Personas datu apstrādes kārtība pašvaldības iestādē
“Veselības veicināšanas un sociālo pakalpojumu centrs”
Izdota saskaņā ar Eiropas Parlamenta un Padomes regulas Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula, kas stāsies spēkā 2018. gada 25. maijā),
Valsts pārvaldes iekārtas
likuma 72.panta pirmās daļas 2.punktu,
Fizisko personu datu aizsardzības likumu un
Ministru kabineta 2001.gada 30.janvāra noteikumiem Nr.40
„Personas datu aizsardzības obligātās tehniskās
un organizatoriskās prasības”
I. Vispārīgie jautājumi
1. Personas datu apstrādes kārtība (turpmāk –kārtība) Jūrmalas pilsētas pašvaldības iestādē “Jūrmalas veselības veicināšanas un sociālo pakalpojumu centrs”, (turpmāk –Iestāde), nosaka identificētu vai identificējamu fizisko personu, t.sk., klientu, likumisko pārstāvju, darbinieku datu (turpmāk – personas dati) aizsardzību Iestādē, personas datu aizsardzības tehniskās un organizatoriskās prasības, kuras ievēro apstrādājot personas datus, un kārtību, kā fiziskai personai, t.sk. klientam, vai klienta likumiskajam pārstāvim, izsniedzama informācija par klienta personas datiem un par personas datu nodošanu trešajām personām.
2. Kārtība attiecas uz visu veidu personas datu apstrādi Iestādē un ir saistoša visiem Iestādes darbiniekiem (t.sk. brīvprātīgā darba veicējiem, praktikantiem), kuri, pildot amata pienākumus, saskaņā ar normatīvajiem aktiem, darbinieka darba līgumu, amata aprakstu, Iestādes nolikumu, Iestādes vadītāja rīkojumu, ir saistīti ar Iestādes funkciju nodrošināšanu un veic personas datu apstrādi (turpmāk – darbinieks).
3. Personas datu aizsardzību Iestādē veic, ievērojot fizisko personu datu aizsardzību reglamentējošajos normatīvajos aktos, kārtībā, kā arī citos iekšējos normatīvajos aktos un rīkojumos, informāciju sistēmu lietošanas un drošību reglamentējošajos dokumentos noteiktās prasības.
4. Kārtībā lietotie termini:
4.1. personas dati – ir jebkura informācija, kas ir Iestādes rīcībā un attiecas uz identificētu vai identificējamu fizisku personu; identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
4.2. īpašo kategoriju personas dati (sensitīvie dati) - dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētiskie dati, biometriskie dati, lai veiktu fiziskas personas unikālu identifikāciju, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju.
4.3. datu subjekts – fiziska persona (t.sk. klients, klienta likumiskais pārstāvis, darbinieks), kuru var tieši vai netieši identificēt;
4.4. trešā persona – jebkura fiziska vai juridiska persona (nav darba tiesisko attiecību ar Iestādi), publiska iestāde, aģentūra vai cita struktūra, izņemot pašu datu subjektu, apstrādātājus (datu operatorus) un personas, kuras tieši pilnvarojusi Iestāde vai Jūrmalas pilsētas dome;
4.5. apstrādātājs (datu operators) - fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā un uzdevumā apstrādā personas datus;
4.6. personas datu apstrāde - jebkuras ar Iestādes rīcībā esošajiem personas datiem veiktās darbības vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, organizēšanu, strukturēšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu, izpaušanu, izplatīšanu vai citādi darot tos pieejamus, saskaņošanu, ierobežošanu, bloķēšanu, dzēšanu un iznīcināšanu;
4.7. datu subjekta piekrišana — Iestādes klienta vai klienta likumiskā pārstāvja brīvi, nepārprotami izteikts gribas apliecinājums, ar kuru viņš atļauj apstrādāt personas datus atbilstoši pārziņa sniegtajai informācijai;
4.8. personas datu aizsardzības pārkāpums – drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve;
4.9. informācijas un tehnisko resursu turētājs – Iestādes vadītājs.
4.10. informācijas sistēmu tehnisko resursu turētājs - Jūrmalas pilsētas domes Informācijas un komunikāciju tehnoloģiju pārvaldes vadītājs.
II. Par personas datu aizsardzību atbildīgās personas, to tiesības, pienākumi un atbildība
5. Par šīs kārtības ievērošanu Iestādē kopumā ir atbildīgs Iestādes vadītājs, kurš ar norīkoto Iestādes darbinieku palīdzību organizē personas datu apstrādes atbilstību normatīvo aktu prasībām un kontrolē datu subjektu tiesību ievērošanu.
6. Par personas datu apstrādi, informācijas un tehniskajiem resursiem ir atbildīgi darbinieki, kuru pienākumi noteikti darba līgumā un amata aprakstā un/vai kuri norīkoti ar Iestādes vadītāja rīkojumu.
III. Personas datu klasifikācija
7. Personas dati, tostarp īpašo kategoriju dati, kas tiek izmantoti personas datu apstrādē un pēc kuriem ir iespējams identificēt fizisku personu, ir klasificējami kā ierobežotas pieejamības informācija, kurai ir tiesības piekļūt tikai pilnvarotiem darbiniekiem.
8. Informācija, kurai nav piešķirta noteikta vērtības vai konfidencialitātes pakāpe un kuru neaizsargā arī normatīvie akti, ir vispārējās lietošanas informācija.
IV. Datu apstrādes organizatoriskā un drošības procedūra
9. Datu subjekta personas datus var apstrādāt tikai tiesiska un iepriekš noteikta mērķa sasniegšanai, kas saistīts ar Iestādes funkciju izpildi. Par mērķu noteikšanu atbildīga ir Jūrmalas pilsētas dome, Iestādes vadītājs ir atbildīgs par mērķu īstenošanu Iestādē, kā arī personas datu apstrādes atbilstību normatīvo aktu prasībām.
10. Personas dati nevar tikt izmantoti komerciāliem, politiskiem un citādiem mērķiem, kas nav saistīti ar Iestādes funkciju nodrošināšanu, ja nav saņemta datu subjekta vai tā likumiskā pārstāvja rakstiska piekrišana vai ja nepastāv cits pamats datu tiesiskai apstrādei.
11. Personas datu apstrādē tiek ievērots proporcionalitātes princips, kas paredz, ka Iestādei ir tiesības apstrādāt tikai tos datus un tādā apjomā, kas nepieciešami noteikta mērķa sasniegšanai.
12. Personas datu apstrādi veic Iestādes telpās, izņemot gadījumus, kad darbinieks ar piešķirto lietotājvārdu un paroli veic drošu attālinātu piekļuvi informācijas sistēmām. Personas datu apstrādes laiks ir darba laiks atbilstoši apstiprinātajiem darba kārtības noteikumiem vai laiks virs darba laika, ņemot vērā darbinieka darba specifiku.
13. Personas datu apstrādi veic tikai tie darbinieki, kuru amata pienākumos ietilpst veikt šādas darbības saskaņā ar normatīvo aktu, darba līgumu, amata aprakstu, Iestādes nolikumu vai vadītāja rīkojumu, ievērojot Vispārīgās datu aizsardzības regulas, Informācijas atklātības likuma un citos normatīvajos aktos noteiktās prasības. Informācijas sistēmās personas datus drīkst apstrādāt tikai tie darbinieki, kuram tehnisko resursu turētājs ir piešķīris attiecīgu piekļuvi informācijas sistēmai.
14. Datu subjekta personas kodu apstrādā (izmanto), ja personas koda apstrāde ir nepieciešama, lai sasniegtu noteiktu personas datu apstrādes mērķi un/vai to nosaka normatīvie akti.
15. Īpašo kategoriju datus apstrādā tikai Iestādes normatīvajos aktos noteikto funkciju un juridisko pienākumu veikšanai.
16. Datu nesējus papīra formā, kas satur īpašo kategoriju datus, glabā slēdzamos skapjos, nodrošinot ar papildus drošību, kā arī izvērtējot glabāšanas nepieciešamību.
17. Personas dati tiek apstrādāti un glabāti līdz noteiktā personas datu apstrādes mērķa sasniegšanai, saskaņā ar Iestādes noteikto lietu nomenklatūru, dokumentu un arhīvu pārvaldības un citu normatīvo aktu prasībām.
18. Pēc dokumentu pārvaldības gada noslēguma, atbildīgie darbinieki veic savā darbībā izveidojušos un lietvedībā pabeigtu lietu, kas satur personas datus, analīzi saskaņā ar to glabāšanas termiņiem un sagatavo pastāvīgi un ilgstoši glabājamās lietas nodošanai arhīvā turpmākai glabāšanai.
19. Īslaicīgi glabājamos dokumentus (līdz 10 gadiem ieskaitot) iekļauj dokumentu iznīcināšanas aktā, aktu saskaņo ar Latvijas Nacionālo arhīvu un pēc tam organizē aktā iekļauto lietu iznīcināšanu.
20. Datu nesēji papīra formātā, kuri satur personas datus, t.sk. visus dokumentu sagatavošanas procesā radušos un turpmākam darbam nederīgos pierakstus (arī pašrocīgi veiktos), kuri vairāk nav nepieciešami noteiktā datu apstrādes mērķa sasniegšanai, un kuri nav jāsaglabā atbilstoši Iestādes noteiktajai lietu nomenklatūrai, darbinieks iznīcina, izmantojot dokumentu smalcinātājus.
21. Darbinieks pēc dokumentu pārvaldības gada noslēguma izdzēš no savā pārziņā esošiem datu nesējiem elektroniski saglabātu informāciju, kas satur personas datus, ja tie vairāk nav nepieciešami datu apstrādes mērķa sasniegšanai.
22. Nodibinot darba tiesiskās attiecības un slēdzot darba līgumu, persona tiek identificēta, uzrādot pases vai ID kartes oriģinālu, un personas lietā tiek saglabāta informācija par darbinieka identitāti, t.sk. vārdu, uzvārdu, identifikācijas kodu, pases datiem vai ID kartes datiem (numurs, izdošanas datums, izdevēja iestāde, derīguma termiņš), iegūtās izglītības un kvalifikācijas paaugstināšanas apliecinošu dokumentu kopijas, ieņemamo amatu.
23. Turpmākā darba attiecību periodā darbinieku identificē ar vārdu, uzvārdu un ieņemamo amatu, gadījumos kad vairākiem darbiniekiem sakrīt minētie dati, darbinieks tiek identificēts norādot personas koda pirmo daļu vai ieņemamo amatu.
24. Darbiniekam uzrādot citus dokumentus, t.sk. bērna dzimšanas apliecību, laulību apliecību, miršanas apliecību, personas lietā un/vai Iestādes izdotā dokumentā, t.sk. rīkojumā norāda uzrādītā dokumenta nosaukumu, izdošanas datumu, izdevēja iestādi, citu datu apstrādes mērķa sasniegšanai nepieciešamo informāciju, nesaglabājot dokumenta kopiju.
25. Iestāde kā darba devējs ir tiesīga apstrādāt tikai to darbinieka personas datu kopumu, kas ir nepieciešams, lai īstenotu normatīvajos aktos noteiktās prasības un pienākumus un nodrošinātu darbinieka amata pienākumu pildīšanu. Papildus personas datu uzkrāšana un apstrāde pieļaujama tikai ar darbinieka rakstisku piekrišanu.
26. Lai novērstu personas datu prettiesisku apstrādi, Iestāde nodrošina darbinieku:
26.1. instruktāžu par personas datu apstrādes jautājumiem, iepazīstināšanu ar šo kārtību un Iestādes iekšējiem noteikumiem par informācijas sistēmu lietošanu;
26.2. personas datu apstrādes plānotas un neplānotas pārbaudes.
27. Konstatējot informācijas nesēja drošības apdraudējumu vai personas datu aizsardzības pārkāpumu (turpmāk – drošības pārkāpums), darbinieks nekavējoties, ne vēlāk kā divu stundu laikā, rakstiski ziņo Iestādes vadītājam ( prombūtnes gadījumā -darbiniekam, kas aizvieto vadītāju), ziņojumā iekļaujot šādu informāciju:
27.1. datumu un laiku, kad noticis (konstatēts) drošības pārkāpums;
27.2. drošības pārkāpuma aprakstu tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo datu ierakstu kategorijas un aptuveno skaitu;
27.3. pasākumus, kas veikti drošības pārkāpuma pārvaldīšanai (identificēšanai, novērtēšanai, samazināšanai, kontrolēšanai);
27.4. personas kontaktinformāciju, kurai ziņots par drošības pārkāpumu;
28. Noteikumu 27. punktā konstatētajā gadījumā saglabā pierādījumus.
29. Iestādes vadītājs, saņemot ziņojumu par drošības pārkāpumu, izvērtē to un, ja nepieciešams, nekavējoties, ne vēlāk kā divu stundu laikā, iesniedz to pašvaldības izpilddirektoram (prombūtnes gadījumā izpilddirektora vietniekam), vienlaikus informē Jūrmalas pilsētas domes personas datu aizsardzības speciālistu.
V. Personas datu apstrādātāju tiesības, pienākumi, ierobežojumi un atbildība
30. Darbinieks tam piešķirtos tehniskos resursus un informācijas resursus, t.sk. personas datus, drīkst izmantot tikai Iestādes noteiktajā kārtībā un tikai tiešo darba pienākumu pildīšanai.
31. Apstrādāt personu datus un iegūt (aplūkot) informāciju var tikai tam pilnvaroti darbinieki un tikai tādā apjomā, lai veiktu darba līgumā, amata aprakstā, struktūrvienības nolikumā vai Iestādes vadītāja rīkojumā noteikto pienākumu izpildi.
32. Darbiniekam aizliegts personas datus izpaust vai nodot trešajām personām, kā arī iegūto informāciju izmantot darbībām, kas nav saistītas Iestādes noteikto pienākumu un funkciju izpildi.
33. Aizliegts izmantot informācijas sistēmas un personas datus personīgām vajadzībām un komerciāliem mērķiem.
34. Darbiniekam ir pienākums neizpaust personas datus un citu informāciju, kuru apstrādā, veicot amata pienākumus, esot darba tiesiskajās attiecībās, kā arī pēc darba tiesisko attiecību izbeigšanas.
35. Gadījumos, kad ir atklāta personas datu neprecizitāte, darbiniekam ir pienākums veikt visas nepieciešamās darbības, lai šīs neprecizitātes novērstu, un/vai ziņot par neatbilstību informācijas resursu turētājam.
36. Veicot personas datu apstrādi, darbiniekam jānodrošina, ka dati tiek lietoti tādā apjomā, kādā tas nepieciešams noteiktā uzdevuma izpildei. Papildus personas datu uzkrāšana un apstrāde nav pieļaujama.
37. Darbinieks nedrīkst saņemto informāciju patvaļīgi pārveidot, publicēt, piedalīties tās nodošanā vai pārdošanā un reproducēt kopumā vai daļēji. Jebkuras darbības ar datiem, ieskaitot to vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu, drīkst veikt tikai Iestādes noteiktā kārtībā amata pienākumu izpildei.
38. Darbinieks nedrīkst saņemto informāciju un personas datus glabāt publiski pieejamās vietās un atstāt trešajām personām (arī citiem Iestādes darbiniekiem) brīvi redzamās vietās, kā arī telefoniski vai citā veidā sniegt informāciju par personas datiem.
39. Darbinieks, atbilstoši kompetencei nodrošina, lai personas datu apstrādes telpās trešās personas uzturas tikai darbinieka klātbūtnē.
40. Beidzot darbu, darbinieks nodrošina, ka datu nesēji, t.sk. papīra formā, kuri satur personas datus, tiek novietoti citām personām brīvi nepieejamās vietās.
41. Darbinieks, veicot personas datu apstrādi datorā, izmantojot lietotājvārdu un paroli kā personas datu aizsardzības līdzekli, ievēro kārtību, kas noteikta informācijas sistēmu lietošanas un drošību reglamentējošajos normatīvajos aktos.
42. Darbinieks atbilstoši kompetencei nodrošina, lai tam izsniegtais (nodotais) informācijas nesējs nebūtu pieejams personām, kas nav pilnvarotas apstrādāt informācijas nesējā esošos personas datus, t.sk. neatstāj neaizslēgtu telpu, neatstāj informācijas nesēju ārpus personas datu apstrādes telpām.
43. Izejot no personas datu apstrādes telpas, atstāt personālo datoru (darbstaciju) tādā stāvoklī, lai darbu ar to varētu atsākt tikai pēc darbinieka autentifikācijas un autorizācijas.
44. Darbinieks tam uzticētos personas datus drīkst izpaust citam darbiniekam pēc tam, kad ir pārliecinājies, ka attiecīgais darbinieks, saskaņā ar Iestādes iekšējiem normatīvajiem aktiem, ir tiesīgs apstrādāt šos personas datus.
45. Par prettiesiskām darbībām ar fiziskās personas datiem, darbinieku var saukt pie normatīvajos aktos paredzētās atbildības.
46. Darbiniekam ir pienākums sadarboties ar informācijas sistēmu tehnisko resursu turētāju un Jūrmalas pilsētas domes personas datu aizsardzības speciālistu, lai varētu tikt realizētas šajos noteikumos noteiktās tiesības un pienākumi.
47. Darbinieks, savas kompetences ietvaros, var sniegt informāciju par personas datiem, ja tos pieprasījis pats datu subjekts par sevi, pirms tam identificējot datu subjektu (t.sk. dokuments parakstīts ar drošu elektronisko parakstu vai sūtīts no oficiālās elektroniskās adreses, klātienē uzrādot pasi, ID karti).
VI. Datu subjekta tiesības
48. Datu subjektam ir tiesības vērsties Iestādē un saņemt apstiprinājumu, ka attiecībā uz datu subjektu tiek apstrādāti personas dati, kā arī iegūt informāciju par apstrādes mērķiem, apstrādāto datu kategorijām, datu saņēmēju kategorijām, glabāšanas laikposmu vai kritēriji datu glabāšanas laikposma noteikšanai, tiesības vērsties pie Iestādes, lai veiktu datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, vai iebilst pret prettiesisku datu apstrādi.
49. Ja datu subjekts var pamatot, ka personas dati ir nepilnīgi, novecojuši, nepatiesi, prettiesiski apstrādāti vai arī tie vairs nav nepieciešami vākšanas mērķim, Iestādes pienākums ir nekavējoties novērst konstatēto nepilnību vai pārkāpumu un par to paziņot trešajām personām, kas iepriekš ir saņēmušas neprecīzos datus.
50. Datu subjektam ir tiesības mēneša laikā no attiecīga pieprasījuma iesniegšanas dienas saņemt rakstisku pārziņa pamatotu atbildi par pieprasījuma izskatīšanu.
VII. Klientu personas dati un to apstrādes nosacījumi
51. Klientu fotogrāfiju izmantošana Iestādes dokumentos, kā arī publiska to izmantošana Iestādes telpās vai citādi ir atļauta pēc tam, kad ir saņemta Klienta vai Klienta likumiskā pārstāvja rakstiska piekrišana (pielikums Nr. 1).
52. Klients un klienta likumiskais pārstāvis, kurš ir sniedzis piekrišanu fotogrāfiju apstrādei, ir tiesīgs atsaukt savu piekrišanu, kā arī var lūgt konkrētu fotogrāfiju dzēšanu.
53. Citas personas (fotokompānijas, privātie fotogrāfi u. tml.) var veikt klientu fotografēšanu, filmēšanu tikai ar Iestādes vadības un klienta vai klienta likumiskā pārstāvja attiecīgas piekrišanas, nosakot fotogrāfiju un filmēšanas ierakstu apstrādes nosacījumus.
54. Aizliegts fotografēt klientus neestētiskās pozās, pazemojošās situācijās, neapģērbtus.
55. Klientu likumiskajiem pārstāvjiem atļauts veikt klientu fotografēšanu vai filmēšanu, ja tā tiek veikta personiskām un ģimenes vajadzībām, turklāt personas dati netiek izpausti trešajām personām.
56. Klientu raksturojums un personības iezīmes netiek izpaustas trešajām personām, kuras tieši nav saistītas ar Iestādes funkciju izpildi.
57. Informācija par klienta veselības stāvokli netiek sniegta trešajām personām, izņemot gadījumus, kad tas noteikts normatīvajos aktos, vai lai aizsargātu klienta vitāli svarīgas intereses, tajā skaitā dzīvību un veselību.
VIII. Personas datu nodošana trešajām personām
58. Personas datus, var nodot trešajām personām tikai ar pašas personas piekrišanu, kā arī saņemot informācijas pieprasījumu no valsts un pašvaldību amatpersonām, normatīvajos aktos noteiktajos gadījumos.
59. Sūtot elektroniski trešajām personām informāciju, kas satur personas datus, t.sk. īpašo kategoriju personas datus, to pievieno elektroniskā sūtījuma pielikumā, šifrējot dokumentu (dokumentu arhīvu) ar paroli. Darbinieks sazinās ar informācijas saņēmēju, lai nodotu pielikuma atvēršanas paroli.
60. Personas datu pieprasījumam jāsatur informācija, kas ļauj identificēt datu pieprasītāju un datu subjektu, jābūt norādītam datu pieprasījuma tiesiskajam pamatam, kā arī jābūt norādītam pieprasīto datu apjomam un to izmantošanas mērķim.
61. Pirms personas datu nodošanas trešajai personai, darbinieks izvērtē:
61.1. datu nodošanas tiesisko pamatu;
61.2. trešās personas tiesības saņemt pieprasītos personas datus;
61.3. izsniedzamās informācijas apjomu un mērķi.
62. Ja darbinieks konstatē, ka trešajai personai nav tiesības saņemt pieprasītos personas datus vai arī pieprasītajā apjomā, tiek sagatavots atbilstošs rakstveida atteikums vai daļējs atteikums izsniegt personas datus, kas saskaņojams ar Iestādes vadītāju.
63. Publicējot vai izsniedzot dokumentus vai to atvasinājumus, atbildīgais darbinieks nodrošina trešo personu datu dzēšanu, aizstājot ar atbilstošu norādi:
63.1. personas vārdu un uzvārdu – ar vārdiem ’’Vārds, Uzvārds’’
63.2. personas kodu – ar vārdiem ’’personas kods”;
63.3. dzīvesvietas adresi – ar vārdu ’’dzīvesvieta”;
63.4. nekustamā īpašuma adresi – ar vārdu ’’adrese”;
63.5. nekustamā īpašuma kadastra numuru – ar vārdiem ’’kadastra numurs”;
63.6. automašīnas valsts reģistrācijas numuru – ar vārdiem ’’reģistrācijas numurs”;
63.7. kredītiestādes konta numuru – ar vārdiem ’’konta numurs’’.
64. Saņemot trešo personu informācijas pieprasījumu gadījumos, kad Iestādes rīcībā nav pieprasīto datu, mēneša laikā rakstiski informē par to datu pieprasītāju.
IX. Noslēguma jautājumi
65. Noteikt, ka šo noteikumu 27.-29. punkti stāsies spēkā ar 2018. gada 25. maiju.
