Informācijas un sistēmu drošības politika SIA iT on

(Privātuma un personas datu aizsardzības politika, kas paredzēta publicēšanai)

Datu pārzinis ir SIA IT ON, reģ. Nr. 40103429722, jur.adrese: mājas "Stropēni" Lielvārdes pag., Lielvārdes nov. LV5070 (turpmāk tekstā – UZŅĒMUMS).

Katrā uzņēmumā ir vajadzīgs rakstveidā nodibināt iekšējo kārtību, kādā informācija tiek uzņēmumā glabāta un apstrādāta, tāpat ir jāizveido ārējo kārtību – noteikumus pēc kādiem darbinieki vadās sniedzot PAKALPOJUMU visiem UZŅĒMUMA KLIENTIEM.

UZŅĒMUMS apņemas ievērot KLIENTA tiesības uz datu tiesisku apstrādi un datu, sistēmu aizsardzību, tai skaitā arī ievērot fizisko personu datu apstrādei piemērojamo normatīvo aktu prasības. Šīs privātuma un personas datu apstrādes politikas dokumenta (turpmāk tekstā - POLITIKA) izveides un publikācijas mērķis ir nodrošināt KLIENTAM paredzēto informāciju par to, kā UZŅĒMUMA sniegto PAKALPOJUMU laikā tiek apstrādāti klientu dati un kādus noteikumus ievēro visi UZŅĒMUMA DARBINIEKI.

Mums ir tiesības veikt papildinājumus šajā POLITIKĀ, padarot pieejamu KLIENTIEM tā aktuālo versiju ievietojot mūsu mājaslapā. POLITIKA laiku pa laikam tiek atjaunota un papildināta, kādēļ iesakām ik pa laikam atkārtoti iepazīties ar tās saturu.

1. Politikas mērķis

Uzņēmuma informācijas drošības sistēmas mērķis ir pasargāt Uzņēmuma darbiniekus, partnerus un klientus no nelikumīgām vai kaitējošām personu tiešām vai netiešām, apzinātām vai neapzinātām darbībām, apstrādājot informāciju un datus, kas nonāk attiecīgo personu rīcībā, kā arī lietojot noteiktu aprīkojumu savu darba pienākumu izpildes vajadzībām.

Politika regulē informācijas apstrādi jebkādās sistēmās vai jebkādos nesējos, kas iesaistīti datu/informācijas apstrādē Uzņēmumā, neatkarīgi no tā, vai datu/informācijas apstrāde ir saistīta ar Uzņēmuma iekšējām komercdarbības operācijām vai PAKALPOJUMU sniegšanas laikā, t.i. ārējām attiecībām ar Partneriem, KLIENTIEM vai jebkādām trešajām pusēm.

Mūsu POLITIKA regulē arī to, kā Darbinieki lieto viņiem pieejamo aprīkojumu un rīkus, savu darba pienākumu veikšanas ietvaros.  

2. Informācijas klasifikācija

Jebkādu informāciju/datus, kas kļūst pieejami Darbiniekiem, veicot savus darba pienākumus, ja šāda informācija/dati ir saistīti ar Uzņēmumu un tā darbību, klientiem vai sadarbības partneriem, ir jāuzskata par Uzņēmumam piederošu un konfidenciālu informāciju, ko, līdz ar to, aizsargā atbilstoši piemērojamie normatīvie akti par konfidenciālas informācijas, tirdzniecības, komercnoslēpumu un personas datu aizsardzību.

Lai nodrošinātu pienācīgu informācijas un datu aizsardzību, Uzņēmums veic iekšējo informācijas klasifikāciju. Informāciju/datus aizsargā neatkarīgi no tā, vai šāda informācija ir nonākusi Darbinieka rīcībā drukātu materiālu veidā, jebkādās datu uzglabāšanas ierīcēs, audio/video materiālu veidā vai jebkādā citā veidā.

3. Datu/informācijas apstrādē iesaistītās sistēmas

Jebkādas informācijas sistēmas, datortehnika, jebkāda veida programmatūra, jebkādas uzglabāšanas vides, tīkla konti, elektroniskā pasta konti un jebkāda cita tehniskā bāze un rīki, ko izmanto Uzņēmuma darbībā, uzskatāmi par Uzņēmuma īpašumu.

Jebkādas informācijas sistēmas, datortehnika, jebkāda veida programmatūra, jebkādas uzglabāšanas vides, tīkla konti, elektroniskā pasta konti un jebkāda cita tehniskā bāze un rīki, ko izmanto un kas kļūst pieejama sadarbībā ar Uzņēmuma Klientiem, uzskatāmi par Klienta īpašumu.

Ikvienam Darbiniekam ir pienākums lietot šādu tehnisko aprīkojumu un rīkus ar pienācīgu rūpību un uzmanību, un tikai ar Uzņēmuma komercdarbību saistītiem mērķiem.

Darbinieki var piekļūt tikai tām UZŅĒMUMA, KLIENTU vai PARTNERU ierīcēm, kam tieši vajadzīgs sniegt PAKALPOJUMU vai kas vajadzīgs attiecīgo Darbinieku tiešo darba pienākumu veikšanai, atbildības ietvaros un uz zinātvajadzības pamata. Piekļuves tiesības sistēmai nenozīmē, ka Darbinieks ir pilnvarots apskatīt vai apstrādāt daļēji vai visu attiecīgajā sistēmā esošo informāciju. 

4. Darbinieku pienākumi

Jebkāda informācija/dati, kas nonāk Darbinieka rīcībā, sniedzot PAKALPOJUMUS, pildot savus darba pienākumus, uzskatāmi par konfidenciāliem un lietojami kā konfidenciāli, ievērojot to aizsardzību saskaņā ar šo Politiku, un tos neizpauž nekādām trešajām pusēm.

Visus personas datus un citu informāciju, ar kuras palīdzību var identificēt fizisku personu, ievāc un apstrādā tikai, ja tas ir vajadzīgs un ciktāl tas ir vajadzīgs Darbinieka tiešo darba pienākumu veikšanas nolūkā, ar nosacījumu, ka šādas darbības tiek veiktas Darbiniekam piešķirto uzdevumu un pilnvaru robežās un saskaņā ar likumā paredzētajām datu aizsardzības prasībām.

Ikvienam Darbiniekam ir pienākums ievērot šo Politiku, kā arī pildīt spēkā esošo vietējo, reģionālo vai starptautisko normatīvo aktu prasības, kas paredz informācijas/datu apstrādes un aizsardzības nosacījumus. Politikas neievērošanu uzskata par būtisku noteiktās darba kārtības pārkāpumu. Tas tāpat var izraisīt pārkāpumu pieļāvušā Darbinieka saukšanu pie administratīvās vai kriminālās atbildības.

5. Drošības pasākumi

Visiem jebkādā formā (drukātā, elektroniskā, u.tml.) ievāktiem un apstrādātiem datiem un informācijai piemērojamas šīs Politikas un jebkāda normatīvā regulējuma prasības attiecībā uz datu/informācijas ievākšanu, apstrādi, aizsardzību un uzglabāšanu, un šādus dokumentus uzglabā Uzņēmuma norādītā, drošā vietā ar tādu uzglabāšanas termiņu, kādu paredz piemērojamie likumi un/vai norāda Uzņēmums.

Darbiniekiem aizliegts glabāt jebkādu konfidenciālu informāciju savās ierīcēs, izņemot informāciju, kas ir īslaicīgi nepieciešama konkrētai, ar darbu saistītai darbībai. Visa nepieciešamā konfidenciālā un personīgi identificējamā informācija jāuzglabā tikai Uzņēmuma IT personāla apstiprinātā mākoņa krātuvē, Uzņēmuma iekštīklā vai KLIENTA datu krātuvēs. Ir jāizvairās no jebkādas šādu datu lejupielādēšanas vietējās ierīcēs  un tas jādara tikai, ja tas ir pamatoti nepieciešams saistībā ar informācijas apstrādi darba vajadzībām.

Jebkurām mobilajām, portatīvajām ierīcēm (tostarp, klēpjdatoriem, planšetēm, viedtālruņiem un citām plaukstdatoru ierīcēm), kā arī jebkādām mākoņa informācijas uzglabāšanas vietām jābūt apstiprinātām no Uzņēmuma IT personāla puses un pienācīgi aizsargātām, lai novērstu neautorizētu piekļuvi.

Jebkurā gadījumā, ir stingri aizliegts izmantot publiskas piekļuves ierīces un tīklus (piemēram, interneta kafejnīcās, bibliotēkās, u.tml.), ja vien tas nav kritiski un steidzami nepieciešams saistībā ar darbu un Darbinieka tiešais vadītājs ir sniedzis skaidru rakstveida piekrišanu konkrētai un šādai darbībai.

Gadījumā, ja Darbiniekam tiek piešķirtas tiesības piekļūt uzņēmuma klienta vai sadarbības partnera datņu glabāšanas sistēmai, Darbiniekam ir pienākums lietot klienta vai partnera piešķirtos piekļuves rīkus un ievērot sniegtos norādījumus par drošas informācijas/datu apstrādes prasībām (tostarp, šifrēšanas sistēmu, paroļu lietošana, datu lietošanas ierobežojumi, īpaši paredzētu atrašanās vietu lietošana, u.tml.).

Tiklīdz, pēc Uzņēmuma ieskatiem, aizsargātie dati/informācija vairs nav vajadzīga Uzņēmuma darbībai vai PAKALPOJUMU sniegšanai, tad šādus datus/informāciju dzēš, uznīcina visas to kopijas, un attiecīgās informācijas /datu apstrādē iesaistītos Darbiniekus attiecīgi informē par viņu pienākumu dzēst/iznīcināt un nodot atpakaļ Uzņēmumam informāciju/datus, kas viņiem vairs nav vajadzīgi savu darba pienākumu veikšanai, un, jo īpaši, atdot atpakaļ Uzņēmumam, dzēst un iznīcināt kopijas, ja ar attiecīgo Darbinieku tiek izbeigtas darba tiesiskās attiecības.

Nekādu šajā Politikā minēto informāciju/datus nenosūta, nepārsūta un nekādā citā veidā neiesniedz Trešajai pusei, ja vien tas nav vajadzīgs Darbinieka konkrētā uzdevuma izpildei, un tikai ciktāl tas ir vajadzīgs šādu pienākumu izpildei. Gadījumā, ja datus pārsūta vai iesniedz Trešajām pusēm, ir noteikti jānodrošina datu aizsardzība un jāveic visi atbilstošie drošības pasākumi.

Uzņēmums auditē informācijas/datu apstrādē pielietotās sistēmas, lai kontrolētu nepārtrauktu atbilstību šai Politikai un piemērojamajām normatīvajām prasībām.

6. Aizliegtās darbības

DARBINIEKAM, izņemot īpaši paredzētus izņēmumus, Uzņēmumam, tā Klientiem vai sadarbības Partneriem piederošu aprīkojumu, sistēmas vai rīkus nekādā gadījumā un nekādos apstākļos nav atļauts izmantot ar Darbinieka darba pienākumiem vai ar Uzņēmuma darbību NEsaistītiem mērķiem.

Turpmāk minētās darbības ir stingri aizliegtas, bez izņēmumiem:

(a) Jebkuras personas vai uzņēmuma ar intelektuālā īpašuma tiesībām aizsargātu tiesību pārkāpšana, tostarp, jebkādas nelegālas programmatūras, tiešsaistes platformu, jebkādu citu elektronisko saturu, kurus Uzņēmums vai KLIENTS nav licencēts lietot, uzstādīšana, kopēšana, izplatīšana vai uzglabāšana jebkādās Uzņēmuma vai KLIENTA sistēmās vai aprīkojumā;

(b) Ar autortiesībām aizsargātu materiālu neautorizēta kopēšana, pārvietošana, uzglabāšana;

(c) Jebkuras personas tiesību aizskaršana, pārmērīgi vai bez vajadzības ievācot un apstrādājot attiecīgā subjekta personas datus;

(d) Piekļuve datiem, serveriem vai kontiem tādiem mērķiem, kas nav saistīti ar Uzņēmuma komercdarbību, PAKALPOJUMU sniegšanu vai attiecīgā Darbinieka darba pienākumu veikšanu;

(e) Programmatūras, tehniskās informācijas, šifrēšanas programmatūras vai tehnoloģijas eksportēšana, pārkāpjot piemērojamos starptautiskos vai nacionālos normatīvos aktus un/vai Uzņēmuma, KLIENTA norādījumus;

(f) Jebkādu datu vai informācijas, kurai ir īpašuma un/vai konfidenciāla vērtība Uzņēmumam vai KLIENTAM, eksportēšana, ja šāda eksportēšana nav nepieciešama Uzņēmuma komercdarbības, PAKALPOJUMU sniegšanas vai Darbinieka darba pienākumu veikšanas gaitā, un/vai, ja tā pārkāpj Uzņēmuma iekšējos noteikumus, piemērojamos normatīvos aktus;

(g) Darbinieka konta paroles atklāšana citām personām un citu personu pielaišana IT un mobilajai tehnikai lietojot šādu kontu (tostarp, bet neaprobežojoties arī ar Darbinieka ģimenes locekļiem);

(h) Krāpniecisku produkcijas, preču vai pakalpojumu piedāvājumu, vai trešo pušu preču, pakalpojumu piedāvājumu izveide, sūtīšana, izmantojot Uzņēmuma vai KLIENTU kontus;

(i) Tīkla sakaru drošības pārkāpumu vai pārtraukumu īstenošana. Šādi drošības pārkāpumi iekļauj, bet tie neaprobežojas ar piekļuvi datiem, ja Darbinieks nav to paredzētais saņēmējs, vai pierakstīšanos serverī vai kontā, kuram Darbinieks nav skaidri pilnvarots piekļūt, ja vien šādas piekļuves tiesības nav piešķirtas Darbiniekam saistībā ar attiecīgā Darbinieka dalību konkrētā Uzņēmuma projektā;

(j) Jebkādas programmas/skripta/komandas lietošana vai jebkāda veida ziņojuma nosūtīšana, ar nolūku vai bez, bet kas traucē vai atspējo UZŅĒMUMA vai KLIENTU darbinieku darbu.

7. Ziņošana par drošības incidentiem

Par visiem informācijas/datu apstrādes drošības incidentiem vai iespējamiem incidentiem nekavējoties ir jāziņo atbildīgajām personām, kuras, attiecīgi, veic visus pasākumus iespējamā kaitējuma novēršanai, radītā kaitējuma seku likvidēšanai un iepriekšējā vai augstāka drošības līmeņa realizāciju.

Ja piemērojams, UZŅĒMUMAM ir pienākums nodrošināt turpmāku ziņošanu par datu/informācijas drošības pārkāpumu KLIENTU vadībai, uzraudzības iestādēm un iesaistītajām fiziskajām personām, kā to paredz sadarbības līgumi ar KLIENTIEM, piemērojamie normatīvie akti un/vai Eiropas Savienības likumi.

8. Personas dati UZŅĒMUMĀ

Personas dati uzņēmumā atrodas un tiek apstrādāti tikai vienā nolūkā - informācijas sniegšanai valsts pārvaldes iestādēm un operatīvās darbības subjektiem ārējos normatīvajos aktos noteiktajos gadījumos un apjomā.

Iegūtie personas dati ir reģistrēti elektroniski un var tikt izmantoti tikai šādam mērķim - lai izpildītu UZŅĒMUMAM saistošos ārējos normatīvajos aktos noteiktu pienākumu, no kā izriet personas datu apstrādes tiesiskais pamats – normatīvo aktu izpilde.

Mēs nenododam iegūtos Datus trešajām pusēm, mēs nepārdodam, neiznomājam un neapmainām Klienta Datus, izņemot gadījumus, kad šādu izpaušanu pieprasa likums vai arī zemāk aprakstītajos gadījumos.

Mēs atklājam personas datus Eiropas savienības robežās ar drošām datu pārraides metodēm un tikai tādiem sadarbības partneriem, kuri iesaistīti UZŅĒMUMA darbības vai PAKALPOJUMU nodrošināšanā, piemēram, grāmatvedības pakalpojumu sniedzējiem. Šādiem mūsu partneriem ir jāapstrādā personas dati konfidenciāli un saskaņā ar likumdošanas prasībām, un tikai šo pakalpojumu sniegšanas mērķiem. Bez tam, viņiem tiek pieprasīts apstrādāt personas datus saskaņā ar šīm datu aizsardzības vadlīnijām un piemērojamo likumdošanu.

Informācijas atklāšana citām trešajām personām notiek drošā veidā un tikai pamatojoties uz likumīgi pamatotu pieprasījumu vai likumos noteiktu darbību.

Mums rūp mūsu un KlientU datu drošība un mēs saprātīgā apmērā izmantojam visas pieejamās tehniskās un organizatoriskās iespējas, lai uzglabātu datus tā, lai tie nebūtu pieejami trešajām pusēm. Visi dati tiek uzglabāti serveros, kas atbilst augstiem drošības standartiem un ir aizsargāti pret neautorizētu piekļuvi un nelikumīgu izmantošanu.

Saskaņā ar Fizisko personu datu aizsardzības likumu un Personas datu aizsardzības regulu, mūsu pienākums ir sniegt datu subjektam informāciju par to, kādi dati par viņu ir mūsu rīcībā, izņemot likumā noteiktus izņēmumus. Datu subjektam ir tiesības uz bezmaksas pieeju minētajai informācijai ne biežāk kā divas reizes gadā. Gadījumā, ja Klients mums pieprasīs šo informāciju biežāk nekā divas reizes gadā, mēs to nodrošināsim par atlīdzību, kuras apmērs būs tāds, lai segtu mums ar šīs informācijas nodrošināšanu radītās izmaksas.

Lūdzam informācijas pieprasījuma iesniegšanai izmantot e-pasta adresi: ITserviss( )IT-on.lv

Saņemot datu subjekta pieprasījumu par savu tiesību īstenošanu, mēs pārliecināsimies par Klienta identitāti, izvērtēsim pieprasījumu un izpildām to saskaņā ar normatīvajiem aktiem saprātīgā laika periodā.

9. Papildus informācija

Jebkuru jautājumu, pieprasījumu vai komentāru gadījumā attiecībā uz šo Informācijas un sistēmu drošības POLITIKU, lūdzam sazināties ar mums, rakstot uz e-pastu ITserviss@IT-on.lv

Šīs POLITIKAS tekstuālais saturs ir aizsargāts. Jebkāda veida kopēšana vai šī materiāla pilna vai daļēja izmantošana NAV ATĻAUTA bez rakstiskas piekrišanas no mūsu puses!

Dokumenta pirmreizējais radīšanas datums: 2018.gada 12.februāris.

Pēdējo izmaiņu datums: 2018. gada 17.aprīlis.

Publikācijas datums internetā: 2018. gada 17.aprīlis.

Visas tiesības aizsargātas!

 .