem un loģiskiem aizsardzības līdzekļiem, nodrošinot aizsardzību pret fiziskās iedarbības radītu apdraudējumu un aizsardzību, kuru realizē tostarp ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem.

 

  • Biedrība veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem.

 

  • Fotouzņēmumu un videomateriālu uzņemšanas gadījumā BCME organizētu pasākumu (apmācības, konferences, semināri un citi pasākumi):
    • biedrība tās organizētu pasākumu ietvaros un telpās izvieto informatīvo paziņojumu pirms datu subjekts ir nonācis attiecīgajā darbības zonā, kurā tiek veikta fotografēšana vai filmēšana. Pārzinis informē datu subjektu par veikto personu datu apstrādi, novietojot redzamā vietā informatīvo zīmi un tajā norādot personas datu apstrādes nolūku, pārziņa nosaukumu un kontaktinformāciju, tiesisko pamatu un informāciju, kur ir pieejama detalizētāka informācija par veikto personas datu apstrādi; vai
    • informatīvajos materiālos (ielūgums, preses relīze, afiša u.tml.) par pasākumu iekļauj paziņojumu, ka pasākumā tiks veikta fotografēšana, filmēšana; un
    • pasākuma dalībnieku anketā iekļauj īpašu atzīmi, kur apmeklētājs piekrīt savu personas datu apstrādei pasākuma laikā;
    • lielākos pasākumos un konferencēs paredzama atsevišķa zona telpā, kur sēdēt un pulcēties apmeklētājiem, kuri nevēlas tikt fotografēti un filmēti. Īpaša uzmanība pievēršama gadījumos, kad pasākumā piedalās bērni, – šādā gadījumā fotografēšanas un filmēšanas gadījumā jāiegūst vecāku atļauja.

 

  • Biedrība šajos noteikumos noteiktajā kārtībā var uzturēt publisku fotouzņēmumu un video arhīvu, piemēram, biedrības Facebook lapā u.tml., taču fotouzņēmumiem un videomateriāliem jābūt uzņemtiem, ņemot vērā visus iepriekš minētos aspektus: pasākuma dalībnieki ir informēti par fotografēšanu, filmēšanu un neiebilst, ka fotouzņēmumi un videomateriāli tiek izmantoti publicitātes nolūkos; telpās ir izvietotas norādes par fotografēšanu un filmēšanu; paziņojumos medijiem un ielūgumos ir bijis norādīts, ka pasākuma laikā tiks fotografēts un filmēts.

 

  • Personas dati tiek uzglabāti un apstrādāti atbilstoši biedrības iekšējiem IT noteikumiem atbilstošā sistēmas serverī vai citā ar Datu regulas prasībām atbilstošā veidā. Ja tiek lietota bezvadu datu pārraide, jānodrošina drošības pasākumi (piemēram, ja bezvadu tīkls ir paredzēts lietošanai noteiktām gala ierīcēm, būtiski ir piesaistīt šo gala ierīču MAC adreses bezvadu maršrutētājam un citām ierīcēm liegt veidot savienojumu ar bezvadu maršrutētāju), lai datu pārraidē nebūtu pārrāvumi un personas dati noteiktu laiku tiktu saglabāti, kā arī dati netiktu pārtverti.

 

  • BCME nodrošina iegūto personas datu ierakstu fizisko drošību, lai tām nevarētu piekļūt nepiederošas personas, piemēram, darbinieku datoriem un sistēmām uzliekot individuālas paroles. Atbildīgā persona organizē regulāru IT tehnisko apkalpošanu, lai nodrošinātu IT sistēmu un programmatūras augstas kvalitātes darbspēju. Sistēmas datu rezerves kopijām nodrošināms tāds pats drošības un aizsardzības līmenis kā pamatdatiem.

 

  • Iepazīšanās ar personu datiem un to tiesiska izpaušana nodrošināma tā, lai tiktu identificēta persona, kura aplūkoja vai kurai izsniedza personas datus, kā arī šādu personas datu saņēmēju identitātes fiksācijai.

 

  • Ja personas datu apstrādē tiks iesaistītas citas personas (piemēram, sadarbības partneri, tiks iesaistīts apstrādātājs, mākoņkrātuve, CRM rīki), biedrība nodrošina kontroli pār katras puses teorētisku un praktisku piekļuvi personas datiem. Šādā gadījumā tiek novērtētas un līgumiski, kā arī tehniski paredzētas katras puses tiesības un pienākumi personas datu aizsardzībā atbilstoši Datu regulas noteikumiem.

 

  • Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt Datu regulas prasības un aizsargāt datu subjektu tiesības.

 

  • Biedrība īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.

 

3.3. Apmācību programma vai plāns darbiniekiem

  • BCME sistemātiski un ne retāk kā 1 (vienu) reizi kalendārā gada laikā nodrošina tā darbiniekiem un tiešajiem pārstāvjiem sekmīgu apmācību īstenošanu personas datu apstrādes un aizsardzības jomā.

 

  • Šo noteikumu 3.3.1.apakšpunktā paredzētais pienākums var tikt īstenots sadarbībā ar Inspekciju, BCME darbiniekiem un tiešajiem pārstāvjiem izmantojot Inspekcijas tīmekļa vietnē dvi.gov.lv pieejamo apmācību funkcionalitātes.

 

4. DATU APSTRĀDES PROCESĀ IESAISTĪTO PERSONU ATBILSTĪBA

 

  • Ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus un veidus, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus, lai izpildītu Datu regulā uzliktās saistības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt Datu regulas 13. un 14.pantā minēto informāciju (informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta un ja tie nav iegūti no datu subjekta); pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti saskaņā ar ES vai ES dalībvalsts tiesību aktiem, kas piemērojami pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu.

 

  • Šo noteikumu 4.1.apakšpunktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektiem. Vienošanās galveno saturu dara pieejamu datu subjektam. Neatkarīgi no šīs vienošanās nosacījumiem datu subjekts var īstenot savas tiesības attiecībā uz un pret katru pārzini.

 

  • Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, BCME izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas Datu regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

 

  • Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar ES vai ES dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts ietver nosacījumus, kas paredzēti Datu regulas 28.pantā.

 

  • BCME pēc pieprasījuma un atbilstoši nepieciešamībai sadarbojas ar Inspekciju tās uzdevumu izpildē.

 

  1. PERSONAS DATU AIZSARDZĪBAS PĀRKĀPUMA PĀRVALDĪBA

 

5.1. Pārkāpumu veidi un atklāšana

  • Gadījumā, ja, neskatoties uz ieviestajiem drošības pasākumiem, notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana, ir noticis personas datu aizsardzības pārkāpums. Pārkāpumus var iedalīt atbilstoši 3 (trīs) plaši pazīstamiem informācijas drošības principiem:
    • konfidencialitātes incidents – kur notikusi neautorizēta vai nejauša personas datu izpaušana vai piekļūšana tiem;
    • integritātes incidents – kad notikušas neautorizētas vai nejaušas izmaiņas personas datos;
    • pieejamības incidents – kad noticis nejaušs vai neautorizēts piekļuves personas datiem zaudējums vai arī personas dati iznīcināti.

 

  • Pārziņa (un arī apstrādātāja) rīcība katra atsevišķa pārkāpuma gadījumā ir saistīta ar iespējamiem riskiem fizisku personu tiesībām un brīvībām, kas pārkāpuma rezultātā var iestāties. Līdz ar to katra identificēta pārkāpuma gadījumā tūlīt pēc vai vienlaicīgi ar loģiskajiem tehniskajiem soļiem (piemēram, nelikumīgas piekļuves cēloņu novēršanas) ir veicama iespējamo risku fiziskās personas tiesībām un brīvībām novērtēšana.

 

5.2. Pārkāpuma novērtēšana un ziņošana

  • Ja iek noteikts, ka pārkāpums var radīt augstu risku fiziskas personas tiesībām un brīvībām:
    • Biedrībai bez nepamatotas kavēšanās jāpaziņo fiziskajām personām, kuras pārkāpums skar (Datu regulas 34.pants);
    • Biedrībai ne vēlāk kā 72 (septiņdesmit divu) stundu laikā jāpaziņo Inspekcijai par pārkāpumu Datu regulas 33.panta noteiktajā kārtībā. Ja tomēr paziņošana notiek vēlāk, tad jāskaidro iemesli kāpēc notikusi kavēšanās;
    • rūpīgi izmeklējami pārkāpuma cēloņi un jāveic pasākumi, lai novērstu atkārtotus pārkāpumus ilgtermiņā.

 

  • Ja tiek noteikts, ka ir ticams, ka pārkāpums ticami varētu radīt riskus fiziskas personas tiesībām un brīvībām:
    • Biedrībai ne vēlāk kā 72 (septiņdesmit divu) stundu laikā jāpaziņo Inspekcijai par pārkāpumu Datu regulas 33.panta noteiktajā kārtībā. Ja tomēr paziņošana notiek vēlāk, tad jāskaidro iemesli kāpēc notikusi kavēšanās;
    • rūpīgi izmeklējami pārkāpuma cēloņi un jāveic pasākumi, lai novērstu atkārtotus pārkāpumus ilgtermiņā.

 

  • Ja tiek noteikts, ka ir maz ticams, ka pārkāpums varētu radīt risku fiziskas personas tiesībām un brīvībām rūpīgi izmeklējami pārkāpuma cēloņi un jāveic pasākumi, lai novērstu atkārtotus pārkāpumus nākotnē.

 

5.3. Incidentu uzskaites reģistrs un apstrādes darbību reģistrēšana

  • Biedrība dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj Inspekcijai pārbaudīt Datu regulas 33.panta ievērošanu.

 

  • Nepieciešamības gadījumā Biedrība nodrošina personas datu apstrādes reģistru, lai to veiktā personas datu apstrāde būtu pārskatāma. Šāds reģistrs ir jāveido visiem komersantiem un organizācijām, kurās ir nodarbinātas vairāk kā 250 (divi simti piecdesmit) personas. Ja ir nodarbinātas mazāk kā 250 (divi simti piecdesmit) personas, reģistra izveide nav obligāta, ja vien organizācijas veiktā datu apstrāde nav regulāra, neskar īpašas kategorijas datus (piemēram, informācija par personas politiskajiem uzskatiem) vai personas datus par sodāmību un pārkāpumu, kā arī nerada risku personas tiesībām un brīvībām.

 

  1. NOVĒRTĒJUMS PAR IETEKMI UZ DATU AIZSARDZĪBU

 

  • Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

 

  • Saskaņā ar Datu regulas 35.panta 4.punktu 2018.gada 18.decembrī Inspekcija apstiprināja sarakstu ar tiem apstrādes darbības veidiem attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību (NIDA)[4], atbilstoši kuram un savu darbību apjomam Biedrība seko līdzi šo noteikumu 6.1.apakšpunktā noteiktā pienākuma izpildei.

 

  1. DATU AIZSARDZĪBAS SPECIĀLISTA NORĪKOŠANA

 

  • Datu aizsardzības speciālists ir persona ar speciālām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Tā galvenā funkcija ir, izmantojot savas speciālās zināšanas, sniegt neatkarīgu viedokli par biedrības plānoto vai jau ieviesto personas datu apstrādes procesu atbilstību Datu regulai un citiem saistošiem normatīvajiem aktiem.

 

  • Pārzinis nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību. Neatkarīgi no datu aizsardzības speciālista sniegtajiem ieteikumiem, atbildīga par personas datu apstrādi un ar to saistītiem jautājumiem ir Biedrība, kas speciālistu piesaistījusi, taču datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā.

 

  • Datu subjekti, tostarp arī biedrības darbinieki, var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu. Datu aizsardzības speciālistam ir saistoša slepenības vai konfidencialitātes ievērošana saistībā ar tā uzdevumu pildīšanu, kā paredzēts ES vai ES dalībvalstu tiesību aktos.

 

  • Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus. Pārzinis nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu. Datu speciālista uzdevumi ir noteikti Datu regulas 39.pantā.

 

  • Biedrība uz darba līguma vai ārpakalpojuma līguma pamata var iecelt:
    • speciālistu, kurš ir nokārtojis datu aizsardzības speciālista kvalifikācijas eksāmenu un tādējādi iekļauts Inspekcijas uzturētajā datu aizsardzības speciālistu sarakstā;
    • speciālistu, kurš nav iekļauts sarakstā, bet viņam ir atbilstošas praktiskās un teorētiskās zināšanas datu aizsardzības jomā.

 

  • Pēc datu aizsardzības speciālista iecelšanas vai atcelšanas biedrībai normatīvajos tiesību aktos noteiktajā kārtībā ir pienākums informēt Inspekciju par datu aizsardzības speciālista iecelšanu vai atcelšanu, norādot speciālista vārdu, uzvārdu un kontaktinformāciju (vismaz tālruņa numuru vai e-pasta adresi). Ieceļot datu aizsardzības speciālistu, tā kontaktinformācija ir jāpadara pieejama arī datu subjektiem, kuru datus organizācija apstrādā.

 

  1. PERSONAS DATU NOSŪTĪŠANA UZ TREŠAJĀM VALSTĪM UN STARPTAUTISKAJĀM ORGANIZĀCIJĀM

 

  • Personai, kura nosūta personas datus uz trešo valsti ir jāpārliecinās, ka personas datu aizsardzībai pastāv atbilstošas garantijas un datu subjektiem ir iespēja īstenot datu subjekta tiesības un ir pieejami efektīvi tiesiskās aizsardzības līdzekļi.

 

  • BCME nodrošina atbilstošās garantijas, iekļaujot abām pusēm (gan personas datu nodevējam, gan personas datu saņēmējam) juridiski saistošā dokumentā (līgums, vienošanās u.tml.), prasības personas datu aizsardzības ietvaram. Šajā dokumentā būtu skaidri jānorāda arī datu subjekta tiesību īstenošanas kārtība un datu subjektam pieejamie tiesiskās aizsardzības līdzekļi.

 

  • Citas valsts iestādes vai tiesas pieprasījums izpaust personas datus ir saistošs gadījumā, kad tas pamatots ar starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un ES vai kādu tās dalībvalsti. Atbilstoši Inspekcijas rīcībā esošajai informācijai šādos gadījumos pieprasījums izpaust personas datus ir virzāms izmantojot noteiktus tiesiskās palīdzības kanālus un privātpersonas rīkojumu izpaust personas datus saņems ar atbilstošās nacionālās iestādes vai tiesas starpniecību.

 

  • Personas datu nosūtīšana izņēmuma kārtā var notikt tikai tajā gadījumā, ja biedrība izpilda vismaz vienu no Datu regulas 49.panta “Atkāpes īpašās situācijās” nosacījumiem. Šīs atkāpes var izmantot tikai īpašās situācijās. Jebkurā gadījumā biedrībai ir jācenšas ieviest atbilstošus aizsardzības pasākumus un izmantot šos izņēmumus tikai tad, ja šādas atbilstošas garantijas nevar tikt nodrošinātas. Datu aizsardzības iestādes stingri interpretē Datu regulas 49.pantu, tāpēc izņēmums nevar kļūt par pamatu ilgstošai personas datu apstrādei.

 

  1. NOSLĒGUMA JAUTĀJUMS

BCME ir tiesīgs veikt izmaiņas un papildinājumus šajos noteikumos, kā arī nepieciešamības gadījumā publicēt šos noteikumus biedrības interneta vietnē sadaļas “Par mums” apakšsadaļā “Personas datu aizsardzība”.

 

[1]BCME 2018.gada 3.septembra statūtu 2.1.apakšpunkts.

[2]Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regula (ES) Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)  (Dokuments attiecas uz EEZ). OV L 119, 4.5.2016.

[3]Latvijas Republikas Satversme. Publicēts: Latvijas Vēstnesis, 43, 01.07.1993.; Latvijas Republikas Saeimas un Ministru Kabineta Ziņotājs, 6, 31.03.1994.; Valdības Vēstnesis, 141, 30.06.1922.; Diena, 81, 29.04.1993.

[4]Datu valsts inspekcijas 2018.gada 18.decembra rīkojums Nr.1-2.1/125 “Apstrādes darbību veidi, attiecībā uz kuriem ir jāveic datu aizsardzības ietekmes novērtējums saskaņā ar VDAR 35.panta 4.punktu”. Pieejams: https://www.dvi.gov.lv/lv/media/92/download?attachment (aplūkots 2025.gada 14.februarī).

Aktualitātes

Skatīt visas aktualitātes

Raksti

26. maijs, 2025.

Partnerība pozitīvām pārmaiņām – ceļā uz ilgtspējīgu sadarbību un medijpratības programmu stiprināšanu

Lasīt vairāk

Pētījumi

15. maijs, 2025.

Armēnijas mediju ievainojamības ziņojums 2025

Lasīt vairāk
thumbnail

Raksti

5. maijs, 2025.

Par apokalipsi ar aizrautību

Lasīt vairāk

Raksti

28. aprīlis, 2025.

Mākslīgā intelekta ieviešana mediju darbā: ažiotāžas vai reāla iespēja?

Lasīt vairāk

Apmācības

datums5. aprīlis, 2025. - 30. jūnijs, 2026.

Atbalsts digitālo kompetenču pilnveidošanai un tehnoloģiskai attīstībai

Lasīt vairāk

Raksti

4. aprīlis, 2025.

Vides terminu kabatas vārdnīca

Lasīt vairāk

Raksti

21. marts, 2025.

Dezinformācijas draudi un noturības stiprināšana

Lasīt vairāk

Pasākumi

datums18. janvāris - 1. februāris, 2025.

Baltijas jauniešu Mediju hakatons 2025

Lasīt vairāk

Raksti

8. maijs, 2024.

Kā sagatavoties krīzei? Un kā par to komunicēt?

Lasīt vairāk

Raksti

8. maijs, 2024.

Digitālās drošības principi: kā pasargāt sevi un kā rīkoties krīzē?

Lasīt vairāk
uz atpakaļu
uz priekšu