STOCKMANN                                                                                       
DATU AIZSARDZĪBAS POLITIKA

10.05.2018.

IEVADS

Šajā datu aizsardzības politikā ir noteikti principi, darba metodes, pienākumi, kā arī uzraudzības un sankciju prakse, ko ievēro Stockmann Grupa (turpmāk „Stockmann”), īstenojot un pilnveidojot datu aizsardzību. Šī datu aizsardzības politika attiecas uz personas datu apstrādi grupā, kurā „Stockmann” darbojas par datu pārzini.

Stockmann Grupas augstākā vadība ir datu aizsardzības pasākumu īpašniece, kas šajā politikā nosaka datu aizsardzības principus, kuri attiecas uz pārvaldību, izstrādi, pārmaiņu pārvaldību, pakalpojumu sniegšanu, darbības procesiem un tamlīdzīgām jomām, kā arī pienākumiem un ar tiem saistītajiem mērķiem. Šī politika ir pamats citām datu aizsardzību atbalstošajām politikām un pamatnostādnēm, kurās sīkāk izskaidrotas šajā politikā noteiktās prasības un sniegti norādījumi par to praktisko lietojumu.

Datu aizsardzības politika attiecas uz visu Stockmann Grupu un tās personālu, kā arī uz tās partneriem, apakšuzņēmējiem un citām ieinteresētajām personām, kas, pamatojoties uz līgumiem, apstrādā „Stockmann” īpašumā vai pārziņā esošos personas datus. Šī politika aptver visus „Stockmann” piederošos personas datus neatkarīgi no to uzrādīšanas metodes, veida vai dzīves cikla posma.

Šī politika ir pieejama Stockmann Grupas intraneta pakalpojumā. Šī datu aizsardzības politika un ar to saistītās pamatnostādnes tiks atjauninātas, kad nepieciešams.

1 DATU AIZSARDZĪBAS DEFINĪCIJA

Datu aizsardzība attiecas uz personas datu atbilstīgu apstrādi saskaņā ar tiesību aktiem un datu subjektu privātuma aizsardzību, ierobežojot viņu personas datu nevajadzīgu un nelikumīgu apstrādi.

Tiesības uz personas datu aizsardzību ir ikviena pamattiesības. Personas dati ir atbilstīgi jāapstrādā, un datus drīkst apstrādāt tikai iepriekš noteiktā nolūkā. Lai veiktu datu apstrādi, ir jābūt likumīgam pamatojumam, piemēram, līgumattiecībām, attiecīgās personas piekrišanai vai citiem tiesību aktos paredzētiem apstrādes pamatojumiem.

Datu aizsardzības mērķis ir arī stiprināt datu subjektu tiesības, piemēram, iedzīvotāju tiesības piekļūt saviem personas datiem, tiesības labot nepatiesu informāciju un tiesības pieprasīt dzēst personas datus.

2 DATU AIZSARDZĪBAS MĒRĶI

„Stockmann” datu aizsardzības pasākumu mērķis ir nodrošināt to, ka personas dati tiek apstrādāti likumīgi un ka datu aizsardzības pārvaldība ir pietiekama. Lielā klientu skaita dēļ datu aizsardzības pasākumi ir īpaši svarīgi attiecībā uz klientu datiem. „Stockmann” mērķis ir ievērot personas datu apstrādes principus un piemērojamos tiesību aktus visos personas datu apstrādes procesos.

Datu aizsardzības darbībā „Stockmann” izmanto uz risku balstītu pieeju. Ar personas datu apstrādi saistītie riski tiek regulāri izvērtēti, un šādus novērtējumus izmanto, lai noteiktu riskiem atbilstīgas pārvaldības procedūras, kas mazinātu šos riskus. Datu aizsardzības risku pārvaldība ir daļa no „Stockmann” riska pārvaldības procesa. Uz risku balstīta pieeja ir „Stockmann” datu aizsardzības pasākumu būtiska sastāvdaļa un tā atbilstība atbildības principam.

„Stockmann” nodrošina, ka datu subjektu tiesības netiek pārkāptas, saglabājot personas datu apstrādes caurredzamību un ļaujot datu subjektiem īstenot savas tiesības, dokumentējot ar personas datu apstrādi saistītās procedūras un procesus un sniedzot pamatnostādnes par to personālam un galvenajām ieinteresētajām personām, apmācot savu personālu rīkoties saskaņā ar noteikumiem un pārraugot darbības pamatnostādņu un procesu ievērošanu.

Datu aizsardzības pārvaldības stāvoklis un personas datu apstrādes pareizība tiek pastāvīgi novērtēta, lai saglabātu vēlamo stāvokli. Datu aizsardzības mērķu sasniegšana ir nepārtraukts process, kas tiek īstenots ar organizatoriskiem un tehniskiem līdzekļiem.

3 PERSONAS DATU APSTRĀDES PRINCIPI

Personas datu apstrādes procesā tiek ievēroti šādi principi:

  • personas datus apstrādā likumīgi, godīgi un caurredzami attiecībā uz datu subjektu;
  • personas datus apstrādā saskaņā ar ieplānoto nolūku;
  • personas datus vāc un apstrādā tikai tiktāl, cik tas ir nepieciešams;
  • saistībā ar nolūkiem, kādiem tie tiek apstrādāti;
  • personas datus uzglabā tik ilgi, kamēr tas ir nepieciešams nolūkiem, kam personas dati ir apstrādāti;
  • personas datus apstrādā saskaņā ar precizitātes, godīguma un konfidencialitātes prasībām.

4  DATU AIZSARDZĪBAS ĪSTENOŠANA

Datu aizsardzības pārvaldības mērķis ir nodrošināt datu aizsardzības uzdevumu izpildi un personas datu apstrādes principu ievērošanu. Datu aizsardzības īstenošana un uzturēšana ir sīkāk aprakstīta personas datu apstrādes pamatnostādnēs.

4.1 Datu aizsardzības risku un ietekmes uz datu aizsardzību novērtējums

Ar personas datu apstrādi saistītie riski tiek regulāri izvērtēti, un novērtējums tiek izmantots, lai noteiktu atbilstīgas pārvaldības procedūras, kas mazina šos riskus. Datu aizsardzības risku pārvaldība ir daļa no „Stockmann” kopējā riska pārvaldības procesa.

Ja pastāv iespēja, ka personas datu apstrāde ietver nozīmīgus riskus attiecībā uz datu subjektu tiesībām un brīvībām, tiek veikts ietekmes uz datu aizsardzību novērtējums. Novērtējuma rezultāti tiek izmantoti, lai noteiktu personas datu apstrādes risku pārvaldības līdzekļus.

4.2 Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma ir integrēta „Stockmann” darbā un personas datu apstrādē. Datu apstrādes principi un prasības tiek ievērotas, nosakot personas datu apstrādes līdzekļus un metodes, un ir integrētas visās personas datu apstrādes darbībās. Datu aizsardzība tiek ņemta vērā visās „Stockmann” pamatfunkcijās, piemēram, vadības, izstrādes, pārmaiņu pārvaldības un darbības procesos. Datu aizsardzība tiek īstenota, arī plānojot, iepērkot un izvietojot tehniskos un organizatoriskos risinājumus.

Sistemātiskas darbības nodrošina, ka:

  • tiek vākti tikai tie personas dati, kas ir būtiski apstrādes nolūkam, un ka ir ievērotas prasības attiecībā uz to uzglabāšanas laiku;
  • piekļuve personas datiem ir ierobežota saskaņā ar vismazāko privilēģiju principu;
  • tiek ievērotas datu subjekta tiesības;
  • ar personas datu apstrādi saistītās datu drošības pārbaudes ir izstrādātas, pamatojoties uz riska novērtējumu;
  • apstrāde atbilst noteikumiem visā personas datu aprites ciklā.

4.3 Personas datu apstrādes ārpakalpojumi

Būdams datu pārzinis, „Stockmann” var pilnīgi vai daļēji nodot personas datu apstrādi ārējam datu apstrādātājam, kas personas datus apstrādā „Stockmann” vārdā. Ārējā personas datu apstrādātāja atbilstība un tehniskā un organizatoriskā spēja izpildīt Vispārīgās datu aizsardzības regulas (GDPR) prasības tiek nodrošināta ar rakstiskām līguma struktūrām un personas datu apstrādes pamatnostādnēm. Uz risku balstīta pieeja tiek izmantota, lai noteiktu nepieciešamību pēc vajadzības veikt arī personas datu apstrādātāju pārbaudes, lai nodrošinātu, ka tiek izpildītas līgumsaistības.

4.4 Reģistrēto personu tiesību aizstāvēšana

„Stockmann” ir noteikts process un pamatnostādnes situācijām, kad datu subjekti vēlas īstenot savas tiesības, piemēram, tiesības piekļūt un labot savus personas datus, tiesības iebilst pret savu personas datu apstrādi, tiesības pieprasīt apstrādes ierobežošanu vai savu personas datu dzēšanu vai tiesības pārsūtīt savus datus no vienas sistēmas uz citu. Personāls procesā tiek iesaistīts atbilstīgi savai lomai, un pamatnostādnes tiek ievērotas visos gadījumos, kad datu subjekts izmanto savas tiesības. Personas datu apstrādes caurredzamības ietvaros datu subjekti ir informēti par savām tiesībām un par to, kā tās var izmantot.

4.5 Personāla mācības un informētība par datu aizsardzību

„Stockmann” darbinieku zināšanas un informētība par datu aizsardzību tiek nodrošināta ar dokumentētām pamatnostādnēm un mācībām, kā arī citu veidu iekšējo komunikāciju. Datu aizsardzība ir būtiska jauno darbinieku darba procesa uzsākšanas daļa, un katram amatam ir noteiktas regulāru datu aizsardzības mācību vajadzības. Īpaša uzmanība tiek pievērsta amatiem, kuros darbinieks apstrādā personas datus un piedalās datu subjektu tiesību īstenošanā. Visiem darbiniekiem, kas apstrādā personas datus, ir saistošs likumā noteiktais datu neizpaušanas līgums, par kuru tiek slēgta atsevišķa, dokumentēta vienošanās.

 4.6 Novērtējums, papildu pārbaudes un uzraudzība

Personas datu pārvaldības stāvoklis un datu sistēmu, kurās ir personas dati, lietošana tiek nepārtraukti pārraudzīta ar lietotāju pārvaldības risinājumiem vai citādi dokumentētām procedūrām.

Katra struktūrvienība vai datu pārzinis savā darbībā novērtē datu aizsardzību un nodrošina, ka tā tiek īstenota. „Stockmann” iekšējās revīzijas ietvaros tiek veiktas datu aizsardzības pārbaudes kā daļa no parastajām pārbaudes darbībām.

5 DARBĪBAS, KAS TIEK veiktas datu drošības un datu aizsardzības NOVIRŽU gadījumā

„Stockmann” ir atsevišķi dokumentēts incidentu pārvaldības process. Attiecībā uz datu aizsardzības novirzēm un ar tām saistītajām paziņošanas procedūrām ir piemērojami incidentu pārvaldības procesā aprakstītie darbības modeļi.

Ar datu aizsardzības incidentiem saistītajā komunikācijā ir jāievēro „Stockmann” pamatnostādnes par komunikāciju krīzes situācijās.

6 ORGANIZĀCIJA UN PIENĀKUMI

Par datu aizsardzības īstenošanu ir atbildīga Stockmann Grupas augstākā vadība. Katrs organizācijas darbinieks ir atbildīgs par datu aizsardzību savā darbībā, un ikvienam ir pienākums ievērot datu aizsardzības pamatnostādnes un tiesību aktus. Turklāt katra darbinieka pienākums ir ziņot tiešajam vadītājam vai datu aizsardzības speciālistam par pamanītajām novirzēm un riskiem.

Palīdzību datu aizsardzības interpretācijā nodrošina datu aizsardzības grupa, kurā ietilpst datu aizsardzības speciālists un juridisko lietu, tirgvedības, cilvēkresursu pārvaldības un netiešo iepirkumu pārstāvji. Grupas uzdevums ir palīdzēt indivīdiem interpretēt datu aizsardzību un vadīt viņus ar to saistītos jautājumos.

„Stockmann” datu aizsardzības speciālists vada, izstrādā un kontrolē datu aizsardzības īstenošanu visā grupā, kā arī palīdz struktūrvienībām un grupas vadības komitejai datu aizsardzības jautājumos un datu aizsardzības risku pārvaldībā. Datu aizsardzības speciālists vienībās uzrauga atbilstību datu aizsardzības tiesību aktiem, plāno un sagatavo personas datu apstrādes mācības un pamatnostādnes, kā arī organizē datu aizsardzības mācības.

7 PĀRKĀPUMI UN SANKCIJAS

Katrs datu aizsardzības pārkāpums tiek izskatīts atsevišķi. Ja kāda darbinieka izdarīts pārkāpums apdraud datu aizsardzību, darbiniekam var izteikt rājienu, brīdinājumu vai pārtraukt darba attiecības ar viņu.

8 DATU AIZSARDZĪBAS POLITIKAS APSTIPRINĀŠANA UN ATJAUNINĀŠANA

Stockmann SIA ir pārskatījusi šo politiku 2018. gada 11. maijā.

Politika un tās saturs tiks pārskatīts, un, ja nepieciešams, uzņēmuma vadība to katru gadu atjauninās.

Stockmann Grupas datu aizsardzības speciālists uzraudzīs šīs politikas atjaunināšanu.

 

VIDEONOVĒROŠANA

PĀRZINIS

SIA Stockmann
13.janvāra iela 8, Rīga LV-1050
Reģistrācijas numurs: 40003398680
Tālrunis +371 6 707 1222
Elektroniskā pasta adrese: klientuinfo@stockmann.com

PERSONU DATU APSTRĀDES MĒRĶIS UN PAMATOJUMS

Reģistru izmanto Stockmann klientu, darbinieku, kā arī tā telpas un teritoriju apmeklējošu personu drošības, kā arī kārtības uzturēšanas nodrošināšanai, kā arī noziedzīgu nodarījumu, zaudējumu un nelaimes gadījumu situāciju profilaktiskai novēršanai un noskaidrošanai. Reģistru izmanto arī Stockmann juridisko prasījumu iesniegšanai un pamatošanai.

Datus var apstrādāt arī iespējamu citu likumos pamatotu reģistra pārziņa pienākumu veikšanai un reģistra pārziņa tiesību īstenošanai, piemēram, ar darba attiecībām saistīta lēmuma atbilstības apliecināšanai. Papildus tam datus var izmantot preču uzglabāšanas un transportēšanas kontrolei. Anonimizētus ierakstus var izmantot arī sabiedrības iekšējās apmācības vajadzībām.

Personas datu apstrādes pamats ir pārziņa tiesiskas intereses, kas pamatojas nekustamā īpašuma pārvaldnieka nepieciešamībā aizsargāt savu nekustamo īpašumu un tajā izvietoto īpašumu, kā arī rūpēties par nekustamā īpašuma teritorijā esošo cilvēku drošību.

KĀ DATUS APSTRĀDĀ UN PAR KO DATUS IEVĀC

Reģistrā esošie dati veidojas no Stockmann novērošanas kameru sistēmai pieslēgto kameru uzņemtajiem materiāliem, kā arī no to izdrukām. 

DATU SAŅĒMĒJI

Personas dati ir pieejami tikai īpaši pilnvarotiem Stockmann vai Stockmann sadarbības partneru darbiniekiem, kuriem, pamatojoties uz viņu darba pienākumiem, ir nepieciešams apstrādāt un uzturēt reģistrā esošos personu datus. Personas datu apstrādātājiem ir pienākums neizpaust informāciju.

Drošību Stockmann universālveikalā nodrošina AS G4S Latvia, kas apstrādā novērošanas kameru sistēmā esošos personu datus. Personas datus Stockmann vārdā un atbilstoši uzdevumam var apstrādāt arī pakalpojumu sniedzēji – AS G4S Latvia un IT pakalpojumu sniedzējs SIA PRISTIS, kuri rūpējas par sistēmu tehnisko uzturēšanu. Tā kā personas datu apstrāde ir datu apstrāde Stockmann vārdā, sadarbības partneriem ir saistošs Stockmann noteiktais informācijas neizpaušanas pienākums, un sadarbības partneriem nav tiesības nodot datus trešai pusei vai izmantot datus nolūkam, kas neatbilst Stockmann dotā uzdevuma izpildei.

Reģistra datus nenodod ārpus Stockmann koncerna, izņemot gadījumos, kuros to nosaka tiesību akti un datus nodod šādām pusēm: Stockmann apdrošināšanas sabiedrībai, pirmstiesas izmeklēšanas iestādēm, prokuroram un tiesai, kā arī citām iestādēm, kurām datus ir jānodod pamatojoties uz tiesību aktos noteiktu pienākumu.

DATU NOSŪTĪŠANA ĀRPUS ES/EEZ

Piekļuve pie serveriem, kuros glabājas videonovērošanā reģistrēto personu dati, ārpus EEZ esošajām teritorijām nav.

DATU GLABĀŠANAS LAIKS

Kameru ierakstus parasti glabā 2-8 nedēļas, atkarībā no datu nesēja ietilpības, ja glabāšana par to ilgāku laiku datu apstrādes vajadzībām nav nepieciešama, piemēram, juridiskas prasības iesniegšana vai apliecināšanai. Ierakstu dzēš ne vēlāk kā pēc tam, kad ir saņemts spēkā stājies tiesas nolēmums, vai arī ir beigusies zaudējumu kompensācijas lietas izskatīšana, vai arī ir beidzies zaudējumu kompensācijas lietas termiņš.

REĢISTRĒTĀ TIESĪBAS

Tiesības pārbaudīt un labot datus

Ienākot Stockmann universālveikalā, Jums ir tiesības tikt informētiem, ka ēkā tiek veikta videonovērošana, kāds ir tās mērķis, kāds ir datu apstrādes likumīgais pamats, un kam datus nodod.

Datu subjektam ir tiesības pārbaudīt, kādi dati par viņu reģistrā ir saglabāti, un kā un kādiem nolūkiem šos datus izmanto. Pārzinim pēc pieprasījuma ir jāiesniedz apstrādājamo personas datu kopija. Kopijas iesniegšana nedrīkst kaitēt citu tiesībām un brīvībām. Videonovērošanas datos jūs nevaram identificēt, tāpēc tos varam jums izsniegt, ja norādāt papildus precizējošu informāciju, kas ļautu jūs identificēt. 

Tiesības un kļūdainu datu labošanu

Datu subjektam ir tiesības pieprasīt, lai pārzinis bez nepamatotas kavēšanās labo neprecīzus un kļūdainus datu subjekta personas datus. Ja datu subjekts apstrīd personas datu pareizību, viņš var pieprasīt, lai datu apstrāde uz pārziņa veikto datu pareizības pārbaudes laiku tiktu ierobežota.

Ņemot vērā datu apstrādes nolūku, datu subjektam ir tiesības panākt nepilnīgu personas datu papildināšanu. Pārzinis pats rūpējas par paša pamanītas kļūdas nekavējošu izlabošanu. Pārzinim ir jāinformē katrs saņēmējs, kuram ir izpausti personas dati, par jebkādiem personas datu labojumiem vai papildinājumiem, ja vien tas nav neiespējams un neprasa nesamērīgas pūles.

Tiesības dzēst datus

Datu subjektam ir tiesības panākt viņa personas datu dzēšanu bez nepamatotas kavēšanās, ja pastāv kāda no šādām situācijām:

  • personas dati vairs nav nepieciešami tiem nolūkiem, kuriem tos ievāca vai citādi apstrādāja;
  • datu subjekts atceļ savu piekrišanu, uz kuru apstrāde ir bijusi pamatota, un apstrādei nav cita likumīga pamata;
  • personas dati ir apstrādāti pretlikumīgi; vai
  • personas dati ir jādzēš Savienības tiesību aktos vai valsts tiesību aktos noteikta pienākuma izpildei.

Datus, neraugoties uz lūgumu, nav jādzēš, ja pārzinim ir tiesības apstrādāt datus juridiska prasījuma sagatavošanai, iesniegšanai vai pamatošanai. Videonovērošanas datos jūs nevaram identificēt, tāpēc tos varam atrast un dzēst tikai tad, ja norādāt papildus precizējošu informāciju, kas ļautu jūs identificēt. 

Pārzinim ir jāinformē katrs saņēmējs, kuram ir izpausti personas dati, par personas datu dzēšanu, ja vien tas nav neiespējams un neprasa nesamērīgas pūles.

Tiesības ierobežot apstrādi

Datu subjektam ir tiesības uz pārziņa īstenotu datu apstrādes ierobežošanu, ja pastāv kāda no šādām situācijām:

  • personas datu apstrāde ir pretlikumīga, un pārzinim ir pienākums dzēst datus, taču datu subjekts iebilst pret personas datu dzēšanu, un tās vietā pieprasa datu izmantošanas (dzēšanas) ierobežošanu;
  • pārzinim attiecīgie personas dati to apstrādes nolūkā vairs nav nepieciešami, taču datu subjektam tie ir nepieciešami juridiska prasījuma sagatavošanai, iesniegšanai vai pamatošanai.

Ja datu subjekts ir pieprasījis apstrādes ierobežošanu, attiecīgos personas datus drīkst apstrādāt tikai ar datu subjekta piekrišanu (izņemot datu saglabāšanu) vai ar mērķi sagatavot, iesniegt vai pamatot juridisku prasījumu, vai aizsargāt citas fiziskas vai juridiskas personas tiesības, vai svarīgas Savienības vai dalībvalsts intereses.

Tiesības atsaukt piekrišanu un tiesības iebilst

Datu subjektam ir tiesības jebkurā brīdī atsaukt piekrišanu personas datu apstrādei. Piekrišanas atsaukums neietekmē apstrādes likumību, kas, pamatojoties uz piekrišanu, veikta pirms atsaukuma. Pārzinis vairs nedrīkst apstrādāt personas datus, izņemot gadījumu, kurā pārzinis var pierādīt, ka apstrādei pastāv sevišķi svarīgs un pamatots iemesls, kas ir svarīgāks par datu subjekta interesēm, tiesībām un brīvībām, vai ir nepieciešams juridiska prasījuma sagatavošanai, iesniegšanai vai pamatošanai.

NORĀDĪJUMI DATU SUBJEKTA TIESĪBU IZMANTOŠANAI

Lūgumu izmantot datu subjekta tiesības var adresēt šī reģistra kontaktpersonai.

Ja jautājums attiecas uz personas datu apstrādi vai ES Vispārīgo datu aizsardzības regulā balstītu tiesību izmantošanu Stockmann darbībās, datu subjekts var sazināties ar datu aizsardzības speciālistu pa e-pastu klientuinfo@stockmann.com vai tālruņa numuru +371 6 707 1222, un lūgt savienojumu ar datu aizsardzības speciālistu.

TIESĪBAS IESNIEGT SŪDZĪBU UZRAUDZĪBAS IESTĀDEI

Datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādēm, ja tas uzskata, ka tā personas datu apstrāde ir pretrunā ar piemērojamajiem datu aizsardzības noteikumiem. Latvijā nacionālā uzraudzības iestāde ir:

Datu valsts inspekcija
Elijas iela 17, Rīga, LV-1050
Tālr. : 67 22 31 31
E-pasts : pasts@dvi.gov.lv