“Mājas kafejnīcu dienu" aptaujas personas datu apstrādes drošības noteikumi

I. Vispārīgie jautājumi

1. Šie personas datu apstrādes drošības noteikumi (turpmāk – Noteikumi) nosaka kārtību, kādā Latvijas Investīciju un attīstības aģentūra (turpmāk – LIAA) nodrošina "Mājas kafejnīcu dienu” anketas, kas norisinās no 2023. gada 14. jūlija līdz 17. septembrim visā Latvijā (turpmāk – Pasākums), apmeklētāju anketas datu apstrādi, drošību un aizsardzību.
2. LIAA veikto personas datu apstrādi, kas nav regulēta Noteikumos, regulē LIAA privātuma politika (pieejama šeit: https://www.liaa.gov.lv/lv/privatuma-politika).
3. Noteikumos lietoti termini:
   1. Apstrāde – jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
   2. Personas dati – Dalībnieka vārds, uzvārds, telefona numurs, e-pasta adrese, cita  apmeklētāju anketā sniegtā informācija, izmantojot kuru persona identificējama;
   3. Dalībnieks – persona, kura, aizpildot apmeklētāju anketu, reģistrējusies dalībai  izlozē;
   4. Apmeklētājs – fiziska persona, kas apmeklē Pasākumu;
   5. Trešā persona – fiziska vai juridiska persona, publiska persona, aģentūra vai struktūra, kura nav datu subjekts.
4. Šo noteikumu mērķis ir sniegt pilnīgu informāciju Dalībniekam par tā Personas datu apstrādes mērķiem un tiesisko pamatu.

II. Personas datu apstrādes mērķis

5. Personas datu apstrādes mērķi ir:
   1. lai nodrošinātu piedalīšanos konkursā/izlozē un nodrošinātu komunikāciju ar uzvarētājiem (vārds, uzvārds, e-pasta adrese, tālruņa numurs);

III. Personas dati reģistrācijai pasākumā

6. Pasākumam Dalībnieks reģistrējas LIAA nodrošinātajā apmeklētāju anketas vietnē (https://forms.office.com/Pages/ResponsePage.aspx?id=H_hwcWAX9USfLLt2HneR_EUGvYG9RqRGm7EWcDtyvYFUQ1JWRlhZUUJQVURHUzMzTDRON1dDMDA3Ry4u) (turpmāk – “Vietne”), kurā Dalībnieks ievada savus personas datus, apstiprinot iepazīšanos ar Noteikumiem. Dalībniekam aizliegts ievadīt citu personu personas datus, ja vien tas tieši nav paredzēts šajos noteikumos.
7. Reģistrējoties  anketai Dalībnieks nodod šādus savus personas datus: [vārds, uzvārds,  e-pasta adrese, telefona numurs]
8.  Nepilngadīgas personas līdz 14 gadu vecumam (ieskaitot), Vietnē reģistrē un šo personu personas datus nodod to likumiskais pārstāvis (vecāks vai aizbildnis).

IV. Personas datu vākšanas, glabāšanas un dzēšanas termiņi

9. Personas datu vākšana un turpmāka apstrāde Vietnes ietvaros tiek veikta no Dalībnieku reģistrācijas brīža līdz pasākuma norises beigām un izlozes izskaņai.
10.  Personas dati tiek glabāti, apstrādāti tikai tādā apjomā un termiņā, cik tas nepieciešams šajos noteikumos noteikto mērķu izpildei:
    1. šo noteikumu 7.punktā norādītie personas dati – līdz 2027. gada 31.decembrim;
11. LIAA Dalībnieka personas datus (vārdu, uzvārdu) pēc atsevišķa pieprasījuma var nodod Centrālajai finanšu un līgumu aģentūrai uzraudzības funkciju veikšanai.

V. Dalībnieka piekrišana personas datu apstrādei

12. Dalībnieks, iesniedzot personas datus, apliecina, ka ir iepazinies ar Noteikumiem, kā arī apliecina, ka ir piekritis savu personas datu apstrādei, ievērojot Noteikumos noteikto apjomu, mērķi un termiņu.
13. Ja Dalībnieks atsauc savu piekrišanu personas datu apstrādei, tad tiek dzēsti visi Dalībnieka iesniegtie personas dati, izņemot tos gadījumus, kuros nav iespējams personas datus dzēst tehnisku iemeslu dēļ vai rada nesamērīgi lielas pūles.

VII.  Dalībnieka tiesības

14. Dalībnieka tiesības:
    1. jebkurā laikā pieprasīt LIAA informāciju par Dalībnieku, kas noteikta Regulas 10. pantā;
    2. piekļūt attiecīgajiem datiem un saņemt Regulas 15. pantā noteikto informāciju sazinoties ar LIAA;
    3. pieprasīt no LIAA Dalībnieka personas datu labošanu, dzēšanu vai personas datu apstrādes ierobežošanu, vai tiesības iebilst pret šādu apstrādi atbilstoši Regulas 12. pantam

IX. LIAA pienākumi veicot personas datu apstrādi

15. LIAA personas datu apstrādes ietvaros nodrošina:
    1. informāciju Dalībniekam saskaņā ar Regulas 13.pantu;
    2. tehnisko un organizatorisko pasākumu veikšanu personas datu drošībai un aizsardzībai;
    3. saņemot atbilstošu pieprasījumu no Dalībnieka, labot vai dzēst tā sniegtos personas datus.
16. LIAA apņemas bez kavēšanās paziņot Dalībniekam par personas datu aizsardzības drošības pārkāpumu, gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām.
17. LIAA saglabā tiesības jebkurā laikā koriģēt šos Noteikumus.

X. Saziņa un Dalībnieka tiesību īstenošanas kārtība

18. Dalībnieks subjekts var īstenot savas tiesības, tostarp tiesības iebilst vai uzdot LIAA jautājumus, rakstot uz LIAA, Pērses ielā 2, Rīgā, LV-1442 vai e-pastu: liaa@liaa.gov.lv.
19. Ja mainās Dalībnieka sniegtā personas datu informācija, Dalībnieks ir tiesīgs pieprasīt labot (koriģēt) savus personas datus, sazinoties ar LIAA.

XI. Apstrādātājs, kas LIAA vārdā apstrādā personas datus

20. Pasākuma administratīvās organizēšanas gaitā, atbilstoši nepieciešamībai, LIAA var piesaistīt citus apstrādātājus ( Sistēmas uzturētājuus.c.), slēdzot ar tiem līgumus, kuros tiks ietverts nosacījums par šo noteikumu ievērošanu.
21. LIAA veic Dalībnieka personas datu apstrādi saskaņā ar šajos noteikumos noteikto apstrādes mērķi, un:
    1. nevāks, neizmantos un neizpaudīs Dalībnieka personas datus, ja vien to neparedz normatīvie akti vai tas nav nepieciešams normatīvajos aktos paredzētu tiesību, interešu aizsardzībai;
    2. veicot datu apstrādi, īstenos atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu datu aizsardzību;
    3. nodrošinās, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti;
    4. nodrošinās datu nepieejamību trešajām personām un nekavējoši informēs par gadījumiem, kad nepilnvarotām vai trešajām personām radās pieeja personas datiem;
    5. nodrošinās, ka jebkura fiziska persona, kas darbojas LIAA pakļautībā un kam ir piekļuve personas datiem, tos neapstrādās bez LIAA norādījumiem.
22. Ja LIAA pasākuma administratīvajā organizēšanā piesaista citus apstrādātājus, kas veic personas datu apstrādi, tad LIAA var nodot tiem personas datu apjomu, kas ievadīts Vietnē.
23. Pasākuma administratīvās organizēšanas gaitā, atbilstoši nepieciešamībai, Apstrādātājs var piesaistīt citus apstrādātājus (pieteikumu reģistrācijas formu tehniskā realizācija, identifikācijas karšu izgatavotājus, fotogrāfus, u.c.) slēdzot ar tiem līgumus, kuros tiks ietverts nosacījums par šo noteikumu ievērošanu.
24. Ja tiek piesaistīts cits apstrādātājs, tad LIAA nodrošina, ka šim citam apstrādātajam tiks uzlikts pienākums ievērot šos noteikumus.

XI. Apstrādes drošības prasības

25. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes riskus attiecībā uz Dalībnieka tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu atbilstošu drošības līmeni.
26. Personas datu obligāto tehnisko aizsardzību pārzinis un apstrādātājs īsteno ar fiziskiem un loģiskiem aizsardzības līdzekļiem, nodrošinot:
    1. aizsardzību pret fiziskās iedarbības radītu personas datu apdraudējumu;
    2. aizsardzību, kuru realizē ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem.
27. Apstrādājot personas datus, pārzinis un apstrādātājs nodrošina:
    1. pilnvarotu personu piekļūšanu pie tehniskajiem resursiem, kas tiek izmantoti personu datu apstrādei un aizsardzībai (tajā skaitā pie personas datiem);
    2. to, ka informācijas nesējus, kuros ir personas dati, apstrādā tām pilnvarotas personas;
    3. to, ka personas datu apstrādē izmantotos resursus pārvieto tam pilnvarotas personas.