PREAMBULA
Latvijas Personāla vadīšanas asociācijas vadlīnijas personāla datu apstrādes jomā
Rīga, 2018.gada 23.aprīlī
Apstiprināts: LPVA valdē Ar 2018. gada 12. aprīļa lēmumu Nr. 2.2.- 5/2018
PREAMBULA
Latvijas Personāla vadīšanas asociācija (turpmāk – LPVA), saskaņā ar Vispārīgo personas datu aizsardzības regulu ES 2016/679 (turpmāk – Regula), ņemot vērā:
- Regulā ietverto pamudinājumu nozaru asociācijām,
- Regulas regulējumu,
- Personas datu apstrādes specifiskās iezīmes personāla vadības jomā un šādai apstrādei raksturīgo risku, ko tā varētu radīt personu tiesībām un brīvībām,
- ieinteresēto personu, tajā skaitā, personas datu subjektu, viedokli,
ir izstrādājusi un apstiprina Latvijas Personāla vadīšanas asociācijas personas datu apstrādes vadlīnijas (turpmāk – Dokuments), lai precizētu pārziņu – darba devēju - un to nolīgto apstrādātāju pienākumus saistībā ar personas datu apstrādi, nodrošinot personāla vadības funkciju un lai nodrošinātu Regulas pareizu piemērošanu personāla vadības jomā.
VISPĀRĪGIE NOTEIKUMI
Dokumenta priekšmets un mērķi
1.1. Dokumenta mērķis ir:
1.1.1. noteikt specifiskus ieteicamos Regulas piemērošanas noteikumus Dokumenta darbības jomā;
1.1.2. harmonizēt pieeju Dokumenta dalībnieku darbinieku personas datu apstrādei;
1.1.3. ieviest vadlīnijas dalībnieku darbinieku personas datu apstrādei.
1.2. Dokumenta dalībnieki labā ticībā ievēro tā normas, atbilstoši viņu specifiskajām darbības un personas datu apstrādes vajadzībām un veidiem, riskiem, regulējumam, kā arī piemērojot savai darbībai tādā mērā, lai nodrošinātu personas datu aizsardzības un apstrādes atbilstību normatīvajiem aktiem.
1.3. Dokumentā aprakstīti jautājumi tikai no personas datu apstrādes regulējuma viedokļa un Dokuments neietver attiecīgā jautājuma saturiskā regulējuma (darba tiesību, civildienestu regulējošo tiesību aktu) izvērtējumu un aprakstu. Piemērojot šajā Dokumentā noteikto, jāņem vērā speciālo tiesību aktu normas.
1.4. Dokumentā noteiktais, ciktāl konkrētu rīcību kā obligātu nenosaka tiesību akti, ir uzskatāms par ieteicamu labās prakses ieteicamu rīcību, kam nav obligāts vai saistošs raksturs un kuras piemērošanu katrs Dalībnieks patstāvīgi izvērtē, atkarībā no savas darbības sfēras apstākļiem, riskiem un jebkādiem citiem tam svarīgiem faktoriem. Apstāklis, ka Dalībnieks nav rīkojies pēc Dokumentā noteiktā pats par sevi nav uzskatāms par saistoša regulējuma vai labās prakses pārkāpumu.
2. Darbības joma un personas datu apstrādes principi
2.1. Dokuments attiecas uz jomām, uz kurām attiecas Regula, un datu apstrādi personāla vadības funkcijas ietvaros, kas tiek realizēta Dokumenta dalībnieka iekšējām vajadzībām vai kā biznesa atbalsta funkcija.
2.2. Šis Dokuments neattiecas uz šādu personas datu apstrādi:
2.2.1. Ja uz konkrētu personas datu apstrādes veidu vai gadījumu neattiecas Regula;
2.2.2. Uz personāla datu apstrādi, kad tā tiek veikta kā komercdarbības veids (piemēram, sniedzot ārpakalpojumu grāmatvedībā, personāla atlasē un novērtēšanā, darba drošībā u.tml.). Komersanti, kas atbilst šādiem kritērijiem, var būt Dokumenta dalībnieki, ja piemēro Dokumentu savām iekšējām vajadzībām, tas ir, iekšējai personāla vadības nodrošināšanai.
2.5. Personas datu apstrādes principi, saskaņā ar Regulu, ir:
2.5.1. likumīga, pārredzama un godprātīga darbība ar personas datiem. Personāla vadības jomā tas nozīmē, ka Dokumenta dalībnieki pauž gribu veikt darbības ar savu darbinieku personu datiem saskaņā ar spēkā esošajiem normatīvajiem aktiem, izmantot personas datu apstrādei likumisku pamatu, kā arī padarīt savu darbinieku personas datu apstrādi saprotamu darbiniekiem, sniedzot viņiem visu nepieciešamo informāciju par viņu personas datu apstrādi saprotamā veidā;
2.5.2. nolūka ierobežojumi. Personāla vadības jomā tas nozīmē, ka personas dati, kurus darbinieks iesniedz Dokumenta dalībniekam personāla vadības mērķim, netiek lietoti citiem mērķiem. Dokumenta dalībnieks pauž gribu formulēt personas datu apstrādes mērķi tik šauri un saprotami, ka Dokumenta dalībnieka darbiniekam un Dokumenta dalībniekam būs vienāda izpratne par šo mērķi, ņemot vērā specifisku darba attiecību kontekstu;
2.5.3. datu minimizēšana. Personāla vadības jomā tas nozīmē, ka Dokumenta dalībnieks izsaka savu vēlmi nevākt un neglabāt vairāk datus, kā tas nepieciešams personāla vadības jomai. Dokumenta dalībnieks pauž gribu neprasīt no sava darbinieka datus, kuri tikai iespējams noderēs Dokumenta dalībniekam;
2.5.4. precizitāte. Personāla vadības jomā tas nozīmē, ka Dokumenta dalībnieks centīsies saprātīga termiņa ietvaros pārbaudīt Dokumenta dalībnieka datu precizitāti un pareizību, ka arī aktualizēt informāciju, piemēram, darbinieka uzvārda maiņas gadījumā. It īpaši tas attiecas uz tādiem gadījumiem, kad uz Dokumenta dalībnieka darbinieka personas datu pamata tiek pieņemti svarīgi lēmumi;
2.5.5. glabāšanas ierobežojums. Personāla vadības jomā tas nozīmē, ka Dokumenta dalībniekiem ir nepieciešams rūpēties par viņu darbinieku personas datu apstrādes termiņu, kas tiek noteikts atbilstoši tam, kāda mērķa sasniegšanai dati tiek apstrādāti. Pirmkārt, Dokumenta dalībnieki var noteikt glabāšanas termiņu vadoties no normatīvajos aktos noteiktajiem glabāšanas termiņiem, piemēram, Darba likumā, likumā “Par grāmatvedību”. Otrkārt, Dokumenta dalībnieks var patstāvīgi noteikt glabāšanas termiņu, pamatojoties uz to, kāds laiks ir nepieciešams personas datu apstrādes mērķa sasniegšanai un leģitīmo interešu realizēšanai;
2.5.6.integritāte un konfidencialitāte. Personāla vadības jomā tas nozīmē, ka Dokumenta dalībnieks pauž gribu rūpēties par savu darbinieku personas datu drošību atbilstoši riska līmenim. Tas attiecas gan uz fizisku drošību (ugunsdrošība), gan uz loģisku drošību (informācijas drošība).
3. Definīcijas
3.1. Dokumentā lietoto terminu definīcijas atbilst Regulā lietotajām terminu definīcijām. Ja Regulā norādītā termina definīcija atšķiras no identiska Dokumenta termina norādītās definīcijas, Regulas tekstam tiek dota prioritāte.
3.2. Dokumentā lieto šādas terminu definīcijas:
3.2.1.“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
Personāla vadības jomā ar jēdzienu “personas dati” jo īpaši, bet ne tikai, saprot, piemēram, šādu informāciju: vārdu, uzvārdu, personas kodu, CV ietverto informāciju, informāciju par izglītību, fotogrāfijas no korporatīviem pasākumiem, bērnu informāciju, algas summu un citu informāciju;
3.2.2. “īpašo kategoriju dati” ir dati, kas atklāj personas rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī ģenētiskie dati, biometriskie dati, lai veiktu fiziskas personas unikālu identifikāciju, veselības dati vai dati; par fiziskas personas dzimumdzīvi vai seksuālo orientāciju;
3.2.3.“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
3.2.4.“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos. Personāla vadības jomā šis jēdziens ietver, piemēram, papildu labumu piešķiršanu darbiniekiem atkarībā no apmaksātu stundu apjoma, ja tas tiek aprēķināts, izmantojot automātisku sistēmu;
3.2.5.“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu. Piemēram, tā ir izdomāta koda izmantošana personas vārda, uzvārda un personas koda vietā;
3.2.6.“anonimizēšana” ir datu apstrādes process, kurā atsevišķi identificējamie dati tiek mainīti vietā tādā veidā, ka vairs nevar būt saistīti ar konkrēto personu. Anonimizēti dati nav personas dati;
3.2.7.“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus. Pārzinis ir tas, kurš atbildīgs par datu apstrādes likumību un atbilstību Regulai. Darba devējs, kurš apstrādā savu darbinieku un citu nodarbināto datus, ir pārzinis attiecībā uz šiem datiem;
3.2.8.“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus. Piemēram, darba devēja (pārziņa) grāmatvedības ārpakalpojuma nodrošinātājs ir “apstrādātājs” konkrētas funkcijas izpildes ietvaros;
3.2.9.“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav;
3.2.10. “trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus. Trešā persona visbiežāk ir cits pārzinis, piemēram, apdrošināšanas aģentūra.
;
3.2.11. datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;
3.2.12. “personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;
3.2.13. “uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot Regulas nosacījumus. Latvijas uzraudzības iestāde ir Latvijas Datu valsts inspekcija (turpmāk tekstā – “DVI”);
3.2.14. “kopīgie pārziņi” ir tādi divi vai vairāki pārziņi, kuri kopīgi nosaka apstrādes mērķus un veidu. Atkarībā no apstākļiem, tie var būt divas juridiskas personas, kuras kopā organizē datu apstrādi;
3.2.15. “uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;
3.2.16. “saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā;
3.3. Dokumentā tiek lietotas arī šādas Dokumentam specifiskas definīcijas un jēdzieni:
3.3.1. “darbinieks” – šī Dokumenta izpratnē – fiziska persona, kura ar Dokumenta dalībnieku ir nodarbinātības attiecībās saskaņā ar darba līgumu, uzņēmuma līguma, autorlīgumu vai valsts civildienesta attiecībās;
3.3.2. “uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību;
3.3.3. “LPVA biedra atbildīgā persona” ir tāds LPVA biedra darbinieks, kurš sakarā ar savu darba uzdevumu, vai saskaņā ar LPVA biedra rakstisku rīkojumu, atbild par darbinieku personas datu aizsardzības jautājumiem LPVA biedra uzņēmumā vai ir atbildīgs par konkrētas funkcijas izpildi.
4. Personas datu apstrādes tiesiskie pamati
Personāla vadības sfērā veiktās personas datu apstrādes tiesiskais pamats visbiežāk var būt:
4.1. līguma, kura puse ir darbinieks un Dokumenta dalībnieks kā darba devējs, izpilde, vai pasākumu veikšana pēc darbinieka pieprasījuma pirms līguma noslēgšanas vai tā izpildes laikā (tajā skaitā, valsts civildienesta attiecību nodibināšana). Līguma izpilde ietver arī iekšējos normatīvajos aktos, kuru ievērošanu uzņēmušās puses, noslēdzot līgumu, noteiktā regulējuma izpildi un ievērošanu.
Pamatojoties uz šo tiesisko pamatu veiktā personas datu apstrāde ir, piemēram:
- personas identificēšana pēc personu apliecinoša dokumenta pirms darba tiesisko vai valsts civildienesta attiecību nodibināšanas (līguma noslēgšanas);
- darba līgumā vai amata aprakstā noteikto pienākumu izpildei nepieciešamās informācijas iegūšana un apstrāde (piemēram, bankas konta informācija);
- darba samaksas pārskaitīšana kredītiestādē;
- darba rezultātu uzskaite u.c.
4.2. personas datu apstrāde, lai izpildītu Dokumenta dalībnieka kā darba devēja juridisku pienākumu. Ar juridisko pienākumu saprot spēkā esošajos ārējos normatīvajos aktos noteikto pienākumu izpildi. Tie var būt gan vispārīgie tiesību akti, kas regulē darba tiesības, vispārēja vai speciālā civildienesta, gan noteiktās sfērās speciālie tiesību akti.
Pamatojoties uz šo tiesisko pamatu veiktā personas datu apstrāde ir, piemēram:
- īpašo kategoriju datu apstrāde;
- personas datu apstrāde, lai nodrošinātu vienveidīgu darba samaksu;
- personas datu apstrāde, lai piešķirtu normatīvajos aktos noteiktās brīvdienas;
- Valsts ieņēmumu dienesta (turpmāk – VID) informēšana par darba tiesisko vai valsts civildienesta attiecību nodibināšanu;
- personas datu apstrāde obligātās veselības pārbaudes nodrošināšanai u.c.
4.3. personas datu apstrāde, kas vajadzīga Dokumenta dalībnieka kā darba devēja (pārziņa) leģitīmo interešu ievērošanai. Par Dokumenta dalībnieka leģitīmajām interesēm uzskata:
- personāla resursu nodrošināšanu, plānošanu (“institucionālā atmiņa”), attīstību un izaugsmi;
- personāla un tā vadības procesa efektivitātes nodrošināšanu;
- informācijas, infrastruktūras, personu drošības nodrošināšanu;
- personas datu apstrādi uzņēmumu grupā/iestāžu sistēmā iekšējiem administratīvajiem nolūkiem, piemēram, iekšējā komunikācija, vienota elektroniskā pasta sistēma, finanšu, personāla pārvaldības nodrošināšana;
- organizatorisko pārvaldību, piemēram, datu apstrādi, lai izveidotu un nodrošinātu finanšu vadību un izstrādātu riska vadības modeļus, klientu analīzi, stratēģijas plānošanu, sadarbības partneru vadības procesu, iekšējās organizācijas pārvaldi, darbības efektivitātes nodrošināšanu, reorganizāciju;
- pakalpojumu un produktu, infrastruktūras, informācijas sistēmu darbības un resursu nodrošināšanu, plānošanu un attīstību, piemēram, produktu/pakalpojumu tendenču analīzi, iekārtu datu analīzi, lai nodrošinātu, plānotu un/vai uzlabotu pakalpojumus un/vai to darbību;
- komunikāciju (iekšējo un ārējo), mārketinga īstenošanu, sabiedriskās attiecības, x.xx., piemēram, korporatīvo pasākumu organizēšanu, lojalitātes pasākumus, lojalitātes programmu izstrādi un īstenošanu;
- korporatīvās kultūras nodrošināšanu, piemēram, Dokumenta dalībnieka pasākumus, apbalvojumus, sporta un citas saliedējošas aktivitātes;
- statistikas, pētniecības īstenošanu;
- auditu, tematisko pārbaužu nodrošināšanu, piemēram, revidentu, VID u.c. iestāžu auditi, iekšējais audits, tematiskās pārbaudes, “due-dilligence”.
5. Personas datu nodošana apstrādātājiem
5.1. Personāla vadības jomā personas datu nodošana apstrādātājam var tikt pielietota, darba devējam (pārzinim) izpildot savas funkcijas nodarbinātības sfērā visefektīvākajā veidā vai vadoties no citiem organizatoriskiem vai biznesa apsvērumiem, kas ir darba devēja (pārziņa) tiesiska jeb leģitīma interese. Piemēram, darba devējam nododot ārpakalpojumā grāmatvedības, darba aizsardzības, personāla atlases un citas funkcijas, personas dati tiek nodoti šo pakalpojumu sniedzējiem, kuri rīkojas apstrādātāja statusā.
5.2. Ja Dokumenta dalībnieks kā pārzinis plāno nodot savu darbinieku personas datu apstrādi apstrādātājam, piemērām, bet ne tikai, tādos gadījumos, kā videonovērošanas veikšana vai grāmatvedības ārpakalpojumu izmantošana Dokumenta dalībnieks:
5.2.1.paziņo izvēlētajam apstrādātājam par Dokumenta dalībnieka atbildīgo personu, kura komunicēs un sadarbosies ar apstrādātāju Dokumenta dalībnieka vārda tā darbinieku personas datu apstrādes jautājumos;
5.2.2.pirms nodot darbinieka personas datus izvēlētajam apstrādātājam, ar apstrādātāju noslēdz Regulai atbilstošu līgumu par personas datu apstrādi vai pievieno attiecīga satura dokumentu (vienošanos, pielikumu) jau noslēgtam līgumam (turpmāk – “Datu apstrādes līgums”), kas paredz, ka apstrādātājs:
5.2.2.1. darbinieku personas datus apstrādā tikai pēc atbilstošiem Dokumenta dalībnieka dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Eiropas Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē Dokumenta dalībnieku pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;
5.2.2.2. nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;
5.2.2.3. īsteno visus pasākumus, kas nepieciešami saskaņā ar Regulas 32. pantu, tas ir, nodrošina Dokumenta dalībnieka darbinieku personas datu drošību;
5.2.2.4. ievēro Regulā noteiktos noteikumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;
5.2.2.5. ciktāl tas ir iespējams, ņemot vērā apstrādes būtību, palīdz Dokumenta dalībniekam ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka Dokumenta dalībnieks var izpildīt savu pienākumu atbildēt uz pieprasījumiem par Regulā paredzēto Dokumenta dalībnieka darbinieka kā datu subjekta tiesību īstenošanu;
5.2.2.6. palīdz Dokumenta dalībniekam nodrošināt Regulas 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;
5.2.2.7. pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc Dokumenta dalībnieka izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Eiropas Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;
5.2.2.8. Dokumenta dalībniekam dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā punktā paredzētie pienākumi, un lai ļautu Dokumenta dalībniekam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.
5.2.3.Nodot apstrādātājam tikai tādus darbinieku personas datus un tikai uz tādiem nosacījumiem, kuri ir minēti Datu apstrādes līgumā;
5.2.4.regulāri (atbilstoši apstrādes raksturam) pārliecinās, ka apstrādātājs veic darbinieku personas datus saskaņā ar Datu apstrādes līgumu.
5.3. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas Dokumenta dalībnieka atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē Dokumenta dalībnieku par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot Dokumenta dalībniekam iespēju iebilst pret šādām izmaiņām.
5.4. Ja apstrādātājs ar līgumu vai citu juridisku aktu piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai Dokumenta dalībnieka vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti Datu apstrādes vai citā juridiskā aktā, kas noslēgts starp Dokumenta dalībnieku un apstrādātāju, jo īpaši
garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas Dokumentā un Regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs, ir atbildīgs Dokumenta dalībniekam par šā cita apstrādātāja pienākumu izpildi.
5.5. Ja apstrādātājs nepilda savus pienākumus, Dokumenta dalībniekam ir pienākums pašam novērst trūkumus darbinieku personas datu apstrādē vai prasīt tādu trūkumu novēršanu no apstrādātāja. Ja minētie trūkumi nav novērsti Dokumenta dalībnieka noteiktajā termiņā (atbilstoši apstrādes raksturam), Dokumenta dalībniekam tiek rekomendēts izbeigt atbilstoša Dokumenta dalībnieka darbinieku personas datu apstrādes attiecības.
6. Personas datu nodošana trešajām personām (citiem pārziņiem)
6.1. Personāla vadības jomā personas datu nodošana izriet no nepieciešamības darba devējam (pārzinim) izpildīt normatīvajos aktos noteiktās prasības nodarbinātības jomā, piemēram, informēt Valsts sociālās apdrošināšanas aģentūru (turpmāk - VSAA), VID, noteiktajos gadījumos un apjomā, kā arī izpildīt ar darbinieku noslēgtā līguma noteikumus, piemēram, izmaksāt darba samaksu ar pārskaitījumu uz kredītiestādi, nodrošināt veselības apdrošināšanu, kas pielīgta darba līgumā, u.c. Atsevišķos gadījumos personas datu nodošanas likumīgais pamats var būt datu subjekta (darbinieka) piekrišana vai līguma starp darba devēju un datu subjektu (darbinieku) izpilde
- gadījumos, kad nodošana nav saistīta ar darba devēja normatīvajos aktos noteikto pienākumu izpildi, bet tā izriet no darba devēja un darbinieka vienošanās.
6.2. Personas datu nodošana citam pārzinim ir nošķirama no personas datu nodošanas citam apstrādātājam: pēc personas datu nodošanas citam pārzinim pēdējais patstāvīgi ir atbildīgs par likumīgu, Regulai atbilstošu personas datu apstrādi, turpretī, par datu nodošanu un apstrādi pie apstrādātāja joprojām atbildīgs ir Dokumenta dalībnieks (pārzinis).
6.3. Ja Dokumenta dalībnieks kā pārzinis plāno nodot darbinieku personas datus trešajai personai jeb citam pārzinim, kā piemēram, bet ne tikai kredītiestādei vai apdrošināšanas aģentūrai, Dokumenta dalībniekam ir pienākums pārliecināties, ka tāda personas datu nodošana atbilst personas datu apstrādes principiem un ir likumīga, kā arī atbilst pārējām Regulas prasībām, tostarp, bet ne tikai, ir likumīgs pamats personas datu nodošanai, tāda personas datu nodošana ir droša un atbilst personas datu apstrādes nolūkam.
6.4. Dokumenta dalībniekam nav ieteicams paļauties tikai uz cita potenciālā pārziņa apgalvojumu, bet par viņa statusu un datu nodošanu pārliecināties patstāvīgi, kā arī, šaubu gadījumā pārliecināties, vai arī potenciālais pārzinis apzinās savu kā patstāvīga pārziņa statusu, apstrādājot no Dokumenta dalībnieka saņemtos personas datus. Ja par sadarbību tiek noslēgts rakstveida līgums, ieteicams tajā ietvert regulējumu par katras puses pienākumiem un atbildību, vai, ja iespējams - statusu, lai izvairītos no potenciāliem strīdiem nākotnē par katras no pusēm pienākumu apjomu un saturu. Personas datu nodošana citam pārzinim uz mutiska pieprasījuma pamata nav pieļaujama. Atkarībā no tā, kāds ir cita pārziņa tiesiskais statuss un pušu sadarbības modelis, personas datu nodošana var tikt veikta uz cita pārziņa vienpusēja rakstiska (vai tam pielīdzināma) pieprasījuma pamata vai līguma pamata.
6.5. Tādos gadījumos, kad plānota personas datu nodošana neatbilst augstāk minētajam, Dokumenta dalībnieks būs tiesīgs uzsākt atbilstošu personas datu nodošanu tikai pēc visu trūkumu novēršanas. Piemēram, ja personas datu nodošanai apdrošināšanas aģentūrai ir nepieciešama atbilstoša Dokumenta dalībnieka darbinieka piekrišana,
Dokumenta dalībniekam ir pienākums nodrošināt tādu piekrišanu atbilstoši Regulas prasībām.
6.6. Ja gan Dokumenta dalībnieks, gan cits pārzinis abi kopā turpina noteikt datu apstrādes mērķus un atbildēt par datu apstrādi, viņi darbojas kopīgu pārziņu statusā, piemēram, ja uzņēmumi kopā rīkojas, lai organizētu pasākumu saviem darbiniekiem. Ja Dokumenta dalībnieks plāno nodot personas datus citam pārzinim, kas ir viens no kopīgiem pārziņiem kopā ar Dokumenta dalībnieku, ieteicams noslēgt ar tādu kopīgo pārzini rakstveida līgumu, ietverot, piemēram, vienošanos par sekojošo:
6.6.1. apstrādātajiem Dokumenta dalībnieka darbinieka personas datu veidiem;
6.6.2. kopīgu pārziņu pienākumi un tiesības Dokumenta dalībnieku darbinieku personas datu apstrādē;
6.6.3. atbildības sadalījumu starp kopīgajiem pārziņiem par atbilstošo personas datu apstrādi, tostarp par personas datu apstrādes pārkāpumiem.
7. Prasības IT sistēmām
7.1. Katrs Dokumenta dalībnieks atbildīgs par savu darbinieku personas datu drošību saskaņā ar Regulu un Dokumentu. Dokumenta dalībnieks, ņemot vērā tehnikas līmeni, īstenošanas izmaksas, apstrādes raksturu, apmēru, kontekstu, nolūkus un risku attiecībā uz fizisku personu tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai ar IT sistēmu palīdzību nodrošinātu tādu drošības līmeni, kas atbilst konkrētiem datu apstrādes apstākļiem un riskam, un kas nodrošina personas datu apstrādi atbilstoši Regulai (“integrētā datu drošība”).
7.2. Katram Dokumenta dalībniekam ir pienākums izvērtēt darbinieku datu apstrādes veidu, vietu, likumīgumu sakarā ar konkrētu IT risinājumu izmantošanu personas datu apstrādei.
7.3. Dokumenta dalībnieki uztic darbinieku personas datu apstrādi tikai tādiem IT pakalpojumu sniedzējiem, kuri var garantēt drošu darbinieku personas datu apstrādi, noslēdzot ar IT pakalpojumu sniedzējiem atbilstošu līgumu un pārliecinoties, ka tiek ievērotas visas Regulas un Dokumenta prasības.
7.4. Dokumenta dalībniekiem tiek rekomendēts rūpīgi izstrādāt organizatoriskos dokumentus un prasības, kas nodrošina tādu datu apstrādes principu, kā minimizēšana, precizitāte, integritāte un konfidencialitāte, ievērošanu un piemērošanu. Šādas prasības, piemēram, ir:
7.4.1. piekļuves tiesību piešķiršana Dokumenta dalībnieka darbiniekiem, kas nepārsniedz piekļuves datiem apjomu, kas tieši nepieciešams viņa darba pienākumu izpildei;
7.4.2. atbilstošas autorizēšanās sistēmas izveide, piemēram, katram lietotājam piešķir atšķirīgus autentifikācijas līdzekļus;
7.4.3. sistēmās veikto darbību auditācijas pierakstu veikšana un to uzglabāšana atkarībā no to vākšanas mērķa. Valsts iestādes glabā auditācijas pierakstus saskaņā ar piemērojamiem tiesību aktiem;
7.4.4. datu rezerves kopēšana un kopiju pārbaude,
7.4.5. šifrēšana, ja notiek īpašo kategoriju personas datu pārraide lielos apjomos, vai vairāklīmeņu autentifikācija, piemēram, ar ID kartēm, sertifikātiem, kodu kalkulatoriem vai citiem līdzekļiem;
7.4.6. uzmanības pievēršana ārējo datu nesēju pārvaldības politikai;
7.4.7. darbā izmantojamo ierīču ierobežošana un/vai reglamentēšana (mājas dators netiek izmantots darba vajadzībām; noteikumi par darbu ārpus darba vietas);
7.4.8. darbinieku apmācība par pareizu rīcību ar personas datiem;
7.4.9.lietotāja kontu un citu autentifikācijas līdzekļu bloķēšana nekavējoties pēc dar- ba tiesisko vai valsts civildienesta
attiecību izbeigšanas ar konkrētu darbinieku, vai darbiniekam esot ilgstošā pro mbūtnē.
7.5. Dokumenta dalībnieks, ievērojot attiecīgās apstrādes riskus un tehnoloģiskās iespējas, pielieto tehnoloģiskus līdzekļus personas datu apstrādes drošības nodrošināšanai.
7.6. Dokumenta dalībnieks atbilstoši datu apstrādes raksturam un tehniskajām un organizatoriskajām iespējām un riskiem veic datu pseidonimizāciju:
7.6.1.datu pseidonimizācija ir process, kad personas datiem pēc noteikta algoritma jeb sistēmas tiek piešķirts identifikators un konkrēti personas dati tūlītēji nav atpazīstami, bet pielietojot attiecīgo algoritmu, iespējams iegūt informāciju par konkrēto personas datu saturu;
7.6.2.labā prakse ir sistēmās, kur nav nepieciešama tūlītēja konkrētu personas datu atpazīšana vai darbs ar konkrētiem personas datiem, apstrādāt pseidonimizētus personas datus, pamatdatus un pseidonimizācijas algoritmu glabājot atsevišķā sistēmā no pseidonimizētajiem datiem. Pieeja algoritmam ir ierobežotam personu lokam;
7.6.3. pseidonimizēti dati arī ir uzskatāmi par personas datiem, tomēr to apstrādes drošības prasības un līmenis var būt samērīgi atšķirīgs, ievērojot to, ka riski pseidonimizētu datu noplūdes vai nepareizas apstrādes rezultātā ir mazāki.
7.6.4. pseidonimizāciju pielieto kā vienu no tehnoloģiskajiem un organizatoriskajiem risku mazināšanas līdzekļiem un tā esamība vai plānota ieviešana noteiktā laika periodā apliecina, ka Dokumenta dalībnieks veicis risku mazināšanas pasākumus. Tomēr pseidonimizācija neizslēdz risku mazināšanas nepieciešamību ar citiem tehnoloģiskiem un organizatoriskiem līdzekļiem, jo īpaši ievērojot iespējamo ietekmi uz personas privātumu, konkrētā Dokumenta dalībnieka sistēmu arhitektūras un izmaksu iespējas.
7.7. Dokumenta dalībnieks atbilstoši datu apstrādes raksturam un tehniskajām un organizatoriskajām iespējām un riskiem veic datu anonimizāciju:
7.7.1. datu anonimizācija ir process, kurā atsevišķi identificējamie dati tiek mainīti vietā tādā veidā, ka vairs nevar būt saistīti ar konkrēto personu;
7.7.2. ņemot vērā to, ka anonimizēti dati nav uzskatāmi par personas datiem, Dokumenta dalībniekam ir tiesības datus saglabāt anonīmā veidā, kad beidzas tiesisks pamats to apstrādei, lai izmantotu tālāk statistikai, tendenču izpētei u.tml. nolūkiem;
7.7.3. Dokumenta dalībniekam ir tiesības vākt anonīmus datus savu tiesisko interešu īstenošanai (piem., anonīmas aptaujas).
7.8. Dokumenta dalībnieks var izmantot arī citus tehnoloģiskos aizsardzības pasākumus, atbilstoši konkrētās datu apstrādes raksturam, pieejamajām tehnoloģijām un finanšu resursiem, kā arī datu apstrādes un aizsardzības labākajai praksei.
8. Darbinieka kā datu subjekta tiesību nodrošināšanas vispārīgie noteikumi
8.1. Dokumenta dalībnieks kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, darbiniekam rakstiski papīra vai elektroniskā formā sniedz informāciju par viņa tiesībām (piemēram, privātuma politikā un iekšējos normatīvajos aktos:
8.1.1. par viņa datu ievākšanu;
8.1.2. ka viņam pastāv tiesības pieprasīt Dokumenta dalībniekam, kurš ir pārzinis, piekļuvi darbinieka personas datiem (piekļuves tiesība) un to labošanu vai dzēšanu (“tiesības tikt aizmirstam”);
8.1.3. apstrādes ierobežošanu;
8.1.4. tiesības saņemt informāciju par saņēmējiem, kuriem paziņots par datu labošanu, dzēšanu, apstrādes ierobežošanu;
8.1.5. tiesības iebilst pret apstrādi, tiesības uz datu pārnesamību, ja tas ir tehniski iespējams;
8.1.6. tiesības prasīt pārtraukt personas datu apstrādi;
8.1.7. tiesības iebilst automatizēta individuāla lēmuma pieņemšanai, to apstrīdēt un paust viedokli par to.
8.2. Dokumenta dalībnieks nodrošina darbinieka likumīgās tiesības ārējos normatīvajos aktos noteiktajā apjomā. Tā īstenošanai Dokumenta dalībniekam ieteicams izstrādāt un apstiprināt iekšēju procedūru.
8.3. Darbinieku pieteikumu izskatīšanā un atbildes sagatavošanā ievēro Regulā noteiktos termiņus un nosacījumus.
8.4. Par datu subjektu, attiecībā pret kuru īsteno pārziņa pienākumus, uzskata personu, ar kuru Dokumenta dalībnieks ir līgumiskās attiecībās, vai citu identificētu fizisku personu.
8.5. Jebkura darbinieka pieteikuma par viņa tiesību realizēšanu pieņemšanas, apstrādes un izpildes priekšnosacījums ir šīs personas identificēšana Dokumenta dalībnieka noteiktajā kārtībā. Tas ir, pieņemot pieteikumu par darbinieka kā datu subjekta tiesību īstenošanu, Dokumenta dalībnieks pārliecinās par darbinieka (datu subjekta) identitāti. Ja ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz pieprasījumu par datu subjekta tiesību realizāciju, var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai. Ja tiek iesniegts pieteikums citas personas vārdā, nepieciešams atbilstošs pilnvarojums.
8.6. Dokumenta dalībnieks “privātuma politikā” var noteikt veidus, kādos iesniedzams pieteikums.
8.7. Dokumenta dalībniekam nav jāglabā personas dati, ja vienīgais šādas glabāšanas nolūks ir spēt reaģēt uz iespējamiem datu subjektu pieprasījumiem.
SPECIĀLIE NOTEIKUMI
Dokumenta speciālajos noteikumos ir aprakstīti personas datu apstrādes aspekti konkrētu personāla vadības funkciju ietvaros.
9. Dokumenta dalībnieka iekšējiem administratīvajiem nolūkiem un organizatoriskai pārvaldībai veikta personas datu apstrāde
9.1. Dokumenta dalībnieka iekšējiem administratīvajiem nolūkiem un organizatoriskai pārvaldībai centralizēti veicamas administratīvas vai atbalsta funkcijas (piemēram, personāla vadība, algu grāmatvedība) ieteicams atrunāt Dokumenta dalībnieka grupas līmeņa iekšējā normatīvajā aktā vai līgumā starp grupas uzņēmumiem. Tādā gadījumā, apstrādājot personas datus šo funkciju izpildei, tajā skaitā, veicot datu nodošanu starp grupas uzņēmumiem, datu nodošana citam grupas uzņēmumam nav uzskatāma par nodošanu trešajai personai vai apstrādātājam.
9.2. Darbiniekus ieteicams informēt par funkcijām, kuras centralizēti tiek īstenotas grupas uzņēmumu ietvaros, tajā skaitā arī par to, ka personas datus attiecīgo funkciju ietvaros apstrādā (nodod) grupas uzņēmumi. Informāciju var iekļaut privātuma politikā un darba līgumā.
9.3. Valsts pārvaldē personas datu apstrāde centralizēti, iekšējiem administratīviem nolūkiem un/vai organizatoriskajai pārvaldībai izriet no ārējiem normatīvajiem aktiem.
10. Personāla atlase
10.1. Pieņemot lēmumu par darbinieka atlases nepieciešamību uz vakanto amatu, vācot, apstrādājot, glabājot un iznīcinot personāla atlasē iegūtos personas datus, ieteicams ņemt vērā turpmākās norādes.
10.2. Lēmumu par darbinieka xxxxxxx nepieciešamību, kā arī vakantā amata pretendentiem izvirzāmās prasības nosaka saskaņā ar Dokumenta dalībnieka iekšējo regulējumu. Atlases saturu regulē Darba likums. Tabulā aprakstītas ieteicamās norādes attiecībā uz personas datu apstrādi.
10.3. Personāla atlase:
Personāla atlases izsludināšana (iekšēja un ārēja) | Darba sludinājumā (paziņojumā par brīvajām darba vietām) norāda: 1. Dokumenta dalībnieka (darba devēja) nosaukumu un reģistrācijas numuru, vai tā personāla atlases uzņēmuma nosaukumu un reģistrācijas numuru, kurš Dokumenta dalībnieka uzdevumā novērtē pretendentu: ● ja izmanto personāla atlases kompāniju, noslēdz līgumu, kurā nosaka kompānijas pienākumu ievērot spēkā esošās tiesību normas personu datu aizsardzības jomā; ● ja konkursu izsludina Dokumenta dalībnieks, izlemj, kādā formātā, veidā aicinās pretendentus pieteikumus iesniegt – ar elektroniskā pasta vai pasta palīdzību, augšupielādējot uzņēmuma izveidotajās platformās vai tml. Pieteikuma iesniegšanai izmanto drošu IT rīku; 2. ja Dokumenta dalībnieks plāno pretendentu pieteikumus izmantot ne tikai viena amata atlasei, bet arī citu amatu vai grupas uzņēmumu atlases procesos, vai iekļaut attiecīgā datu bāzē, to norāda darba sludinājumā. Tādējādi, ja pretendents iesniedz pieteikumu, viņš ir piekritis papildu datu apstrādei arī minētajos atlases procesos. Ja Dokumenta dalībnieks vēlas uzturēt datu bāzi turpmākajiem konkursiem un tas nav norādīts darba sludinājumā, pretendentam jālūdz skaidri un nepārprotami norādīt, vai viņš piekrīt, ka viņu dati tiek iekļauti šādā datu bāzē, norādot, cik ilgi šie dati tiks glabāti. 3. Dokumenta dalībnieks nosaka iesniedzamos dokumentus saskaņā ar spēkā esošo tiesību aktu prasībām (piemēram, Curiculum Vitae (turpmāk – CV), pieteikuma vēstule, citi tiesību aktos noteiktie dokumenti, kas nepieciešami atsevišķām amatu kategorijām). Pieprasa tikai tādu informāciju un dokumentus, kas ir nepieciešami sākotnējam atlases procesam, lai novērtētu pretendenta iespējamību ieņemt konkrēto amatu. Nedrīkst pieprasīt informāciju, kas neattiecas uz paredzētā darba veikšanu un nav saistīta ar pretendenta piemērotību šim darbam; 4. Ieteicams iepriekš sagatavot tādu CV formu, kurā jānorāda tikai nepieciešamā informācija par amata pretendentu, neparedzot sadaļas, kas satur nevajadzīgus personu datus (piemēram, fotogrāfiju iesniegšana, dzimšanas gada norādīšana u.tml.). Tas ļauj nodrošināt, ka tiek apstrādi tikai tādi personu dati, kas nepieciešami mērķa sasniegšanai, tie tiek precīzi definēti un darba devējs nodrošina adekvātu aizsardzības līdzekļu ieviešanu. 5. Dokumenta dalībnieks sniedz pretendentam informāciju, ka viņš ir atbildīgs par informācijas un personas datu saturu un apjomu, ko viņš norāda un iesniedz atlases procesā. Pretendenta veikta |
personas datu un informācijas iesniegšana uzskatāma par viņa piekrišanas apliecinājumu iesniegto personas datu apstrādei nolūkā, kādā tie iesniegti. 6. Pēc iespējas un atbilstoši konkrētiem apstākļiem, pretendentu var informēt, ka par viņu tiks saņemtas atsauksmes. | |
Pretendentu pieteikumu saņemšana un glabāšana | 1. Ja konkursu izsludina personāla atlases kompānija, tad tā ir atbildīga par pieteikumu drošu glabāšanu un pretendenta informēšanu par datu aizsardzību. 2. Ja pieteikumus sūta Dokumenta dalībniekam, tad: ● gadījumos, ja pretendents elektroniski nosūta savu pieteikumu, CV un citus dokumentus, par labo praksi tiek uzskatīts, ka atbildīgā uzņēmuma persona nosūta atbildes e-pastu, ar kuru apstiprina pieteikuma saņemšanu; ● gadījumos, ja pretendents dokumentus iesniedz papīra formā, tos reģistrē un glabā saskaņā ar lietvedības prasībām. 3. Pieteikuma dokumentus neglabā ilgāk kā tas ir nepieciešams, piemēram četrus mēnešus (Darba likuma 3 mēneši pārsūdzībai plus viens mēnesis tiesas pieprasījuma sniegt paskaidrojumu) |
Papildu informācijas vākšana par pretendentu atlases procesā | Atkarībā no amata specifikas, ir leģitīmi vākt informāciju par pretendenta, piemēram, nesodāmību, veselības stāvokli, pretendenta un ģimenes locekļu saistību ar konkurentu uzņēmumiem, kā arī saņemto atsauksmes un saņemt informāciju no sociālajiem tīkliem, par to informējot pretendentu, ja tas pieļaujami saskaņā ar normatīvajiem aktiem. |
Regulā paredzētās informācijas sniegšana (13.p.) | Regulā paredzēto informāciju, kas jāsniedz, ja dati iegūti no datu subjekta, Dokumenta dalībnieks sniedz “privātuma politikas” vai līdzvērtīga dokumenta veidā, to iesniedzot pretendentam papīra formātā, nosūtot e-pastā vai padarot pieejamu mājaslapā. Šādu dokumentu Dokumenta dalībnieks izveido atsevišķi par personāla jomu vai attiecīgu pretendentam adresētu informāciju iekļauj Dokumenta dalībnieka kopīgā “privātuma politikā”. |
Atsauksmes | Leģitīmas intereses kandidāta novērtēšanai ietver arī Dokumenta dalībnieka tiesību prasīt atsauksmes trešajām personām, par ko vēlams informēt pretendentu. Ieteicams, lai pretendents rakstveidā iesniedz informāciju par personām, kuras var sniegt atsauksmes par viņu. Pretendenta pienākumu iesniegt informāciju par personām, kuras var sniegt atsauksmi, var norādīt arī darba sludinājumā. |
Īpašo kategoriju dati personāla atlasē | Visbiežāk atlases procesā tiek apstrādāti šādi īpašo kategoriju dati (tikai normatīvajos aktos noteiktajos gadījumos): - veselības dati (piemēram, transporta, aviācijas sfērās); - dati par sodāmību (piemēram, kredītiestādēs, izglītības sociālās aprūpes iestādēs). Šo statusu ņem vērā, nosakot organizatoriskās un drošības prasības, taču citādi piemērojami vispārīgie personas datu apstrādes noteikumi. |
Sociālo tīklu informācija | Leģitīmas intereses kandidāta novērtēšanai ietver arī Dokumenta dalībnieka tiesību atlasē lietot (ievērojot normatīvajos aktos, piemēram, darba līgumā noteiktos satura ierobežojumus) sociālo tīku informāciju, vadoties no principa, ka sociālajos tīklos pieejama informācija atbilstoši personas attiecīgā sociālā tīkla kontā pašrocīgi veiktajiem iestatījumiem (t.i., ja pieejams personas profils, tad persona nav izmantojusi tiesību to iestatīt kā privātu jeb trešajām personām nepieejamu informāciju). |
10.4. Darba intervija
Darba intervijas vispārīgas prasības | Darba intervijā, tāpat, kā atlases procesā kopumā, neveic pārmērīgu datu vākšanu. |
Ja intervijas tiek protokolētas, pretendentu iepriekš par to informē. Lai veiktu intervijas video vai ierakstu, ir jābūt attiecīgam pamatojumam, kas dod tam leģitīmu / juridisku pamatojumu, piemēram, tas izriet no normatīvā akta, drošības apsvērumiem vai intervijas attālinātu norisi. Dokumenti un citi materiāli, kas rodas intervijas rezultātā, jāglabā tādā pat termiņā, kā visi atlases dokumenti. | |
Datu apstrāde | Pretendentu iesniegtos datus apstrādā tikai tās personas, kuras iesaistītas personāla atlases procesā. |
Datu glabāšana | Personāla atlases procesa un darba intervijas laikā iesniegtie un radītie personas dati tiek glabāti tā, lai tie nebūtu pieejami citām personām. Ja pretendents nav ticis pieņemts darbā, tad darba devējam ir pienākums informāciju dzēst un iesniegtos dokumentus iznīcināt, kad personāla atlase uz attiecīgo amatu ir pabeigta un ir pagājis termiņš lēmuma pārsūdzēšanai, kā arī ir pagājis termiņš, kurā var kļūt zināms, ka pieņemtais darbinieks var neizturēt pārbaudes laiku vai – valsts iestādēs – netiek piešķirta pielaide noteiktai informācijai, un darba devējam var rasties nepieciešamība izmantot atlasei iesniegtos dokumentu. Datus par pretendentu ilgāk var glabāt tikai ar pretendenta piekrišanu un tikai noteiktam mērķim – citas personālas atlases mērķim, norādot glabāšanas laiku. |
11. Darba samaksa
Darba samaksas jautājumus nosaka Darba likums, Valsts un pašvaldību institūciju amatpersonu un darbinieku atlīdzības likums un tam pakārtotie Ministru kabineta noteikumi, kā arī citi speciālie likumi un tiem pakārtotie Ministru kabineta noteikumi.
11.1. Darba samaksa ir viena no darba līguma būtiskajām sastāvdaļām, tai jābūt taisnīgai un vienlīdzīgai, un darba līgumā ietverams konkrēts darba samaksas apmērs.
Ārēji normatīvie akti paredz arī citus noteikumus par darba samaksas regulējumu – kā pienākumu to izmaksāt noteiktās situācijās (piemēram, par darba līgumā neparedzētu darbu veikšanu darba devējam ir pienākums izmaksāt atbilstošu darba samaksu, kas nedrīkst būt mazāka par darbinieka iepriekšējo vidējo izpeļņu, saglabāt tās izmaksu komandējuma laikā u.tml.). Darba likums paredz arī dažādas darbinieka tiesības, kuru īstenošana ir novērtējama ekonomiskā vērtībā (piemēram, brīvdienas).
11.2. Darba samaksas jautājums ir viens no jautājumiem, ko ietver darba koplīgumā. Darba koplīgums ir saistošs pusēm un tā noteikumi attiecas uz pusēm un uz visiem darbiniekiem, kas tiek nodarbināti pie attiecīgā darba devēja vai viņa uzņēmumā, ja vien koplīgumā nav noteikts citādi. Tādējādi, koplīgumam ir piešķirts juridisks spēks, kas pielīdzināms likuma spēkam.
11.3. Bez tam, papildu likumā noteiktajam, darba devējs un darbinieks var vienoties par papildu finansiāliem motivācijas līdzekļiem un rīkiem (piemēram, labumiem, piemaksām un citām motivācijas shēmām), tos nosakot darba līgumā (vai iekšējos noteikumos, ar atsauci darba līgumā par to piemērošanu un saistošo spēku).
11.4. No minētā izriet saistībā ar darba samaksu veicamās personas datu apstrādes nolūki un tiek atbilstoši tiesiskie pamati -
• juridiska pienākuma izpilde;
• Dokumenta dalībnieka leģitīmās intereses;
• līguma, kurā darbinieks ir puse, noslēgšanai un izpildei/ daba devēja juridiska pienākuma izpildes.
11.5. Personas datu apstrāde saistībā ar darba samaksu (mēnešalga, piemaksas, prēmijas un naudas balvas) var ietvert šādas darbības atbilstoši apstrādes nolūkiem un tiesiskajiem pamatiem:
Apstrādā dažādu informāciju un datus saistībā ar darba samaksu | Nolūks - lai noteiktu samaksas atbilstību, salīdzinājumu; piemēram, atalgojuma pētījumi un Centrālās statistikas pārvaldes (turpmāk - CSP) atskaites un normatīvajos aktos reglamentētās. Analizē tautsaimniecībā strādājošo, nozarē strādājošo datu personu datus. Datu veidi – statistiski; anonimizēti (nav personas dati), pseidonimizēti dati. ‘ Šādas datu apstrādes tiesiskais pamats ir leģitīmās intereses vai juridiska pienākuma izpilde. |
Apstrādā dažādu informāciju un datus saistībā ar darba samaksu, darbinieku sniegumu darbā, kompetencēm, izglītības līmeni, biznesa rezultātiem, motivācijas shēmām u.tml | Nolūks - lai noteiktu samaksas atbilstību, salīdzinājumu uzņēmuma/ grupas līmenī, lai veiktu cilvēkresursu plānošanu. Piemēram, budžeta sastādīšana. Analizē uzņēmuma, uzņēmumu grupas, iestādes, iestāžu grupas strādājošo datus. Datu veidi - identificējamas personas; statistiski; anonimizēti (nav personas dati), pseidonimizēti dati. Šādas datu apstrādes tiesiskais pamats ir leģitīmās intereses, juridiska pienākuma izpilde. |
Apstrādā personas datus, lai noteiktu un īstenotu noteikumus, kritērijus un nosacījumus noteiktu tiesību un samaksas principu piemērošanai | Nolūks - lai izdotu iekšējus noteikumus par labumu piemērošanu un likumā noteikto piemaksu īstenošanu, lai piemērotu noteiktus noteikumus tiesiskās attiecībās ar konkrētu darbinieku. Piemēram, noteikumi par piemaksām, tiesībām saistībā ar stāžu, darba algas noteikšana līgumā. Analizē uzņēmuma, uzņēmumu grupas, iestādes, iestāžu grupas strādājošo datus. Datu veidi - identificējamas personas; statistiski (piem., amatu grupas) Šādas datu apstrādes tiesiskais pamats ir juridiska pienākuma izpilde, leģitīmās intereses, līguma, kurā darbinieks ir puse, noslēgšanai un izpildei/ daba devēja juridiska pienākuma izpilde |
Apstrādā personas datus, lai noteiktu un īstenotu noteikumus, kritērijus un nosacījumus noteiktu tiesību un samaksas principu piemērošanai | Nolūks, lai izdotu iekšējus noteikumus par labumu piemērošanu un likumā noteikto piemaksu īstenošanu, lai piešķirtu konkrētas tiesības, piemaksas. Piemēram, noteikumi par piemaksām, tiesībām saistībā ar bērniem, rīkojums par brīvdienas piešķiršanu vecākam, kuram piemīt tādas tiesības. |
Analizē uzņēmuma, uzņēmumu grupas, iestādes, iestāžu grupas strādājošo datus. | |
Datu veidi - identificējamas personas, trešo personu dati. | |
Šādas datu apstrādes tiesiskais pamats ir juridiska pienākuma izpilde, līguma, kurā darbinieks ir puse, noslēgšanai un izpildei/ daba devēja juridiska pienākuma izpilde | |
Datu apstrāde statistiskas mērķiem | Šādas datu apstrādes tiesiskais pamats ir juridiska pienākuma izpilde. |
11.6. Strādājot pie darba samaksas un labumu sistēmas izveides, uzturēšanas un īstenošanas, Dokumenta dalībnieks veic datu apmaiņu ar citiem pārziņiem (piem.,
CSP, nozaru organizācijas, apdrošināšanas kompānijas, u.tml.), kā arī apstrādātājiem (piemēram, grāmatvedības, personāla lietvedības ārpakalpojums, u.c.).
11.7. Personas datu apstrāde grupas uzņēmumu ietvaros darba samaksas administrēšanas nodrošināšanai ir uzskatāma par leģitīmu darba devēja interesi, jo grupas uzņēmumiem komercdarbības rezultāti tiek mērīti un nodrošināti arī grupas ietvaros un administrējot darba samaksas funkciju grupas ietvaros, var tikt nodrošināta vienveidīga, taisnīga un biznesa mērķiem atbilstoša personāla vadības stratēģija grupas ietvaros.
11.8. Nosakot darba samaksu noteiktai personai (tabulas 3.p.), izņemot, saistībā ar jautājumiem, kur pastāv konkrēti noteikumi un nosacījumi kādas samaksas daļas piemērošanai (piem., piemaksa par stāžu, mainīgā algas daļa), var tikt izvērtēti konkrēti ar personu un viņas sniegumu saistīti aspekti, tomēr to neuzskata par profilēšanu, jo tā ietver galvenokārt objektīvi pastāvošu faktu konstatēšanu noteikumu piemērošanas identificēšanai, kā arī parasti netiek veikta ar automātiskiem rīkiem.
11.9. Ārējos normatīvajos aktos, koplīgumā vai darba līgumā noteikto tiesību izlietošanai var būt nepieciešama trešo personu datu apstrāde (tabulas 5.p.). Trešās personas, piemēram, var būt ģimenes locekļi, x.xx, nepilngadīgie. Viņu datu apstrāde var izpausties, piemēram, saņemot trešo personu datus no darbinieka vai izskatot dokumentus, kas apliecina tiesības izmantot attiecīgu priekšrocību, u.tml. Šādos gadījumos uzskatāms, ka Regulā paredzētās informācijas sniegšana pilngadīgai trešajai personai prasa nesamērīgas pūles un nepamatoti var ierobežot darbinieka no likuma vai darba līguma izrietošo tiesību īstenošanu, tāpēc darba Dokumenta dalībniekam kā pārzinim tā nav jāsniedz.
11.10. Datu subjekta, kas nav darbinieks (piemēram, ģimenes locekļi, radinieki) privātuma aizsardzības intereses gadījumos ir uzskatāmas par aizsargātām un/vai realizētām arī, ja:
⮚ Dokumenta dalībnieks iekšējā normatīvā aktā ir atrunājis konkrētus nolūkus, kādos tiek apstrādāti datu subjektu, kas nav darbinieki, dati pie Dokumenta dalībnieka (pārziņa);
⮚ datu subjekts, kas nav darbinieks, lieto tiesības, kuru piešķiršanas sakarā Dokumenta dalībnieks ir veicis viņas datu apstrādi, un iebildumus pret to nav darījis tam zināmu. Tādējādi uzskatāms, ka trešās personas rīcībā ir attiecīgā Regulā minētā informācija;
⮚ nepilngadīga datu subjekta, kas nav darbinieks (nepilngadīgs bērns), intereses arī attiecībā uz datu apstrādi realizē viņas vecāki vai likumīgie aizbildņi.
11.11. Attiecībā uz darba samaksas jautājumiem datu apstrādes termiņš nosakāms pēc vienādiem kritērijiem ar datu apstrādes termiņiem citās personāla vadības jomās.
12. Personāla attīstība
12.1. Personāla attīstības procesos, vācot, apstrādājot, glabājot un iznīcinot personāla attīstības procesa gaitā iegūtos personas datus, ieteicams ņemt vērā Dokumentā minētās norādes vai labās prakses piemērus.
12.2. Darba izpildes novērtēšana izriet no Dokumenta dalībnieka un darbinieka starpā noslēgtā darba līguma, civildienesta attiecībām, tā ietver šādus elementus:
Darba izpildes vadība sistēma | Var būt jaukta tipa sistēma (manuāla un/vai elektroniska). |
Ir atbilstoša Informācijas sistēmu drošības nosacījumiem un ir pasargāta no nepamatotas vai trešo personu piekļuves informācijas sistēmai. (atbilstība IT sistēmu drošības standartiem). Darba izpildes vadības sistēmai ir noteikts sistēmas administrators, resursu turētājs u.tml., kuri savas pilnvaras veic saskaņā ar tiem deleģēto lomu un atbildības pakāpi. Manuālu darba izpildes vadības sistēmu glabā atbilstošās vietnēs, kur trešo personu piekļuve ir liegta vai monitorēta. | |
Darba izpildes novērtēšana | Xxxxx izpildes gaitā novērtē darbinieka mērķu un uzdevumu izpildes rādītājus, profesionālās un sociālās kompetences, rīcības un attieksmes rādītājus, nosaka mācību un attīstības vajadzības un pasākumus, karjeras attīstības iespējas, izvirza sasniedzamos mērķus nākamajam novērtēšanas periodam, u.tml. |
Datu apstrāde | Darba izpildes novērtēšanas rezultātā iegūtos datus (protokoli, pārskati elektroniskā vai manuālā veidā) apstrādā tikai tās personas, kurām šādu datu apstrāde ietilpst darba pienākumos (piemēram, ir noteikta darba pienākumu aprakstā) vai šādu datu apstrādi nosaka leģitīmas intereses darbinieka darba rezultātu novērtēšanai. Iegūtos darba izpildes novērtēšanas rezultātus izmanto piemēram, darbinieka pārcelšanai citā amatā, pazemināšanai amatā, atbrīvošanai no darba, attīstības un mācību plānu izstrādē, talantu vadībā u.tml. |
Datu glabāšana | Dokumentus, kas rodas darba izpildes novērtēšanas rezultātā glabā atbilstoši organizācijas noteiktajam termiņam, jeb saskaņā ar lietu nomenklatūrā noteikto termiņu. Termiņš, piemēram, var tikt noteikts atbilstoši tam, kādā termiņā var tikt celtas prasības attiecīgajās tiesiskajās attiecībās. |
12.3. Darbinieka pārcelšana citā amatā:
Darba izpildes novērtēšanas rezultātu izmantošana | Darbinieku iecelšanai citā amatā vai paaugstināšanai amatā, kā arī lai izvērtētu darbinieka piemērotību (atbilstību) attiecīgajam amatam (vai piemēram, ierēdņa pārcelšana citā amatā tajā pašā vai citā iestādē (Valsts civildienesta likuma 37.pants)), lai izvērtētu darbinieka atbilstību ieņemamajam amatam (piemēram, struktūras reorganizācijas, iestādes vai darbinieka amata likvidācijas vai darbinieku skaita samazināšanas gadījumā). Piemēram, lai izvērtētu esošo darbinieku piemērotību jaunizveidotam amatam organizācijas paplašināšanās vai reorganizācijas gadījumā, darba izpildes novērtēšanas rezultātu datus izmanto un apkopo darbinieku savstarpējā profesionālo un sociālo kompetenču salīdzinājumā. |
Dokumenta dalībnieks savās leģitīmajās interesēs (institucionālā atmiņa) var veikt darba izpildes novērtēšanas rezultātu apstrādi un šādas informācijas uzturēšanu, lai nodrošinātu darbinieku pēctecību un efektīvu pārvaldību (informācijas uzturēšana par talantīgajiem darbiniekiem un pēctečiem). | |
Datu apstrāde | Darbinieku savstarpējo profesionālo un sociālo kompetenču salīdzinājuma datus apstrādā tikai tās personas, kurām šādu datu apstrāde ietilpst darba pienākumos (piemēram, ir noteikta darba pienākumu aprakstā) vai šādu datu apstrādi nosaka leģitīmas intereses. |
Datu glabāšana | Datus par darbinieku pārcelšanu amatā vai darbinieku salīdzinājumus glabā tādā termiņā, kādā var tikt celtas attiecības prasības. |
12.4. Darbinieku mācību, kvalifikācijas paaugstināšanas pasākumi:
Darbinieku mācību, kvalifikācijas paaugstināšanas pasākumu veidi | Xxxxxxxxxx, tostarp iekšējo treneru (Train the Trainer), mentoru, Talantu vadības programmas, jauno darbinieku pamata apmācības, mācību un attīstības pasākumu plāni, ar kvalifikāciju saistīti pārskati, testu rezultāti, mācību pasākumu, tostarp konferenču apmeklējuma pārskati, u.tml; |
Datu apstrāde | Piemēram, audita pierakstus par darbinieka veiktajām aktivitātēm iekšējā E-mācību vidē (veiktie testi, testu rezultātu apkopojumi u.tml.), kas kalpo par pamatu darbinieka spēju, profesionālo zināšanu un sociālo kompetenču novērtēšanai, lēmuma pieņemšanai par pārbaudes laika izturēšanu, u.tml, apstrādā tikai tās personas, kurām šādu datu apstrāde ir noteikta darba pienākumu aprakstā vai šādu datu apstrādi nosaka leģitīmas intereses. |
Datu glabāšana | Manuāli vai elektroniski glabā atbilstoši organizācijas noteiktajam termiņam, jeb saskaņā ar lietu nomenklatūrā noteikto termiņu. |
12.5. Sociālo garantiju un labumu piešķiršana, kam par pamatu ir darba izpildes novērtējums:
Sociālo garantiju un labumu | Piemēram, publiskajā pārvaldē, normatīvajos aktos noteiktajā |
piešķiršana, kam par | kārtībā, darba izpildes novērtēšanas rezultātu izmanto, lai piešķirtu |
pamatu ir darba izpildes | darbiniekam kategoriju, mēnešalgu, papildatvaļinājuma dienu skaitu, |
novērtējums | darba izpildes novērtēšanas prēmijas apmēru, atvaļinājuma pabalsta |
apmēru u.c. |
13. Disciplinārsodi, atstādināšana, ieturējumi
13.1. Disciplinārsoda, atstādināšanas un ieturējumu veikšanas jautājumus nosaka ārēji normatīvie akti. Tajos noteikts, ka par darba kārtības vai darba līguma pārkāpumiem var piemērot disciplinārsodu – rakstveida piezīmi vai rājienu, un izvērtējums par to piemērošanu atstāts darba devēja ziņā. Tāpat, ārējos normatīvajos aktos noteikti atstādināšanas tiesiskie pamati, gadījumi, kad ir pienākums veikt atstādināšanu, atstādināšanas procedūra un termiņi.
13.2. Datu apstrāde šajā gadījumā nepieciešama Dokumenta dalībniekam (pārzinim) likumā noteikto pienākumu veikšanai, lai nodrošinātu savu leģitīmo un sabiedrības interešu ievērošanu, kā arī darba līguma izpildi. Disciplinārsods pēc savas būtības ir piespiedu līdzeklis, ko Dokumenta dalībnieks ir tiesīgs izmantot darba kārtības nodrošināšanai uzņēmumā. Atstādināšanas nolūks ir izvairīties no potenciāla pārkāpuma turpināšanas, novērst apdraudējumu vai aizskārumu un turpinātu nodarbināt darbinieku, izvērtēt apdraudējumu vai aizskārumu un nolemtu par turpmāko rīcību, nepielaist darbinieku pie darba, līdz tiek izbeigts darba līgums.
13.3. Saistībā ar darba disciplinārsodiem/atstādināšanu, veicamās personas datu apstrādes nolūki ir atbilstoši tiesiskajiem pamatiem:
● juridiska pienākuma izpilde;
● Dokumenta dalībnieka leģitīmās intereses.
13.4. Datus apstrādā tikai tās personas, kuras iesaistītas disciplinārlietas/atstādināšanas izvērtēšanas un izpildes procesā.
13.5. Ārējie normatīvie akti nosaka stingru kārtību, x.xx. termiņus, kādā Dokumenta dalībniekam ir tiesības uzlikt disciplinārsodu, kā arī termiņu, kādā tas ir spēkā. Ja gada laikā no disciplinārsoda piemērošanas dienas darbiniekam nav jaunu pārkāpumu, viņš uzskatāms par disciplināri nesodītu. Dokuments par disciplinārsoda piemērošanu var kalpot kā attaisnojuma dokuments dažādām izmaksām, kā arī saskaņā ar speciāliem
tiesību aktiem. Attiecīgi, šajos termiņos personas datu apstrāde sakarā ar disciplinārlietu ir balstīta uz tiesisko pamatu – juridiska pienākuma izpilde un nav izmantojama citiem nolūkiem.
13.6. Vienlaikus, Dokumenta dalībnieka leģitīma interese ir saglabāt un lietot informāciju par darbinieka disciplināru sodīšanu/atstādināšanu un tās apstākļiem darbinieka lietā visā nodarbinātības pastāvēšanas laikā. Piemēram, šādiem apstākļiem var būt būtiska nozīme ar darba tiesiskajām attiecībām saistītu potenciālu tiesvedību ietvaros, kur pierādīšanas pienākums piekrīt darba devējam.
13.7. Dokumenta dalībniekam ieteicams aprakstīt iekšējos normatīvajos aktos (piemēram, darba kārtības noteikumos), kāda apjoma un veida datus apstrādā disciplinārlietu izmeklēšanas /atstādināšanas ietvaros, kāda ir procedūra personas datu ievākšanai, apstrādei un uzglabāšanai, tādējādi nodrošinot darbinieka informētību par datu apstrādes apjomu un procedūru šajā nolūkā.
13.8. Disciplinārlietu un atstādināšanas izvērtēšanas un piemērošanas procesā var tikt apstrādāti arī atsevišķu veidu īpašo kategoriju veidi, piemēram, par atrašanos alkohola vai citu apreibinošo vielu iespaidā, un tam nav vajadzīga atsevišķa darbinieka piekrišana, jo atrašanās šādu vielu iespaidā ir no normatīvajiem aktiem izrietošs pamatojums disciplinārsoda / atstādināšanas piemērošanai.
Tomēr jāņem vērā, ka Dokumenta dalībnieka tiesības un pienākums ir apkopot un izanalizēt visu pieejamo informāciju lietas objektīvai izpētei, tajā skaitā arī informāciju, kas nav tieši norādīta iekšējos normatīvajos aktos (piemēram, kolēģu paskaidrojumi).
14. Iekšējā komunikācija
14.1. Iekšējā komunikācija ir informācijas aprites sistēma pie Dokumenta dalībnieka, kas nepieciešama, lai nodrošinātu efektīvu darba procesu, Dokumenta dalībnieka funkciju veikšanu un drošas darba vides pasākumu īstenošanu. Tāpēc iekšējās komunikācijas un tās elementu īstenošana ir uzskatāma par Dokumenta dalībnieka leģitīmajām interesēm, un personas datu apstrāde tā ietvaros – par apstrādi leģitīmo interešu īstenošanai.
14.2. Iekšējo komunikāciju ir racionāli īstenot uzņēmumu grupas / valsts pārvaldes iestāžu sistēmas ietvaros, jo tādējādi iespējams realizēt vienveidīgumu un sistemātiskumu šajā jautājumā. Tāpēc attiecīga personas datu apstrāde grupas uzņēmumu ietvaros un valsts pārvaldes ietvaros iekšējās komunikācijas īstenošanai ir uzskatāma par leģitīmu darba devēja interesi.
14.3. Darbiniekus par iekšējās komunikācijas kanāliem, veidiem un nolūkiem, un par apstrādājamo informāciju un datiem informē, iekļaujot to aprakstu iekšējos normatīvajos aktos. Atkarībā no tā, kāda veida iekšējā normatīvajā aktā regulējums ietverts, iespējams, tiek saņemts arī darbinieku paraksti vai elektronisks akcepts par to, ka darbinieks iepazīstināts ar dokumentu un to ievēros. Darba līgumi jebkurā gadījumā parasti satur atrunu par darbinieka pienākumu ievērot iekšējos tiesību aktus.
14.4. Iekšējās komunikācijas elementi var būt šādi:
Darbinieku kontaktinformācija | Xxxxxxxxxx kontaktdatus dara zināmus darba vidē, Dokumenta dalībnieka izvēlētos fiziskos vai elektroniskos kanālos (kontaktu grāmata, ID kartes, norādes uz kabinetu durvīm, intranets u.tml.), tādēļ un tādā mērā, lai nodrošinātu darbinieku sasniedzamību, iespēju savstarpēji pilnvērtīgi sazināties un veikt savas funkcijas. |
Izvietojamo kontaktdatu apjoms ir atkarīgs gan no katra kanāla veida (piemēram, kontaktu grāmata vai norāde uz kabineta durvīm), gan no Dokumenta dalībnieka noteiktā un akceptētā darba režīma (piemēram, darbs no mājām, atvērtā tipa birojs) un līdzīgiem faktoriem. Xxxxxxxx izvērtējams, cik plašu informāciju ir atbilstoši par darbinieku izvietot tomēr jāņem prasības, ko nosaka mūsdienīgas darba vides prasības – piemēram, ja darbiniekam ir vairāk iespēju izvēlēties savu darba laiku un vietu, augstākas prasības uzstādāmas tā sasniedzamībai. Parasti ar darbinieka kontaktinformāciju, ko leģitīmu interešu īstenošanai darīt zināmu darba vidē, saprot: - Vārdu, uzvārdu, amata nosaukumu, - darba telefona Nr. (fix, mob.), e-pastu, - fotogrāfiju. Sasniedzamības nodrošināšanai un darba organizācijas vajadzībām norāda arī: - darbinieka aizvietotāju prombūtnes laikā, aizvietotāja (kontaktpersonas) vārdu, uzvārdu, amatu, darba telefona Nr. (fix, mob.), aizvietojamā darbinieka prombūtnes iemeslu (neietverot īpašo, piemēram, veselības, kategoriju datus) un prombūtnes termiņu; - darbinieka vadītāja vārdu, uzvārdu, amata nosaukumu, telefona Nr., e- pastu. Dokumenta dalībnieks un darbinieks, katrs savas atbildības ietvaros, rūpējas, lai kontaktinformācija būtu (piemēram, fotogrāfijas) aktuāla un tiek pēc nepieciešamības atjaunota. Dokumenta dalībnieks nepublisko darbinieku privāto kontaktinformāciju, taču to iekšējā tīklā var darīt darbinieks pats pēc savas iniciatīvas, piemēram, kontaktinformācijas sarakstā ievietojot savu privāto mobilā telefona Nr. Darbinieka kontaktinformāciju dara zināmu ārpus darba vides darbinieka pienākumu izpildei, kas ir Dokumenta dalībnieks leģitīma interese, un tā lietojama tikai darba pienākumu izpildes nolūkos. Kontaktinformācija tiek ievietota tādā laika periodā, kamēr ar darbinieku pastāv nodarbinātības attiecības. | |
e-pasts | Informācijas apmaiņa e-pastos nodrošina Dokumenta dalībnieka funkciju izpildi. Vēlams iekšējos normatīvajos aktos noteikt e-pastos pārsūtītās informācijas aizsardzību ar tehniskiem līdzekļiem un informatīviem paziņojumiem. Ir izvērtējams, kur personas datu pārsūtīšanu e-pastos iespējams aizstāt ar citiem tehnoloģiskiem risinājumiem, piemēram, koplietošanas vietnēm, piekļuves tiesībām IT sistēmās. E-pastu lietošanas noteikumus un kultūru vēlams apspriest darbinieku apmācībās, piemēram, veicinot izvairīšanos no lieku kopiju veidošanas u.tml.. |
Aptaujas, viedokļu izteikšana, iesaiste | Aptaujas, viedokļu izteikšana, iesaiste tiek nodrošināta informējot darbiniekus: - par tās datu lietošanas veidu, - par to, vai tā ir brīvprātīga, - par to, vai darbinieks ir anonīms vai identificējams. |
Ieteicams lietot pētījumu aģentūru labo praksi aptauju veidošanā un vērtēšanā. | |
Intranets (iekšējais tīkls) | Intranets ir iekšējs Dokumenta dalībnieka aprites rīks, kas aizsargāts no ārējas piekļuves ar tehnoloģiskiem līdzekļiem. Intranetā tiek ievietota informācija, lai nodrošinātu darbinieku vienotu informācijas telpu, x.xx., ziņas / statiska informāciju. Vēlams noteikt skaidrus kritērijus par termiņu, kādā informācija publiska redzama un kad tā tiek arhivēta. Ieteicams nodrošināt darbiniekiem informāciju par to, kādā attiecībā uz intranetā izvietoto informāciju tiek īstenotas viņu tiesības informāciju dzēst, labot u.tml. Kā arī, darbiniekus vajadzētu informēt par intranetā izteikto viedokļu (ja šādu iespēju nodrošina) anonimitāti vai ne- anonimitāti. Intranetā var tikt ievietota arī darbinieku kontaktinfomācija, sk.augstāk. |
Darba apliecība | Amata pienākumu veikšanai. Regulējums var būt noteikts ārējos normatīvajos aktos, bet gadījumos, kad jautājumu nenosaka ārējie normatīvie akti, rūpējas, lai darba apliecībā netiktu iekļauts pārmērīgi daudz informācijas. |
15. Korporatīvā kultūra
15.1. Korporatīvā kultūra ir darba kolektīva vērtību, pārliecību, normu un tradīciju (praktisko darbību) sistēma, kas nosaka iekšējo komunikāciju un organizācijas stereotipus attiecībā uz visiem jautājumiem, kas saistīti ar Dokumenta dalībnieku. Pārdomāti pasākumi korporatīvās kultūras izveidošanā palīdz organizācijai paaugstināt savu konkurētspēju tirgū. Savukārt, valsts pārvaldes sistēmā korporatīvā kultūra nodrošina valsts pārvaldes darbību efektīvi un saskaņā ar labas pārvaldības principiem. Tāpēc korporatīvās kultūras un tās elementu īstenošana ir uzskatāma par uzņēmuma vai iestādes leģitīmajām interesēm, un personas datu apstrāde tā ietvaros – par apstrādi leģitīmo interešu īstenošanai.
15.2. No korporatīvās kultūras jēdziena izriet, ka korporatīvo kultūru ir racionāli īstenot uzņēmumu grupas / valsts pārvaldes iestāžu sistēmas ietvaros, jo tādējādi iespējams realizēt vienveidīgumu šajā jautājumā. Tāpēc attiecīga personas datu apstrāde grupas uzņēmumu ietvaros un valsts pārvaldes ietvaros korporatīvās kultūras īstenošanai ir uzskatāma par leģitīmu darba devēja interesi. Ja nodrošina darba samaksas administrēšanu grupas/valsts pārvaldes iestāžu sistēmas ietvaros, par to ir jābūt skaidram dokumentālam noformējumam (līgumam, lēmumam, tiesību aktam), kā arī jānodrošina atbilstoša piekļuves tiesību kontrole un citi organizatorisku pasākumi, lai nodrošinātu personas datu konfidencialitāti.
15.3. Darbiniekus par korporatīvās kultūras elementiem, kanāliem un nolūkiem, un par apstrādājamo informāciju un datiem informē ar iekšējo normatīvo aktu starpniecību. Atkarībā no tā, kāda veida iekšējā normatīvajā aktā regulējums ietverts, iespējams, tiek savākti arī darbinieku paraksti vai elektronisks akcepts par to, ka darbinieks iepazīstināts ar dokumentu un to ievēros. Darba līgumi jebkurā gadījumā parasti satur atrunu par darbinieka pienākumu ievērot iekšējos tiesību aktus.
15.4. Korporatīvās kultūras elementi var būt šādi:
Apbalvojumi, atzinības | Apbalvojumu un atzinību veidi parasti paredzēti iekšējos normatīvajos aktos. Šādos tiesību aktos ieteicams norādīt: - ka un kāds darbinieku sniegums un citi aspekti tiek analizēti apbalvojumu /atzinību piešķiršanai, jeb, kāda veida dati šādam nolūkam apstrādāti; - kādu vērtību sekmēšanai apbalvojumu /atzinību ir ieviesti; - ka /vai informācija par apbalvojumu /atzinību tiek publiskota Dokumenta dalībnieka ietvaros (tajos pat nolūkos), un kādos informācijas avotos (piem., intranets, e-pasts), un vai apbalvojumu /atzinību pieņemšana ietver arī tā atspoguļošanu (rakstveidā, foto, video) iekšējos informācijas avotos. Vienlaikus, par labo praksi var uzskatīt: - iespēju atteikties no kandidēšanas uz apbalvojumu /atzinību vai to piešķiršanas, jo īpaši, ja tie balstīti uz datu apstrādi, kas darbiniekam var šķist “sensitīvi” (piemēram, vecums, darba stāžs), - iespēju atteikties no informācijas par apbalvojumu /atzinību publiskošanas (vai daļējas publiskošanas, piem., fotogrāfiju izvietošanas). Jārūpējas, lai saistībā ar apbalvojumu /atzinību izplatītā informācija nesaturētu īpašo kategoriju datus, kā arī atbilstu ētikas normām. Informācijas par apbalvojumu /atzinību izplatīšanai (x.xx. fotogrāfiju, video) ārpus Dokumenta dalībnieka, arī izvietošanu sociālajos tīklos, vajadzīga datu subjektu piekrišana, jo tas pārsniegtu Dokumenta dalībnieka leģitīmo interešu ietvarus. Datu apstrādi publiskajā sfērā un speciālajos dienestos saistībā ar apbalvojumiem un atzinībām nosaka ārējie normatīvie akti, tāpēc datu apstrādes tiesiskais pamats – darba devēja juridiska pienākuma izpilde. |
Iekšējie pasākumi | Dokumenta dalībnieka iekšējie pasākumi (to veidi, regularitāte) parasti paredzēti iekšējos normatīvajos aktos. Šādos tiesību aktos ieteicams norādīt: - kādu vērtību sekmēšanai pasākumi tie nodrošināti, - ka /vai informācija par pasākumiem un to norisi tiek publiskota uzņēmuma/grupas/ iestādes ietvaros (tajos pat nolūkos), un kādos informācijas avotos (piem., intranets, e-pasts), - ka / vai pasākuma apmeklēšana ietver arī tā atspoguļošanu (rakstveidā, foto, video) iekšējos informācijas avotos un/vai uzņēmuma sociālajos profilos. Dažkārt Dokumenta dalībnieka iekšējos pasākums tiek aicināti apmeklēt arī darbinieku ģimenes locekļi – datu subjekti, kas nav Dokumenta dalībnieka darbinieki, kuru privātā informācija arī līdzās darbinieku informācijai (piemēram, foto) var tikt publiskota iekšējos informācijas resursos un/vai uzņēmuma sociālajos profilos. Par labo praksi uzskata, ka izsludinot pasākumu (piemēram, ielūgumos, afišā, intranetā) un /vai pie iekšējā pasākuma norises vietas tiek izvietota informācija par pasākuma publisko formātu, to, ka / vai tiks veikta fotografēšana/videofiksēšana un vai šāda informācija tiks publiskota informācijas resursos. Iekšējo pasākumu apmeklēšana parasti ir darbinieka un datu subjektiem, kas nav Dokumenta dalībnieka darbinieki, brīvprātīga, un tas viņam ir jādara zināms. Personu aktīva rīcība (it īpaši, ja veiktas informēšanas darbības, piemēram, saskaņā ar augstāk minēto), kas izpaužas pasākumu apmeklējot, ir uzskatāma par viņu piekrišanu šī pasākuma noteikumiem. |
Jebkurā gadījumā, šādos gadījumos uzskatāms, ka Regulā paredzētās informācijas sniegšana datu subjektam, kas nav Dokumenta dalībnieka darbinieks, prasa nesamērīgas pūles un nepamatoti var ierobežot darba devēja leģitīmo interešu ievērošanu, tāpēc darba devējam kā pārzinim tā, papildu iepriekš minētajam, nav jāsniedz. Datu subjekta, kas nav Dokumenta dalībnieka darbinieks, privātuma aizsardzības intereses ir uzskatāmas par aizsargātām un/vai realizētām arī, ja: ⮚ Dokumenta dalībnieks iekšējā normatīvā aktā ir atrunājis konkrētus nolūkus, kādos tiek apstrādāti datu subjektu, kas nav darbinieki, dati pie Dokumenta dalībnieka (pārziņa); ⮚ Datu subjekta, kas nav Dokumenta dalībnieka darbiniek, lieto tiesības, kuru piešķiršanas sakarā darba devējs ir veicis viņa datu apstrādi, un iebildumus pret to nav darījusi zināmu darba devējam. Tādējādi uzskatāms, ka datu subjekta, kas nav Dokumenta dalībnieka darbinieks, rīcībā ir attiecīgā Regulā minētā informācija. ⮚ nepilngadīgas personas (bērnu) intereses arī attiecībā uz datu apstrādi realizē viņas vecāki vai likumīgie aizbildņi. Vienlaikus darbiniekam ir jāapzinās iepriekš minēto nosacījumu izpilde un sava atbildība par to, ka datu subjekta, kas nav Dokumenta dalībnieka darbinieks, personas dati tiek sniegti pareizi, patiesi un saskaņā ar trešās personas piekrišanu. Īpašo kategoriju datu norādīšanai (piemēram, sporta spēļu vajadzībām) jāsaņem paša datu subjekta, kas nav Dokumenta dalībnieka darbinieks, apliecinājums. | |
Publiska informācija, PR, publiski pieejama informācija par darbiniekiem | Ārpus darba vides publiski pieejama informācija par darbiniekiem un amatpersonām: - ja to nosaka ārējie normatīvie akti. Piemēram, informācija par amatpersonām ir publiski pieejama; - ja tas atrunāts darba līgumā ar attiecīgo darbinieku. Piemēram, preses sekretāra amata apraksts parasti paredz, ka informācija par viņu ir publiski pieejama; - ja saņemta personas piekrišana. Ja Dokumenta dalībnieks rīko korporatīvus pasākumus, par kuriem informācija būs publiski pieejama, par to darbinieki tiek informēti ar iekšējā tiesiskā regulējuma starpniecību, kā arī, izsludinot pasākumu (piemēra, ielūgumos, afišā, intranetā) un /vai pie iekšējā pasākuma norises vietas tiek izvietota informācija par pasākuma publisko formātu, to, ka / vai tiks veikta fotografēšana/videofiksēšana un vai šāda informācija tiks publiskota informācijas resursos. Personu aktīva rīcība (it īpaši, ja veiktas informēšanas darbības, piemēram, saskaņā ar augstāk minēto), kas izpaužas pasākumu apmeklējot, ir uzskatāma par viņu piekrišanu šī pasākuma noteikumiem. |
Sociālie tīkli | Darba devējs var izmantot sociālos tīklus kā korporatīvās kultūras elementus, par to informējot darbiniekus un nodrošinot iespēju darbiniekiem no savu datu publiskošanas šajā kanālā atteikties. |
16. Sadarbība ar arodbiedrībām
16.1. Ņemot vērā arodbiedrību senās tradīcijas, ieviešot Regulu, ieteicams pārvērtēt sadarbības ar arodbiedrību formas no atbilstības Regulai viedokļa.
16.2. Saskaņā ar Regulu, dati par dalību arodbiedrībā ir īpašās kategorijas dati. Tādiem piemērojama sevišķa aizsardzība un kontrole par apstrādes atbilstību Regulai, tajā skaitā – no darbinieka kā datu subjekta puses. Datu apstrādes atbilstība ir ne tikai
tiesiskā regulējuma izpildes jautājums. Atbilstība Regulai ir arī reputācijas jautājums gan no Dokumenta dalībnieka, gan arodbiedrības puses.
16.3. Dati par darbinieku dalību arodbiedrībā var tikt apstrādāti, tāpat, kā citos gadījumos – pastāvot kādam no tiesiskajiem pamatiem un ievērojot pārējos datu apstrādes principus un noteikumus (apjomu, nolūku, termiņu u.tml.).
16.4. Jo īpaši ieteicams izvērtēt, vai Dokumenta dalībnieks “vēsturiski” neveic plašāku datu apstrādi kā tas atbilstu Regulai. Konstatējot tādu apstrādi, tā ir jāpārtrauc vai jākoriģē, lai tā atbilstu Regulai. Piemēram, bez darbinieka piekrišanas nedrīkst glabāt informāciju par darbinieka dalību arodbiedrībā, un šāda informācija ir pieprasāma un no darbinieka saņemama tikai iestājoties apstākļiem, kad tam ir tiesisks pamats – pie darba tiesisko attiecību izbeigšanas ar uzteikumu.
16.5. Atbilstības nodrošināšanai Regulas prasībām jāizvērtē jau noslēgto koplīgumu noteikumus daļā, kas saistīta ar personas datu apstrādi. Tie nepieciešamības gadījumā, sadarbojoties Dokumenta dalībniekam un arodbiedrībai, ir jāgroza.
16.6. Vadoties pēc Regulā noteiktajām definīcijām, arodbiedrība attiecībā uz savu biedru personas datiem ir personas datu pārzinis, jo nosaka personas datu apstrādes mērķus un līdzekļus, veicot darbinieku – arodbiedrības biedru personas datu apstrādi. Savukārt, ja Dokumenta dalībnieks veic kādu konkrētu personas datu apstrādi arodbiedrības (pārziņa) uzdevumā, piemēram, veic biedra naudas iekasēšanu (apstrādājot, piemēram, biedru vārdu, uzvārdu, iekasētās naudas summas apmēru), tas ir uzskatāms par personas datu apstrādātāju. Saskaņā ar Regulu, starp pārzini un apstrādātāju jānoslēdz līgumu par personas datu apstrādi. Šāds līgums jāslēdz nav, ja netiek apstrādāti personas dati (piemēram, notiek tikai vispārīgas vai statistiskas informācijas apmaiņa).
16.7. Lai gan arodbiedrībai ir senas tradīcijas darbinieku pārstāvībā attiecībās ar darba devēju, jārūpējas, lai personas datu nodošanai arodbiedrībai būtu tiesisks pamats, un nav pieļaujama darbinieku, kas nav arodbiedrības biedri, datu nodošana bez šāda tiesiskā pamata esamības vai citāda veida pārmērīga apjoma datu nodošana. Savukārt, lai arodbiedrības vārdā veiktu biedra naudas ieturējumu, ir nepieciešama darbinieka – arodbiedrības biedra, piekrišana rakstveida formā. Darbinieka– arodbiedrības biedra piekrišanai ir jāatbilst visiem nosacījumiem, ko paredz Regula, tajā skaitā, tai jābūt brīvas (ar reālām izvēles iespējām), nepārprotamas, ar tiešu, skaidru rīcību izteiktam gribas apliecinājumam, ar kuru darbinieks atļauj apstrādāt savus personas datus atbilstoši arodbiedrības kā pārziņa sniegtajai informācijai. Piekrišanai jābūt atsaucamai bez darbiniekam negatīvām sekām.
17. Videonovērošana
17.1. Videonovērošana ir viens no izplatītākajiem sabiedrības novērošanas veidiem. Vairums videonovērošanas kameru (x.xx. arī dažādās informāciju tehnoloģiju ierīcēs iebūvētās novērošanas kameras) ir vērstas uz fizisku personu darbību novērošanu un/vai ierakstīšanu. Tas nozīmē, ka vairumā gadījumu videonovērošana ir personas datu apstrāde un videonovērošanas rezultātā iegūtie attēli satur personas datus, kuru apstrāde ir jāveic saskaņā ar Regulu. Šādos gadījumos personai ir Regulā noteiktās datu subjekta tiesības (piemēram, būt informētam par veikto personas datu apstrādi un piekļūt saviem personas datiem), tāpēc ieteicams aprakstīt procesu, kādā tiek apstrādāti datu subjektu pieprasījumi šo tiesību īstenošanai.
17.2. Dokumenta dalībniekam ir jāvērtē, kādam mērķim un kādā apjomā veikt personas datu apstrādi, kā arī jāizvērtē attiecīgi drošības pasākumi katrā konkrētajā situācijā, lai nodrošinātu atbilstošu personas datu aizsardzību.
17.3. Dokumenta dalībnieks, uzsākot videonovērošanu, veic videonovērošanas nepieciešamības izvērtējumu, nosakot:
17.3.1. kas ir pārzinis – t.i., persona, iestāde, komersants, kas noteiks videonovērošanas mērķus un līdzekļus, un būs atbildīgā persona par personas datu apstrādi Regulas izpratnē. Īpaši svarīgi šo aspektu apzināt, ka videonovērošana tiek veikta gadījumos, kad to paredz ārēji normatīvi akti (piemēram, būvniecības procesā, saistībā ar valsts noslēpumu u.tml);
17.3.2. kāds ir videonovērošanas mērķis – t.i., kādēļ būtu nepieciešams izmantot videonovērošanu, x.xx. identificējot problēmas, kuras ir plānots atrisināt ar videonovērošanas palīdzību; vai plānotais videonovērošanas mērķis ir skaidri noteikts un tas ir pietiekami izskaidrots personām, kas tiks pakļautas novērošanai;
17.3.3. kādi būs ieguvumi, kas tiks sasniegti ar videonovērošanu; vai videonovērošanas ierīču izmantošana tiešām ir nepieciešama; vai efektīvi ir mērķa sasniegšanai izmantot videonovērošanas ierīces;
17.3.4. vai videonovērošanas veikšana nodrošinās iepriekš minēto ieguvumu sasniegšanu, vai pastāv kāda cita iespēja, kā neietekmējot personu tiesības uz privātumu, sasniegt definēto mērķi (piemēram, zādzību vai vandālisma gadījumā uz ielas izvietojot papildus apgaismes ķermeņus, gadījumā, ja prettiesiskās darbības tiek veicinātas, kad konkrētā teritorija naktī nav apgaismota; izmantojot labākas kvalitātes jeb augstākas drošības pakāpes durvis, īpaši aizsargātus stiklus, dažādas slēdzeņu sistēmas un kustības detektorus vai citus sensorus īpašuma aizsardzībai, utt.);
17.3.5. vai ir nepieciešams ar videonovērošanas palīdzību apstrādāt tādus attēlus, kas ļauj identificēt personas, vai tomēr ir iespējams izmantot citu tehnoloģiju, ja videonovērošanas mērķis nav personu identificēšana, bet, piemēram, personu plūsmas uzraudzīšana noteiktā teritorijā;
17.3.6. vai nepieciešams saglabāt ierakstus no videonovērošanas iekārtām; vai mērķi nevar sasniegt, veicot videonovērošanu tikai reālā laika režīmā, nesaglabājot personas datus. Pārzinim jāizvērtē iespēja videoierakstus veikt pastāvīgi tikai, ja iestājas kāds noteikts kritērijs;
17.3.7. cik ilgi ieraksts tiks saglabāts un kur tas tiks saglabāts;
17.3.8. vai mērķa sasniegšanai nepieciešams uzstādīt mobilu videonovērošanas ierīci vai patstāvīgi filmējošu;
17.3.9. vai videonovērošanas ierīces filmēšanas perimetrs būs nemainīgs, vai tas automātiski mainīsies, vai to varēs mainīt manuāli, ja ne – pieciešams;
17.3.10. vai videonovērošanas rezultātā iegūto attēlu varēs palielināt jeb papildus apstrādāt; cik liela būs optikas izšķirtspēja, kas sniegs iespēju saskatīt sīkākās attēla detaļas, vai arī tiks iegūts daudz vispārīgāks attēls?
17.3.11. kā pārzinis nodrošinās kontroli, ka videonovērošanas rezultātā iegūtie personas dati netiks izmantoti citam mērķim kā sākotnēji paredzētajam.
17.4. Dokumenta dalībnieks videokameras uzstāda tikai tādās vietās, lai sasniegtu definēto mērķi. Vietās, kur fiziskās personas sagaida īpaši augstu privātuma aizsardzību, piemēram, apģērbu pielaikošanas telpās veikalos, atpūtas telpās darba vietās, kā arī tualetēs, videonovērošanas veikšanu neveic.
17.5. Videonovērošanas kameras nedrīkst izmantot, lai ierakstītu sarunas starp cilvēkiem. Ir jāizvēlas iekārtas bez audio ieraksta esamības, vai arī tā ir jāatslēdz. Audioierakstu veikšanas mērķis ir jāvērtē atsevišķi no videonovērošanas veikšanas mērķa.
17.6. Regula nosaka, ka pārzinim ir jānodrošina personas datu pareizība un to savlaicīga atjaunošana, labošana vai dzēšana, ja personas dati ir nepilnīgi vai neprecīzi, saskaņā ar personas datu apstrādes mērķi.
17.7. Ierakstītie video attēli ir jāglabā tādā veidā, lai saglabātu videoieraksta viengabalainību. Tas ir nepieciešams, lai nepieciešamības gadījumā varētu pārliecināties, ka datu subjekta tiesības ir ievērotas. Lai to nodrošinātu, ir jāizmanto atbilstoši līdzekļi attēla saglabāšanai, x.xx. nodrošinot ierobežotu pieejamību šiem materiāliem. Kā arī, ja vairs nepastāv datu apstrādes mērķis, kam video attēli tiek iegūti, tie ir jādzēš (jāiznīcina). Videoierakstu attēliem ir jābūt pieejamiem, x.xx. iespējai attēlus redzēt videonovērošanas monitorā, ir jābūt tikai attiecīgai pilnvarotai personai, kuras pienākumos ietilpst minēto darbību veikšana. Videonovērošanas attēlu aplūkošana ir jānodrošina atsevišķā telpā vai tādā veidā, lai nepiederošām personām nebūtu iespēja tos redzēt.
17.8. Videoierakstu attēlus, kuros ir datu subjekti (fiziskas personas), nedrīkst glabāt ilgāk, kā nepieciešams sākotnēji noteiktajam videonovērošanas mērķim, tāpēc:
17.8.1. jānosaka iespējami īsāks laiks videoierakstu uzglabāšanai, ņemot vērā sasniedzamo mērķi;
17.8.2. jānodrošina pilnīga personas datu dzēšana pēc uzglabāšanas termiņa beigām;
17.8.3. jānodrošina pastāvīga kontrole, lai pārliecinātos, ka dati ir dzēsti attiecīgajā termiņā un ap - jomā. To iespējams nodrošināt arī automātiskā režīmā.
17.9. Videonovērošanas ierīces var būt izvietotas darba vietās, lai nodrošinātu cilvēku dzīvības, veselības aizsardzību un īpašuma aizsardzību, lai identificētu kaitējumu vai zaudējumu nodarītājus. Video novērošanas ierīču ieraksti nevar tikt izmantoti citiem mērķiem, piemēram, lai kontrolētu darba veikšanas kvalitāti vai kvantitāti, ja tam nav tiesiskais pamats saskaņā ar ārējiem normatīvajiem aktiem.
17.10. Videonovērošanas ierīces var būt uzstādītas pie ēku ieejām un izejām, drošības izejām un personu pārvietošanās ceļiem. To videonovērošanas leņķis var aptvert teritorijas jeb zonas, kur tiek glabātas preces vai citas vērtības. Tās nevar aptvert darbi
- nieku darba vietas, izņemot atsevišķus gadījumus (piemēram, darbinieka darbs saistīts ar finanšu līdzekļiem, bet tad videonovērošanas ierīcei ir jāfilmē kasiera darbs ar finanšu līdzekļiem vai darbs noliktavā, kurā tiek glabātas vērtības un tiek attiecīgi filmēta to pārvietošana), un ja tam ir tiesiskais pamats saskaņā ar ārējiem normatīvajiem aktiem.
17.11. Aizliegts ierīces izvietot bez darbinieku iepriekšējas informēšanas, kā arī izmantot slēptās miniatūrās videokameras, ja vien normatīvie akti tieši nepieļauj to izmantošanu. Slēptā videonovērošana darba vietā ir pieļaujama tikai gadījumos, kad tas nepieciešams īpašai izmeklēšanai un to nav iespējams veikt ar citiem līdzekļiem, un ja likums ļauj veikt personas datu apstrādi, neatklājot tās mērķi. Taču šādai izmeklēšanai ir jābūt iespējami īsai un nav pieļaujams to veikt pastāvīgi ilgā laika periodā, pretējā gadījumā ir uzskatāms, ka videonovērošanas mērķis nav sasniegts, tādējādi nav arī pamata veikt šāda veida videonovērošanu.
17.12. Dokumenta dalībniekam ieteicams katru darbinieku skaidri informēt par videonovērošanas veikšanu (piemēram, iekļaujot šo informāciju darba līguma pielikumā, iekšējos normatīvajos aktos), tajā skaitā norādot, ka darbiniekam ir tiesības piekļūt saviem personas datiem.
17.13. Par veikto videonovērošanu jāinformē skaidrā, nepārprotamā un saprotamā veidā visi tie indivīdi, kas tiek novēroti (darbinieki, apmeklētāji, klienti, u.c.), izvietojot zīmes visās vietās pirms personu iekļūšanas videonovērošanas zonā.
Zīmēm jāietver šāda informācija *:
• par videonovērošanas ierīces esamību;
• pārziņa (atbildīgās personas) nosaukums, adrese un cita kontaktinformācija;
• videonovērošanas mērķis;
• pēc iespējas un nepieciešamības – atsauce uz privātuma politiku un vietu, kur
*Uz zīmēm, kuras izvieto iekštelpās un kuras pieejamas tikai darbiniekiem, var neizvietot informāciju, kas jau ir darbinieku rīcībā.
Nobeiguma noteikumi
18. Dokumenta dalībnieks patstāvīgi ir atbildīgs par savu rīcību un pieņemtajiem lēmumiem personas datu apstrādes un aizsardzības sfērā, un atsauce uz Dokumenta regulējumu un tā piemērošanu neatbrīvo to no atbildības un saistību izpildes.
19. LPVA var izstrādāt un pievienot Dokumenta grozījumus un papildinājumus, jo īpaši:
- nostiprinoties personas datu apstrādes regulējuma piemērošanas praksei;
- ja ir lietderīgi noteikt specifiskas piemērošanas vadlīnijas jaunos personas datu apstrādes aspektos konkrētu personāla vadības funkciju ietvaros;
- lai Dokumenta piemērošanu padarītu efektīvāku.
20. LPVA uztur aktuālo informāciju par Dokumenta biedriem un Dokumenta aktuālo redakciju, kā arī apkopo priekšlikumus Dokumenta grozījumiem un papildinājumiem, un organizē Dokumenta grozījumu un papildinājumu apstiprināšanu saskaņā ar LPVA darbību regulējošajiem dokumentiem.