SIA Mercuri International personas datu apstrādes principi un klientu privātuma aizsardzības politika

SIA Mercuri International personas datu apstrādes principi un klientu privātuma aizsardzības politika

Spēkā no 2018. gada 25. maija

Šajos personas datu apstrādes principos un klientu privātuma aizsardzības politikā, turpmāk tekstā – Principi, ir aprakstīta kārtība, kādā Mercuri International SIA, reǵistrācijas Nr. 40003164521, turpmāk tekstā – Mercuri, apstrādā personas datus.

Šie Principi ir piemērojami, ja esošs vai potenciāls klients, tā darbinieks vai sadarbības partneris, turpmāk tekstā – Klients, izmanto, ir izmantojis vai ir izteicis vēlēšanos izmantot Mercuri sniegtos pakalpojumus, vai ir citā veidā saistīts ar Mercuri sniegtajiem pakalpojumiem, tai skaitā attiecībās ar Klientu, kas nodibinātas pirms šo Principu spēkā stāšanās.

1. Definīcijas

1.1 Klients ir jebkura fiziska persona, kura izmanto, ir izmantojusi, vai ir izteikusi vēlēšanos izmantot jebkurus Mercuri sniegtos pakalpojumus vai ir jebkādā citā veidā saistīts ar tiem.

1.2 Personas dati ir jebkura ar Klientu tieši vai netieši saistīta informācija.

1.3 Apstrāde ir jebkura ar Personas datiem veikta darbība (tai skaitā vākšana, ierakstīšana, glabāšana, mainīšana, piekļuves došana, pieprasījumu veikšana, nodošana u.tml.).

1.4 Mercuri ir juridiska persona, kuras juridiskā adrese ir Latvijā, un kura rīkojas Personas datu apstrādes pārziņa un Personas datu apstrādes operatora statusā.

2. Vispārīgie noteikumi

2.1 Šajos Principos ir aprakstīts, kā Mercuri vispārīgi veic Personas datu Apstrādi. Sīkāka informācija par Personas datu Apstrādi var arī būt aprakstīta līgumos, citos ar pakalpojumiem saistītos dokumentos un Mercuri interneta vietnē: xx.xxxxxxx.xxx.

2.2 Mercuri piemērojamo normatīvo aktu ietvaros nodrošina Personas datu konfidencialitāti un ir īstenojusi atbilstošus tehniskos un organizatoriskos pasākumus Personas datu pasargāšanai no nesankcionētas piekļuves, pretlikumīgas Apstrādes vai izpaušanas, nejaušas pazaudēšanas, izmainīšanas vai iznīcināšanas.

2.3 Mercuri Personas datu Apstrādei var izmantot apstiprinātus Personas datu apstrādātājus. Šādos gadījumos Mercuri veic nepieciešamos pasākumus, lai nodrošinātu, ka šādi Personas datu apstrādātāji Personas datu Apstrādi veic saskaņā ar Mercuri norādēm un atbilstoši piemērojamajiem normatīvajiem tiesību aktiem un pieprasa atbilstošu drošības pasākumu veikšanu.

2.4 Mercuri sīkdatņu politika ir pieejama Mercuri tīmekļa vietnē: xx.xxxxxxx.xxx .

3. Personas datu kategorijas

3.1 Personas dati var tikt vākti no Klienta, no Klienta pakalpojumu izmantošanas un no ārējiem avotiem, piemēram, publiskajiem un privātajiem reǵistriem vai trešajām pusēm. Personas datu kategorijas, kuras Mercuri lielākoties, bet ne tikai, vāc un apstrādā, ir:

3.2 Identifikācijas dati, piemēram, vārds, uzvārds, personas kods.

3.3 Kontaktinformācija, piemēram, adrese, tālruņa numurs, e-pasta adrese, saziņas valoda.

3.4 Profesionālie dati, piemēram, izglītība vai profesionālā karjera.

3.5 Saziņas dati, kas tiek vākti, kad Klients sazinās ar Mercuri telefoniski, vizuālie un/vai audioieraksti, e- pasts, ziņas un citi saziņas līdzekļi, piemēram, sociālie mediji, dati, kas iegūti, Klientam apmeklējot Mercuri tīmekļa vietnes vai sazinoties citos Mercuri kanālos.

3.6 Ar pakalpojumiem saistītie dati, piemēram, līgumu izpilde vai neizpilde, veiktie darījumi, noslēgtie un spēku zaudējušie līgumi, iesniegtie pieteikumi, pieprasījumi un sūdzības, intereses, pakalpojumu maksas.

3.7 Dati par paradumiem, patikām un apmierinātību, piemēram, pakalpojumu izmantošanas aktivitāte, izmantotie pakalpojumi, personīgie uzstādījumi, atbildes uz aptauju jautājumiem, Klienta apmierinātības novērtējumi, pašvērtējumi.

4. Personas datu Apstrādes mērķi un pamats

Mercuri primāri veic Personas datu Apstrādi:

4.1 Vispārīgai klientu attiecību vadīšanai un pieejas produktiem un pakalpojumiem nodrošināšanai, un administrēšanai;

Lai noslēgtu un izpildītu līgumu, piemēram, darījumu, ar Klientu; lai nodrošinātu datu aktualitāti un pareizību, pārbaudot un papildinot datus, izmantojot ārējos vai iekšējos avotus, pamatojoties uz: līguma izpildi vai lai pēc Klienta lūguma veiktu pasākumus pirms līguma noslēgšanas.

4.2 Klienta un/vai Mercuri interešu aizsardzībai;

Lai aizsargātu Klienta un/vai Mercuri intereses un pārzinātu Mercuri sniegto pakalpojumu kvalitāti un iekšējai apmācībai vai pakalpojumu kvalitātes nodrošināšanai.

4.3 Papildu pakalpojumu sniegšanai, klientu aptauju, tirgus analīžu veikšanai, statistikai;

Lai Klientam piedāvātu Mercuri vai rūpīgi izvēlētu sadarbības partneru pakalpojumus, tai skaitā sniegtu personalizētus piedāvājumus, pamatojoties uz: Klienta piekrišanu vai Mercuri leǵitīmajām interesēm piedāvāt papildu pakalpojumus.

Lai veiktu Klientu aptaujas, tirgus analīzes, apkopotu statistiku; organizētu akcijas Klientiem, pamatojoties uz: Mercuri leǵitīmajām interesēm pilnveidot Mercuri pakalpojumus, uzlabot Klienta pakalpojumu lietošanas pieredzi un izstrādāt jaunus produktus un pakalpojumus, vai Klienta piekrišanu.

4.4 Pakalpojumu negodprātīgas izmantošanas novēršanai un pakalpojumu pienācīgai nodrošināšanai;

Lai sankcionētu un kontrolētu piekļuvi digitālajiem kanāliem un to darbību, novērstu nesankcionētu piekļuvi un to negodprātīgu izmantošanu, un lai nodrošinātu informācijas drošību, pamatojoties uz: līguma izpildi un lai izpildītu juridisku pienākumu vai saskaņā ar Klienta piekrišanu vai Mercuri leǵitīmajās interesēs kontrolētu Mercuri digitālo pakalpojumu autorizāciju, piekļuvi un darbību.

4.4 Informācijas tehnoloǵiju infrastruktūras un programnodrošinājuma pilnveidošanai;

Lai pilnveidotu tehniskās sistēmas, IT infrastruktūru, pielāgotu pakalpojuma attēlošanu ierīcēs un attīstītu Mercuri pakalpojumus, piemēram, testējot un pilnveidojot tehniskās sistēmas un IT infrastruktūru, pamatojoties uz Mercuri leǵitīmajām interesēm pilnveidot tehniskās sistēmas un IT infrastruktūru.

4.5 Prasījuma tiesību nodibināšanai, īstenošanai un aizstāvībai;

Lai nodibinātu, īstenotu, aizstāvētu un cedētu prasījuma tiesības, pamatojoties uz: līguma izpildi vai, lai pēc Klienta lūguma veiktu pasākumus pirms līguma noslēgšanas, vai, lai izpildītu juridisku pienākumu, vai Mercuri leǵitīmajās interesēs īstenotu prasījuma tiesības.

5. Profilēšana, personalizēti piedāvājumi un automatizēta lēmumu pieņemšana

5.1 Profilēšana ir Personas datu automātiska Apstrāde, ko izmanto, lai izvērtētu noteiktas Klienta personīgās pazīmes, it īpaši, lai analizētu vai paredzētu, piemēram, tās privātpersonas personīgās patikas, intereses, dzīvesvietu. Profilēšanu izmanto analīzes veikšanai Klienta konsultēšanai, tiešā mārketinga nolūkos, automatizētai lēmumu pieņemšanai, piemēram, noderīgu pakalpojumu piedāvāšanai, un tā ir pamatota uz Mercuri leǵitīmajām interesēm, juridisku pienākumu pildīšanu, līguma izpildi vai Klienta piekrišanu.

5.2 Mercuri var apstrādāt Personas datus, lai uzlabotu Klienta digitālo pakalpojumu lietošanas pieredzi, piemēram, pielāgojot pakalpojumu attēlošanu izmantotajā ierīcē un lai sagatavotu Klientam piemērotus piedāvājumus. Ja vien Klients nav ierobežojis tiešo mārketingu attiecībā uz sevi, Mercuri var veikt Personas datu Apstrādi Mercuri pakalpojumu vispārīgu un personalizētu piedāvājumu sagatavošanai.

Šāds mārketings var būt pamatots uz Klienta izmantotajiem pakalpojumiem un to, kā Klients izmanto pakalpojumus un to, kā Klients darbojas Mercuri digitālajos kanālos.

5.3 Uz personalizētajiem piedāvājumiem un mārketingu balstītajai profilēšanai, kas tiek veikta saskaņā ar Mercuri leǵitīmajām interesēm, Mercuri nodrošina, ka Klienti var izdarīt izvēli sava privātuma iestatījumu pārvaldīšanai.

5.4 Mercuri var arī vākt statistikas datus par Klientu, x.xx. par raksturīgo uzvedību un dzīvesveida paradumiem, pamatojoties uz demogrāfiskajiem datiem. Statistikas dati segmentu/profilu izveidei var tikt iegūti no ārējiem avotiem un var tikt apvienoti ar Mercuri iekšējiem datiem.

6. Personas datu saņēmēji

Personas dati tiek nodoti citiem saņēmējiem, piemēram:

6.1 Institūcijas (piemēram, tiesībsargājošajās iestādes, zvērināti tiesu izpildītāji, nodokļu pārvaldes, uzraudzības iestādes un finanšu izmeklēšanas iestādes).

6.2 Mercuri Grupā ietilpstošās juridiskās personas.

6.3 Trešās puses, kas ir iesaistītas tirdzniecības darījumu izpildē, Eiropas fondu finansējuma administrēšanā, norēķinos un pārskatu sniegšanā.

6.4 Auditori, juriskonsulti, finanšu konsultanti, mārketinga, tirgzinības konsultanti, digitālās apmācības protālu uzturētāji vai citi Mercuri apstiprināti Personas datu apstrādātāji.

6.5 Trešās puses, kuras uztur reǵistrus (piemēram, iedzīvotāju reǵistrus, komercreǵistrus un citus reǵistrus, kuri satur vai caur kuriem tiek nodoti Personas dati).

6.6 Parādu piedzinēji saskaņā ar cedētām prasījuma tiesībām, tiesas, ārpustiesas strīdu risināšanas iestādes, bankrota vai maksātnespējas procesa administratori.

6.7 Citas personas, kuras ir saistītas ar Mercuri pakalpojumu sniegšanu, x.xx. arhivēšanas, pasta pakalpojumu sniedzēji, Klientam sniegto starpniecības vai aǵenta pakalpojumu sniedzēji, kuru pakalpojumus Klients ir iegādājies no Mercuri un ar to apkalpošanu saistītās pilnvarotās personas, kā arī uzņēmumi, kuri administrē ar šādiem objektiem saistītās maksas, lietotāja piekļuves un pakalpojumu pieejamību.

7. Apstrādes ǵeogrāfiskā teritorija

7.1 Parasti Personas dati tiek apstrādāti Eiropas Savienībā/Eiropas Ekonomiskajā zonā (ES/EEZ), tomēr atsevišķos gadījumos tie var tikt nodoti un apstrādāti valstīs, kas neietilpst ES/EEZ.

7.2 Personas datu nodošana un apstrāde ārpus ES/EEZ var notikt, ja tam ir tiesisks pamatojums, proti, lai izpildītu juridisku pienākumu, noslēgtu vai izpildītu līgumu, vai saskaņā ar Klienta piekrišanu, un ir veikti pienācīgi drošības pasākumi. Pienācīgi drošības pasākumi ir, piemēram:

- Ir noslēgta vienošanās, tai skaitā ES līguma standartklauzulas vai citi apstiprināti noteikumi, rīcības kodekss, sertifikācijas u.tml., kas ir apstiprinātas saskaņā ar Vispārīgo datu aizsardzības regulu;

- ES/EEZ neietilpstošajā valstī, kurā saņēmējs atrodas, atbilstoši ES Komisijas lēmumam tiek nodrošināts pietiekams datu aizsardzības līmenis;

- Saņēmējs ir sertificēts atbilstoši Privātuma vairogam (attiecas uz saņēmējiem, kuri atrodas Amerikas Savienotajās Valstīs).

7.3 Pēc pieprasījuma Klients var saņemt sīkāku informāciju par Personas datu nodošanu valstīm ārpus ES/EEZ.

8. Glabāšanas periods

8.1 Personas dati tiks apstrādāti tikai tik ilgi, cik nepieciešams. Glabāšanas periods varbūt pamatots ar līgumu ar Klientu, Mercuri leǵitīmajām interesēm vai piemērojamajiem normatīvajiem aktiem (piemēram, likumiem par grāmatvedību, noilgumu, civiltiesībām u.tml.).

9. Klienta kā datu subjekta tiesības

Klientam (datu subjektam) ir tiesības attiecībā uz savu datu Apstrādi, kas saskaņā ar piemērojamiem normatīvajiem aktiem ir klasificēti kā Personas dati. Šīs tiesības kopumā ir šādas:

9.1 Pieprasīt savu Personas xxxx xxxxxxxx, ja tie ir neatbilstoši, nepilnīgi vai nepareizi.

9.2 Iebilst savu Personas datu Apstrādei, ja Personas datu izmantošana ir balstīta uz leǵitīmajām interesēm, tai skaitā profilēšanu tiešā mārketinga nolūkiem (piemēram, mārketinga piedāvājumu saņemšanai vai dalībai aptaujās).

9.3 Prasīt savu Personas datu dzēšanu, piemēram, ja Personas dati tiek apstrādāti, pamatojoties uz piekrišanu, ja Klients ir atsaucis savu piekrišanu. Šīs tiesības nav spēkā, ja Personas dati, kuru dzēšana tiek pieprasīta, tiek apstrādāti, arī pamatojoties uz citu tiesisku pamatu, piemēram, līgumu vai no attiecīgiem normatīvajiem aktiem izrietošajiem pienākumiem.

9.4 Ierobežot savu Personas datu Apstrādi saskaņā ar piemērojamajiem normatīvajiem aktiem, piemēram, laikā, kad Mercuri izvērtē, vai Klientam ir tiesības uz savu datu dzēšanu.

9.5 Saņemt informāciju, vai Mercuri apstrādā klienta Personas datus un, ja apstrādā, tad arī piekļūt tiem.

9.6 Saņemt savus Personas datus, ko tas ir sniedzis un kas tiek apstrādāti uz piekrišanas un līguma izpildes pamata rakstiskā formā vai kādā no biežāk izmantotajiem elektroniskajiem formātiem un, ja iespējams, nodot šādus datus citam pakalpojumu sniedzējam (datu pārnesamība).

9.7 Atsaukt savu piekrišanu savu Personas datu apstrādei.

9.8 Netikt pakļautam pilnībā automatizētai lēmumu pieņemšanai, tai skaitā profilēšanai, ja šādai lēmumu pieņemšanai ir tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē Klientu. Šīs tiesības nav spēkā, ja lēmuma pieņemšana ir nepieciešama, lai noslēgtu vai izpildītu līgumu ar Klientu, ja lēmuma pieņemšana ir atļauta saskaņā ar piemērojamajiem normatīvajiem aktiem vai ja Klients ir devis savu nepārprotamu piekrišanu.

9.9 Iesniegt sūdzības par Personas datu izmantošanu Datu valsts inspekcijai (xxx.xxx.xxx.xx), ja Klients uzskata, ka tā Personas datu Apstrāde pārkāpj tā tiesības un intereses saskaņā ar piemērojamajiem normatīvajiem aktiem.

10. Kontaktinformācija

10.1 Klients var sazināties ar Mercuri saistībā ar jautājumiem, piekrišanas atsaukšanu, pieprasījumiem, datu subjektu tiesību izmantošanu un sūdzībām par Personas datu izmantošanu.

10.2 Mercuri kontaktinformācija ir pieejama Mercuri tīmekļa vietnē: xx.xxxxxxx.xxx.

10.3 Ieceltā Datu aizsardzības speciālista kontaktinformācija: xxxxxxx@xxxxxxx.xx vai Xxxxxx xxxx 0, 000. xxxxxx, Xxxx, XX-0000, ar atzīmi “Datu aizsardzības speciālists”.

11.Principu spēkā esamība un grozījumi

11.1 Šie Principi Klientiem ir pieejami Mercuri birojā un Mercuri tīmekļa vietnē: xx.xxxxxxx.xxx.

11.2 Mercuri ir tiesīga jebkurā brīdī vienpusēji grozīt šos Principus saskaņā ar piemērojamajiem normatīvajiem aktiem, paziņojot Klientam par attiecīgajiem grozījumiem Mercuri birojā, Mercuri tīmekļa vietnē, pa pastu, pa e-pastu vai citā veidā (piemēram, plašsaziņas līdzekļos) ne vēlāk kā vienu mēnesi pirms grozījumu stāšanās spēkā.

Mercuri International SIA

Xxxxxxxx Xxxxxxxxx Valdes loceklis

Rīgā, 2018. gada 20. aprīlī