Informācijas un sistēmu drošības politika SIA iT on
(Privātuma un personas datu aizsardzības politika, kas paredzēta publicēšanai)
Informācijas un sistēmu drošības politika SIA iT on
(Privātuma un personas datu aizsardzības politika, kas paredzēta publicēšanai)
Datu pārzinis ir SIA IT ON, reģ. Nr.
40103429722, jur.adrese: mājas
"Stropēni" Lielvārdes pag., Lielvārdes nov. LV5070 (turpmāk tekstā –
UZŅĒMUMS).
Katrā
uzņēmumā ir vajadzīgs rakstveidā nodibināt iekšējo kārtību, kādā informācija
tiek uzņēmumā glabāta un apstrādāta, tāpat ir jāizveido ārējo kārtību –
noteikumus pēc kādiem darbinieki vadās sniedzot PAKALPOJUMU visiem UZŅĒMUMA
KLIENTIEM.
UZŅĒMUMS apņemas ievērot KLIENTA
tiesības uz datu tiesisku apstrādi un datu, sistēmu aizsardzību, tai skaitā arī
ievērot fizisko personu datu apstrādei piemērojamo normatīvo aktu prasības. Šīs
privātuma un personas datu apstrādes politikas dokumenta (turpmāk tekstā - POLITIKA)
izveides un publikācijas mērķis ir nodrošināt KLIENTAM paredzēto informāciju
par to, kā UZŅĒMUMA sniegto PAKALPOJUMU
laikā tiek apstrādāti klientu dati un kādus noteikumus ievēro visi UZŅĒMUMA
DARBINIEKI.
Mums ir tiesības veikt papildinājumus šajā POLITIKĀ, padarot pieejamu KLIENTIEM
tā aktuālo versiju ievietojot mūsu mājaslapā. POLITIKA laiku pa laikam tiek atjaunota
un papildināta, kādēļ iesakām ik pa laikam atkārtoti iepazīties ar tās saturu.
Uzņēmuma informācijas drošības sistēmas mērķis ir pasargāt Uzņēmuma darbiniekus, partnerus un klientus no nelikumīgām vai kaitējošām personu tiešām vai
netiešām, apzinātām vai neapzinātām darbībām, apstrādājot informāciju un datus,
kas nonāk attiecīgo personu rīcībā, kā arī lietojot noteiktu aprīkojumu savu
darba pienākumu izpildes vajadzībām.
Politika regulē informācijas apstrādi jebkādās sistēmās vai jebkādos
nesējos, kas iesaistīti datu/informācijas apstrādē Uzņēmumā, neatkarīgi no tā, vai datu/informācijas apstrāde ir
saistīta ar Uzņēmuma iekšējām
komercdarbības operācijām vai PAKALPOJUMU sniegšanas laikā, t.i. ārējām
attiecībām ar Partneriem,
KLIENTIEM vai jebkādām trešajām pusēm.
Mūsu POLITIKA
regulē arī to, kā Darbinieki
lieto viņiem pieejamo aprīkojumu un rīkus, savu darba pienākumu veikšanas
ietvaros.
Jebkādu
informāciju/datus, kas kļūst pieejami Darbiniekiem,
veicot savus darba pienākumus, ja šāda informācija/dati ir saistīti ar Uzņēmumu un tā darbību, klientiem vai sadarbības partneriem, ir jāuzskata par Uzņēmumam piederošu un konfidenciālu
informāciju, ko, līdz ar to, aizsargā atbilstoši piemērojamie normatīvie akti
par konfidenciālas informācijas, tirdzniecības, komercnoslēpumu un personas
datu aizsardzību.
Lai nodrošinātu
pienācīgu informācijas un datu aizsardzību, Uzņēmums
veic iekšējo informācijas klasifikāciju. Informāciju/datus aizsargā neatkarīgi
no tā, vai šāda informācija ir nonākusi Darbinieka
rīcībā drukātu materiālu veidā, jebkādās datu uzglabāšanas ierīcēs, audio/video
materiālu veidā vai jebkādā citā veidā.
Jebkādas
informācijas sistēmas, datortehnika, jebkāda veida programmatūra, jebkādas
uzglabāšanas vides, tīkla konti, elektroniskā pasta konti un jebkāda cita
tehniskā bāze un rīki, ko izmanto Uzņēmuma
darbībā, uzskatāmi par Uzņēmuma īpašumu.
Jebkādas
informācijas sistēmas, datortehnika, jebkāda veida programmatūra, jebkādas
uzglabāšanas vides, tīkla konti, elektroniskā pasta konti un jebkāda cita
tehniskā bāze un rīki, ko izmanto un kas kļūst pieejama sadarbībā ar Uzņēmuma Klientiem, uzskatāmi par Klienta īpašumu.
Ikvienam Darbiniekam ir pienākums lietot šādu
tehnisko aprīkojumu un rīkus ar pienācīgu rūpību un uzmanību, un tikai ar Uzņēmuma komercdarbību saistītiem
mērķiem.
Darbinieki var
piekļūt tikai tām UZŅĒMUMA, KLIENTU vai PARTNERU ierīcēm, kam tieši vajadzīgs
sniegt PAKALPOJUMU vai kas vajadzīgs attiecīgo Darbinieku tiešo darba pienākumu veikšanai, atbildības
ietvaros un uz zinātvajadzības pamata. Piekļuves tiesības sistēmai nenozīmē,
ka Darbinieks ir pilnvarots
apskatīt vai apstrādāt daļēji vai visu attiecīgajā sistēmā esošo
informāciju.
Jebkāda
informācija/dati, kas nonāk Darbinieka
rīcībā, sniedzot PAKALPOJUMUS, pildot savus darba pienākumus, uzskatāmi par
konfidenciāliem un lietojami kā konfidenciāli, ievērojot to aizsardzību saskaņā
ar šo Politiku, un tos neizpauž
nekādām trešajām pusēm.
Visus personas
datus un citu informāciju, ar kuras palīdzību var identificēt fizisku personu,
ievāc un apstrādā tikai, ja tas ir vajadzīgs un ciktāl tas ir vajadzīgs Darbinieka tiešo darba pienākumu
veikšanas nolūkā, ar nosacījumu, ka šādas darbības tiek veiktas Darbiniekam piešķirto uzdevumu un pilnvaru
robežās un saskaņā ar likumā paredzētajām datu aizsardzības prasībām.
Ikvienam Darbiniekam ir pienākums ievērot šo Politiku, kā arī pildīt spēkā esošo
vietējo, reģionālo vai starptautisko normatīvo aktu prasības, kas paredz
informācijas/datu apstrādes un aizsardzības nosacījumus. Politikas neievērošanu uzskata par
būtisku noteiktās darba kārtības pārkāpumu. Tas tāpat var izraisīt pārkāpumu
pieļāvušā Darbinieka saukšanu pie
administratīvās vai kriminālās atbildības.
Visiem jebkādā
formā (drukātā, elektroniskā, u.tml.) ievāktiem un apstrādātiem datiem un
informācijai piemērojamas šīs Politikas
un jebkāda normatīvā regulējuma prasības attiecībā uz datu/informācijas
ievākšanu, apstrādi, aizsardzību un uzglabāšanu, un šādus dokumentus uzglabā Uzņēmuma norādītā, drošā vietā ar tādu
uzglabāšanas termiņu, kādu paredz piemērojamie likumi un/vai norāda Uzņēmums.
Darbiniekiem aizliegts glabāt jebkādu konfidenciālu informāciju savās ierīcēs,
izņemot informāciju, kas ir īslaicīgi nepieciešama konkrētai, ar darbu
saistītai darbībai. Visa nepieciešamā konfidenciālā un personīgi identificējamā
informācija jāuzglabā tikai Uzņēmuma
IT personāla apstiprinātā mākoņa krātuvē, Uzņēmuma
iekštīklā vai KLIENTA datu krātuvēs. Ir jāizvairās no jebkādas šādu datu
lejupielādēšanas vietējās ierīcēs un tas
jādara tikai, ja tas ir pamatoti nepieciešams saistībā ar informācijas apstrādi
darba vajadzībām.
Jebkurām
mobilajām, portatīvajām ierīcēm (tostarp, klēpjdatoriem, planšetēm,
viedtālruņiem un citām plaukstdatoru ierīcēm), kā arī jebkādām mākoņa
informācijas uzglabāšanas vietām jābūt apstiprinātām no Uzņēmuma IT personāla puses un pienācīgi aizsargātām, lai
novērstu neautorizētu piekļuvi.
Jebkurā
gadījumā, ir stingri aizliegts izmantot publiskas piekļuves ierīces un tīklus
(piemēram, interneta kafejnīcās, bibliotēkās, u.tml.), ja vien tas nav kritiski
un steidzami nepieciešams saistībā ar darbu un Darbinieka tiešais vadītājs ir sniedzis skaidru rakstveida
piekrišanu konkrētai un šādai darbībai.
Gadījumā, ja Darbiniekam tiek piešķirtas tiesības
piekļūt uzņēmuma klienta vai
sadarbības partnera datņu
glabāšanas sistēmai, Darbiniekam
ir pienākums lietot klienta vai partnera piešķirtos piekļuves rīkus un
ievērot sniegtos norādījumus par drošas informācijas/datu apstrādes prasībām
(tostarp, šifrēšanas sistēmu, paroļu lietošana, datu lietošanas ierobežojumi,
īpaši paredzētu atrašanās vietu lietošana, u.tml.).
Tiklīdz, pēc Uzņēmuma ieskatiem, aizsargātie
dati/informācija vairs nav vajadzīga Uzņēmuma
darbībai vai PAKALPOJUMU sniegšanai, tad šādus datus/informāciju dzēš, uznīcina
visas to kopijas, un attiecīgās informācijas /datu apstrādē iesaistītos Darbiniekus attiecīgi informē par viņu
pienākumu dzēst/iznīcināt un nodot atpakaļ Uzņēmumam
informāciju/datus, kas viņiem vairs nav vajadzīgi savu darba pienākumu
veikšanai, un, jo īpaši, atdot atpakaļ Uzņēmumam,
dzēst un iznīcināt kopijas, ja ar attiecīgo Darbinieku
tiek izbeigtas darba tiesiskās attiecības.
Nekādu šajā Politikā minēto informāciju/datus
nenosūta, nepārsūta un nekādā citā veidā neiesniedz Trešajai pusei, ja vien tas
nav vajadzīgs Darbinieka konkrētā
uzdevuma izpildei, un tikai ciktāl tas ir vajadzīgs šādu pienākumu izpildei.
Gadījumā, ja datus pārsūta vai iesniedz Trešajām pusēm, ir noteikti jānodrošina
datu aizsardzība un jāveic visi atbilstošie drošības pasākumi.
Uzņēmums auditē informācijas/datu apstrādē pielietotās sistēmas, lai
kontrolētu nepārtrauktu atbilstību šai Politikai
un piemērojamajām normatīvajām prasībām.
DARBINIEKAM,
izņemot īpaši paredzētus izņēmumus, Uzņēmumam,
tā Klientiem vai sadarbības Partneriem piederošu aprīkojumu,
sistēmas vai rīkus nekādā gadījumā un nekādos apstākļos nav atļauts izmantot ar Darbinieka
darba pienākumiem vai ar Uzņēmuma
darbību NEsaistītiem mērķiem.
(a)
Jebkuras personas vai uzņēmuma ar intelektuālā īpašuma tiesībām aizsargātu
tiesību pārkāpšana, tostarp, jebkādas nelegālas programmatūras, tiešsaistes
platformu, jebkādu citu elektronisko saturu, kurus Uzņēmums vai KLIENTS nav licencēts lietot, uzstādīšana,
kopēšana, izplatīšana vai uzglabāšana jebkādās Uzņēmuma vai KLIENTA sistēmās vai aprīkojumā;
(b)
Ar autortiesībām aizsargātu materiālu neautorizēta kopēšana, pārvietošana,
uzglabāšana;
(c)
Jebkuras personas tiesību aizskaršana, pārmērīgi vai bez vajadzības ievācot un
apstrādājot attiecīgā subjekta personas datus;
(d)
Piekļuve datiem, serveriem vai kontiem tādiem mērķiem, kas nav saistīti ar Uzņēmuma komercdarbību, PAKALPOJUMU
sniegšanu vai attiecīgā Darbinieka
darba pienākumu veikšanu;
(e)
Programmatūras, tehniskās informācijas, šifrēšanas programmatūras vai
tehnoloģijas eksportēšana, pārkāpjot piemērojamos starptautiskos vai nacionālos
normatīvos aktus un/vai Uzņēmuma,
KLIENTA norādījumus;
(f)
Jebkādu datu vai informācijas, kurai ir īpašuma un/vai konfidenciāla vērtība Uzņēmumam vai KLIENTAM, eksportēšana, ja šāda eksportēšana nav
nepieciešama Uzņēmuma
komercdarbības, PAKALPOJUMU sniegšanas vai Darbinieka
darba pienākumu veikšanas gaitā, un/vai, ja tā pārkāpj Uzņēmuma iekšējos noteikumus, piemērojamos normatīvos aktus;
(g)
Darbinieka konta paroles
atklāšana citām personām un citu personu pielaišana IT un mobilajai tehnikai
lietojot šādu kontu (tostarp, bet neaprobežojoties arī ar Darbinieka ģimenes locekļiem);
(h)
Krāpniecisku produkcijas, preču vai pakalpojumu piedāvājumu, vai trešo pušu
preču, pakalpojumu piedāvājumu izveide, sūtīšana, izmantojot Uzņēmuma vai KLIENTU kontus;
(i)
Tīkla sakaru drošības pārkāpumu vai pārtraukumu īstenošana. Šādi drošības
pārkāpumi iekļauj, bet tie neaprobežojas ar piekļuvi datiem, ja Darbinieks nav to paredzētais saņēmējs,
vai pierakstīšanos serverī vai kontā, kuram Darbinieks
nav skaidri pilnvarots piekļūt, ja vien šādas piekļuves tiesības nav piešķirtas
Darbiniekam saistībā ar attiecīgā
Darbinieka dalību konkrētā Uzņēmuma projektā;
(j)
Jebkādas programmas/skripta/komandas lietošana vai jebkāda veida ziņojuma
nosūtīšana, ar nolūku vai bez, bet kas traucē vai atspējo UZŅĒMUMA vai KLIENTU
darbinieku darbu.
Par visiem
informācijas/datu apstrādes drošības incidentiem vai iespējamiem incidentiem
nekavējoties ir jāziņo atbildīgajām personām, kuras, attiecīgi, veic visus
pasākumus iespējamā kaitējuma novēršanai, radītā kaitējuma seku likvidēšanai un
iepriekšējā vai augstāka drošības līmeņa realizāciju.
Ja piemērojams, UZŅĒMUMAM
ir pienākums nodrošināt turpmāku ziņošanu par datu/informācijas drošības pārkāpumu
KLIENTU vadībai, uzraudzības iestādēm un iesaistītajām fiziskajām personām, kā
to paredz sadarbības līgumi ar KLIENTIEM, piemērojamie normatīvie akti un/vai
Eiropas Savienības likumi.
Personas
dati uzņēmumā atrodas un tiek
apstrādāti tikai vienā nolūkā - informācijas
sniegšanai valsts pārvaldes iestādēm un operatīvās darbības subjektiem ārējos
normatīvajos aktos noteiktajos gadījumos un apjomā.
Iegūtie personas dati ir reģistrēti
elektroniski un var tikt izmantoti tikai šādam mērķim - lai izpildītu UZŅĒMUMAM saistošos ārējos normatīvajos
aktos noteiktu pienākumu, no kā izriet personas datu apstrādes tiesiskais pamats – normatīvo aktu
izpilde.
Mēs nenododam iegūtos Datus trešajām
pusēm, mēs nepārdodam, neiznomājam un neapmainām Klienta Datus, izņemot gadījumus, kad šādu izpaušanu pieprasa likums vai arī zemāk
aprakstītajos gadījumos.
Mēs atklājam personas datus Eiropas
savienības robežās ar drošām datu pārraides metodēm un tikai tādiem sadarbības
partneriem, kuri iesaistīti UZŅĒMUMA
darbības vai PAKALPOJUMU nodrošināšanā, piemēram, grāmatvedības pakalpojumu
sniedzējiem. Šādiem mūsu partneriem
ir jāapstrādā personas dati konfidenciāli un saskaņā ar likumdošanas prasībām,
un tikai šo pakalpojumu sniegšanas mērķiem. Bez tam, viņiem tiek pieprasīts
apstrādāt personas datus saskaņā ar šīm datu aizsardzības vadlīnijām un
piemērojamo likumdošanu.
Informācijas atklāšana citām trešajām
personām notiek drošā veidā un tikai pamatojoties uz likumīgi pamatotu
pieprasījumu vai likumos noteiktu darbību.
Mums rūp mūsu un KlientU datu drošība un mēs saprātīgā apmērā izmantojam visas
pieejamās tehniskās un organizatoriskās iespējas, lai uzglabātu datus tā, lai
tie nebūtu pieejami trešajām pusēm. Visi dati tiek uzglabāti serveros, kas
atbilst augstiem drošības standartiem un ir aizsargāti pret neautorizētu
piekļuvi un nelikumīgu izmantošanu.
Saskaņā ar Fizisko personu datu
aizsardzības likumu un Personas datu aizsardzības regulu, mūsu pienākums ir
sniegt datu subjektam informāciju par to, kādi dati par viņu ir mūsu rīcībā,
izņemot likumā noteiktus izņēmumus. Datu subjektam ir tiesības uz bezmaksas pieeju
minētajai informācijai ne biežāk kā divas reizes gadā. Gadījumā, ja Klients
mums pieprasīs šo informāciju biežāk nekā divas reizes gadā, mēs to
nodrošināsim par atlīdzību, kuras apmērs būs tāds, lai segtu mums ar šīs
informācijas nodrošināšanu radītās izmaksas.
Lūdzam informācijas pieprasījuma
iesniegšanai izmantot e-pasta adresi: ITserviss( )IT-on.lv
Saņemot datu subjekta pieprasījumu par
savu tiesību īstenošanu, mēs pārliecināsimies par Klienta identitāti, izvērtēsim
pieprasījumu un izpildām to saskaņā ar normatīvajiem aktiem saprātīgā laika
periodā.
Jebkuru jautājumu, pieprasījumu vai komentāru gadījumā
attiecībā uz šo Informācijas un sistēmu drošības POLITIKU, lūdzam sazināties ar
mums, rakstot uz e-pastu [email protected]
Šīs POLITIKAS tekstuālais saturs ir aizsargāts. Jebkāda veida kopēšana vai
šī materiāla pilna vai daļēja izmantošana NAV ATĻAUTA bez rakstiskas
piekrišanas no mūsu puses!
Dokumenta pirmreizējais radīšanas datums: 2018.gada 12.februāris.
Pēdējo izmaiņu datums: 2018. gada 17.aprīlis.
Publikācijas datums internetā: 2018. gada 17.aprīlis.
Pirkumu grozs ir tukšs.