Datu drošība

Klientu turpmāk šī līguma tekstā – Pārzinis, no vienas puses, un SIA “RP DATA”, vien.reģ.Nr. 40203105200, turpmāk tekstā – Apstrādātājs, no otras puses, turpmāk tekstā - Puses vai katra atsevišķi - Puse, ņemot vērā, ka

  • šīs vienošanās parakstīšanas brīdī starp pusēm ir parakstīts Distances līgums, kas slēgts Apstrādātāja reģistrācijas brīdi https://my.amberit.org. kurš nākotnē var tikt papildināts un grozīts;
  • starp pusēm nākotnē var tikt noslēgti citi līgumi, citas vienošanās, citi darījumi, viss kopā, ieskaitot iespējamos nākotnes darījumus, turpmāk tekstā Līgums,
  • Apstrādātājs, ņemot vērā Līgumā noteiktos pienākumus un tiesības, Pārziņa interesēs un uzdevumā veic fizisku personas datu apstrādi kā Apstrādātājs Eiropas Parlamenta un padomes 2016.gada 27.aprīļa regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK, turpmāk tekstā – Regula, izpratnē vai Operators Fizisko personu datu aizsardzības likuma izpratnē, bez viltus, maldības un spaidiem vienojās par sekojošo:
  • LĪGUMA PRIEKŠMETS
  • Apstrādātājs Pārziņa interesēs un uzdevumā veic personas datu apstrādi, izpildot saistības, kuras Apstrādātājs uzņēmies ar Pārziņa un Apstrādātāja starpā noslēgto Līgumu. Visi dati, kas tiek apstrādāti saskaņā Līgumu vai šo vienošanos, turpmāk tekstā saukti“dati”.
  • Apstrādātājs veic apstrādi godīgi un saskaņā ar spēkā esošajiem tiesību aktiem, tajā skaitā, Regulu, Līgumu, šo dokumentu un Pārziņa dotajām tiesiskajām norādēm. Apstrādātājs neizmanto personas datus savām vajadzībām vai citiem, no Līguma tieši neizrietošiem mērķiem, vai citādi, kā vien saskaņā ar Pārziņa norādījumiem, ja vien to darīt nepieprasa ārējie normatīvie akti.
  • Apstrādātājs veic personas datu apstrādi tik ilgi, kamēr ir jāveic datu apstrāde saskaņā ar Līgumu, ar nolūku izpildīt saistības (nodrošinātu funkcijas, pakalpojumus), kas tajā noteiktas, ja vien spēkā esošie normatīvie akti nenosaka ilgāku datu apstrādes termiņu.
  • Drošības prasības, ko ievēro gan Pārzinis, gan Apstrādātājs ir uzskaitītas šīs vienošanās pielikumā Nr.1 “Informācijas drošības pārvaldības politika”, kas ir šīs vienošanās neatņemama sastāvdaļa.
  • Apstrādājamo datu kategorijas – Apstrādātājs apstrādā tos Pārziņa un Pārziņa pilnvaroto personu datus, kas minēti Līgumā, kas izriet no Līguma, kas rodas ar Līgumu pielīgto saistību izpildes gaitā.
  1. PĀRZIŅA PIENĀKUMI UN TIESĪBAS
    • Ar šo Pārzinis garantē:
      • ka personas dati, kurus viņš nodod Apstrādātājam ir ievākti un tiek apstrādāti atbilstoši regulas un citu tiesību aktu prasībām; Pārzinis ir atbildīgs par to datu, kurus viņš nodod apstrādāt Apstrādātājam, saturu;
      • ka personas datu apstrāde, tostarp, pati nodošana Apstrādātājam, tiek un arī turpmākā apstrāde tiks veikta saskaņā ar piemērojamo nacionālo un Eiropas Savienības datu aizsardzības likumu attiecīgajiem noteikumiem (un, ja piemērojams, par to ir informētas kompetentās valsts iestādes);
      • ka tas ir devis norādījumu Apstrādātajam apstrādāt datus tikai un vienīgi atbilstoši piemērojamo datu aizsardzības likumu prasībām un, ja piemērojams, apstrādāt datus tikai un vienīgi Pārziņa vārdā;
      • ka tas nodrošina datu apstrādes atbilstību normatīvajiem drošības pasākumiem;
      • ka, ja nosūtīšanas ietvaros datus paredzēts nosūtīt ārpus Eiropas Savienības, datu subjekts tiek informēts vai tiks informēts pirms tiek veikta attiecīgā datu subjekta datu nosūtīšana uz šādu trešo valsti (kas nenodrošina pienācīgu aizsardzību, piemērojamo Eiropas Savienības likumu izpratnē);
      • ka tas sniegs atbildi uz jebkādiem datu subjektu pieprasījumiem par datu subjektus interesējošiem jautājumiem saistībā ar datu subjektu datu apstrādi.
      • ka tas pats, pirms Līguma slēgšanas ir izvērtējis visus Līgumu saistītos un iespējamos riskus, veicis visus nepieciešamos novērtējumus, tai skaitā par ietekmi uz datu aizsardzību.
  1. APSTRĀDĀTĀJA PIENĀKUMI
    • APSTRĀDES APJOMS

Apstrādātājs var apstrādāt tikai šīs vienošanās 1.5. punktā norādītos datus. To darot, Apstrādātājs apstrādā datus tikai Līgumā norādīto darbību izpildes nolūkos un atbilstoši šīs vienošanās noteikumiem, Pārziņa dokumentētām instrukcijām un vadlīnijām, kā arī tiesību aktu noteikumiem, saglabājot datu konfidencialitāti.

  • DATU KONFIDENCIALITĀTE
    • Apstrādātājs nedrīkst izpaust datus trešajai personai, izņemot tiesību aktos paredzētajos gadījumos.
    • Apstrādātājam jānodrošina, lai visi tā darbinieki un citas personas, kurām ir piekļuve datiem, izpildītu no šī vienošanās izrietošos pienākumus, tostarp prasību nodrošināt datu konfidencialitāti, un ir apņēmušās ievērot konfidencialitāti, vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.
    • Apstrādātājs ir atbildīgs par apstrādāto datu konfidencialitāti un drošību no šo datu saņemšanas brīža.
    • Apstrādātājs nedrīkst nosūtīt datus uz trešo valsti (ārpus ES/EEZ) vai starptautisku organizāciju, izņemot, ja to nosaka ES vai tās dalībvalsts tiesību akti, kuri attiecas uz Apstrādātāju.
    • Šajā punktā noteiktais konfidencialitātes ievērošanas pienākums ir spēkā arī pēc šī līguma izbeigšanas.
  • APSTRĀDES DROŠĪBA
    • Apstrādātājs apņemas pirms apstrādes uzsākšanas veikt tehniskos un organizatoriskos pasākumus, lai aizsargātu datus pret nejaušu vai nelikumīgu iznīcināšanu, pārveidošanu, izpaušanu, kā arī cita veida nelikumīgu apstrādi. Šiem pasākumiem jānodrošina tāds drošības līmenis, kas atbilst aizsargājamo datu būtībai un ar to apstrādi saistītajiem riskiem. Minimālie tehniskie un organizatoriskie pasākumi, kas jāveic Apstrādātājam, ir noteikti šīs vienošanās pielikumā Nr.1.
    • Apstrādātājs nekavējoties informē Pārzini par jebkuriem apstākļiem, kas var traucēt Apstrādātājam veikt datu apstrādi saskaņā ar šī Līguma prasībām.
  • SADARBĪBA AR PĀRZINI UN UZRAUDZĪBAS IESTĀDI
    • Apstrādātājs apņemas sadarboties ar Pārzini gadījumā, ja datu subjekts izsaka vēlēšanos izmantot datu subjekta tiesības, tostarp, taču ne tikai, tiesības piekļūt, labot un dzēst datus, ierobežot to apstrādi, pārnest datus, kā arī tiesības iebilst pret to apstrādi. Ja Apstrādātājs saņem no datu subjekta ar apstrādi saistītu pieprasījumu, šāds pieprasījums nekavējoties jāpārsūta Pārzinim. Apstrādātājs drīkst izpildīt šādus pieprasījumus tikai atbilstoši Pārziņa norādēm. Ja šāda pienākuma veikšana uzliek Apstrādātājam papildus administratīvo slogu, Apstrādātājs ir tiesīgs pieprasīt Pārzinim par to ar aprēķiniem pamatotu samaksu.
    • Apstrādātājs apņemas palīdzēt Pārzinim nodrošināt datu apstrādes drošību, kā arī gadījumos, kad iestājas pienākums informēt uzraudzības iestādi par personas datu aizsardzības pārkāpumu, informēt datu subjektu par šādu personas datu aizsardzības pārkāpumu vai arī veikt novērtējumu par ietekmi uz datu aizsardzību.
    • Personas datu aizsardzības pārkāpuma gadījumā Apstrādātājam ir pienākums bez liekas kavēšanās (ne vēlāk kā 8 darba stundas pēc šāda fakta konstatēšanas) rakstveidā(vai epastā) paziņot Pārzinim par personas datu aizsardzības pārkāpumu.
    • Apstrādātājs sniedz Pārzinim visu nepieciešamo informāciju, lai pierādītu šajā vienošanās noteikto pienākumu izpildi, Pārzinis ir tiesīgs pieprasīt Apstrādātājam sniegt informāciju un/vai dokumentus, kas apliecina to, ka Apstrādātājs pienācīgi pilda savas Līgumā un tiesību aktos noteiktās saistības attiecībā uz datu apstrādi. Apstrādātājam ir pienākums sniegt Pārzinim šādu informāciju un/vai dokumentus trīsdesmit darba dienu laikā pēc pieprasījuma saņemšanas. Pārzinis, uz sava rēķina, pieaicinot neatkarīgu auditoru, ir tiesīgs veikt drošības pārbaudes tikai un vienīgi viņa piešķirtajam resursam, lai noteiktu Apstrādātāja veikto pasākumu atbilstību prasībām.
  • TREŠO PUŠU IESAISTĪŠANA

Apstrādātājs ir tiesīgs nodot ar Līgumu pielīgto datu apstrādi trešajām personām (apakš apstrādātājiem), ja tās nodrošina šai vienošanās atbilstoši datu apstrādes drošības līmeni un pēc pieprasījuma var to pierādīt. Apstrādātājs ir atbildīgs par trešajām personām, kuras viņš piesaista.

  • APSTRĀDES DARBĪBU REĢISTRĒŠANA

Apstrādātājs ved personas datu apstrādes reģistru.

  • APSTRĀDES ILGUMS
    • Apstrādātājs ir tiesīgs apstrādāt datus tikai tik ilgi, cik tas nepieciešams, lai Apstrādātājs varētu veikt apstrādi Pārziņa vārdā. Apstrādātājam ir pienākums nekavējoties iznīcināt datus vai atgriezt tos Pārzinim, ja datus vairs nav nepieciešams apstrādāt.
    • Apstrādātājam ir jāizpilda pienākums iznīcināt datus no savām informācijas sistēmām, savu darbinieku datoriem, e-pasta, serveriem un dublējumkopijām, no citiem digitālajiem datu nesējiem, kā arī iznīcināt drukātos dokumentus, kuros ir ietverti dati, ko Apstrādātājs apstrādā Pārziņa vārdā.
  • DATU AIZSARDZĪBAS SPECIĀLISTS

Apstrādātājam ir  iecelts datu aizsardzības speciālists.

  1. ATBILDĪBA UN STRĪDU IZŠĶIRŠANA
    • Šīs vienošanās noteikumu pārkāpšanas gadījumā pusei, kas nepilda savas saistības, ir jāatlīdzina otrai pusei tiešie pierādāmie zaudējumi (izņemot negūto peļņu), kā arī izmaksas par citu tiesību aktos paredzēto tiesiskās aizsardzības līdzekļu izmantošanu. Tas neizslēdz citu tiesību aktos paredzēto tiesiskās aizsardzības līdzekļu izmantošanu. Apstrādātāja maksimālais zaudējumu atlīdzības un izmaksu, par citos tiesību aktos paredzēto tiesiskās aizsardzības līdzekļu izmantošanu apmērs, šīs vienošanās un Līguma darbības laikā, nepārsniedz konkrētā līguma, no kura tieši izrietējuši radušies zaudējumi, summu, viena gada laikā.
    • Puses tiek atbrīvotas no atbildības par Līguma neizpildi, ja izrādās, ka Līgums netika pildīts nepārvaramas varas apstākļu dēļ.
    • Visi strīdus jautājumi saistībā ar Līguma izpildi, grozīšanu vai izbeigšanu, vai saukšanu pie atbildības ir risināmi savstarpējo sarunu ceļā.
    • Ja vienošanos nevar panākt sarunu ceļā, strīdu izskata Latvijas Republikas tiesa saskaņā ar Latvijas tiesību aktiem.
    • Neviens šī Līguma noteikums neatbrīvo Apstrādātāju no tā Regulā noteiktajiem tiešajiem pienākumiem un atbildības.
    • LĪGUMA PĀRKĀPUMI
      • Ja Pārzinim kļūst zināms, ka Apstrādātājs neapstrādā datus saskaņā ar šo Līgumu vai pārkāpj datu aizsardzības tiesību aktos tam noteiktās saistības, Pārzinis ir tiesīgs likt Apstrādātājam nekavējoties pārtraukt turpmāku datu apstrādi.
      • Ja Apstrādātājs konstatē, ka Pārzinis datus, ko nodevis apstrādei ir apstrādājis pretrunā ar Regulu vai citiem normatīviem aktiem, nav nodrošinājis pienācīgu datu aizsardzības līmeni u.c. Apstrādātājs ir tiesīgs nekavējoties pārtraukt datu apstrādi.
    • Ja starp Pārzini un Apstrādātāju noslēgtais Līgums tiek izbeigts vai, ja šādu izbeigšanu ierosina Pārzinis citu iemeslu dēļ, Apstrādātājam ir pienākums:
      • nekavējoties bez maksas atgriezt Pārzinim visus dokumentus un ar datiem saistītos materiālus;
      • nesaglabāt nekādā formātā šādu materiālu kopijas, norakstus vai cita veida reprodukcijas;
      • 30 dienu laikā pēc šī Līguma izbeigšanas nosūtīt rakstisku apstiprinājumu, ka visi dati ir atgriezti un nekādi dati nav saglabāti.
  1. CITI NOTEIKUMI
    • Šī vienošanās ir Līguma neatņemama sastāvdaļa.
    • Jebkuri šīs vienošanās grozījumi ir spēkā tikai tad, ja tie ir noformēti rakstveidā (vai rakstveidā atveidojamā formātā) un tos ir parakstījuši abu pušu pārstāvji.
    • Šīs vienošanās Pielikums Nr.1 ir neatņemama šīs Vienošanās sastāvdaļa.
    • Šī vienošanās un Pielikums Nr.1 sastādīti divos eksemplāros latviešu valodā, abiem eksemplāriem ir vienāds juridiskais spēks, katrai pusei tiek izsniegts viens eksemplārs.

Pielikums Nr.1

Vienošanās par fizisku personu datu apstrādi

INFORMĀCIJAS DROŠĪBAS PĀRVALDĪBAS POLITIKA
DOKUMENTA MĒRĶIS UN PIELIETOJUMS

Dokuments apraksta vispārējos informācijas drošības pārvaldības principus uzņēmumā SIA “RP DATA”. Konkrēti informācijas aizsardzības pasākumi ir detalizēti aprakstīti procesu aprakstos, procedūrās, noteikumos un citos dokumentos, uz kuriem šajā dokumentā ir dotas atsauces. Šis dokuments ir brīvi pieejams visiem interesentiem pēc pieprasījuma un var tikt izmantots kā pielikums pakalpojumu sniegšanas līgumiem starp SIA “RP DATA” un klientiem. Dokumenti, uz kuriem šajā dokumentā ir ietvertas atsauces, ir pieejami pēc pieprasījuma uzņēmuma birojā, ja vien tie ar iekšējiem noteikumiem nav noteikti kā konfidenciāli.

Dokuments iekļauj minimālo organizatorisko un tehnisko drošības pasākumu kopuma aprakstu gadījumiem, kad pakalpojumu sniegšanas līgumos paredzēts noteikt datu pārziņa un apstrādātāja lomas Regulas izpratnē. Šajā gadījumā dokuments nosaka principus kā SIA “RP DATA”, turpmāk – Apstrādātājs, nodrošina klienta, turpmāk arī Pārziņa, apstrādei nodoto personas datu aizsardzību, konfidencialitātes, integritātes un pieejamības saglabāšanu atbilstoši šajā līgumā atrunātajiem citiem noteikumiem.

1.  Vispārīgie informācijas drošības pārvaldības principi

SIA “RP DATA” ir izstrādāta un ieviesta informācijas drošības politika un personas datu apstrādes politika, kuras nosaka vispārējās prasības informācijas konfidencialitātes, integritātes un pieejamības nodrošināšanai. Šie un citi ar informācijas drošību saistītie dokumenti (procesu apraksti, procedūras, instrukcijas un noteikumi) ir saistoši visiem uzņēmuma darbiniekiem.

SIA “RP DATA” ir nozīmējis konkrētu personu – informācijas drošības pārvaldnieku, kurš atbild par informācijas drošību uzņēmumā.

Uzņēmumam ir personas datu aizsardzības speciālists, kura pienākums ir sniegt konsultācijas un ieteikumus par Regulas prasību piemērošanu attiecībā uz uzņēmuma biznesu, klientiem sniedzamajiem pakalpojumiem un darbiniekiem.

SIA “RP DATA” ir ieviesti un tiek uzturēti procesi, kas ļauj novērtēt, pārbaudīt un nepārtraukti pilnveidot ar informācijas drošību saistītos jautājumus.

2.  Atbilstība likumu prasībām

SIA “RP DATA” savā darbībā, nodrošinot pakalpojumus klientiem un veicot personas datu apstrādātāja pienākumus, un savā darbības sfērā ievēro visas uz nozari attiecināmā likumdošanas prasības, tai skaitā Eiropas Parlamenta un padomes 2016.gada 27.aprīļa regulu 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK, turpmāk tekstā – Regula.

Par saistošo likumdošanas prasību savlaicīgu identifikāciju un ieviešanu uzņēmuma darbības procesos atbild jurists, procesu īpašnieki un valde.

Uzņēmumā dokumentu pārvaldības procesu ietvaros tiek uzturēts dokuments “Ārējie normatīvie akti un citi nozari reglamentējošie dokumenti”.

3.  SERTIFIKĀCIJA

SIA “RP DATA” kvalitātes pārvaldības sistēma ir sertificēta atbilstoši standarta ISO 9001:2015 prasībām darbības sfērā “Elektronisko sakaru pakalpojumu un datu centru pakalpojumu ierīkošana, nodrošināšana un uzraudzība”.

  1. gada februārī ir uzsākta sagatavošanās procedūra sertifikācijai atbilstoši standartam ISO 27001:2013 sfērā “Elektronisko sakaru pakalpojumu un datu centru pakalpojumu ierīkošana, nodrošināšana un uzraudzība”, kura ir pabeigta 2019. gada februārī, iegūstot sertifikātu.

Tiklīdz būs skaidrs atbilstības novērtēšanas un sertifikācijas mehānisms atbilstoši Regulas prasībām vai citu attiecināmo nozaru rīcības kodeksiem, tiks izskatītas un izvērtētas iespējas un nepieciešamība veikt atbilstošu sertifikāciju.

4.  DARBINIEKU KVALIFIKĀCIJAS UZTURĒŠANA

SIA “RP DATA” rūpējas par savu darbinieku kvalifikāciju visos līmeņos. Darbinieku kvalifikācija tiek paaugstināta mācoties ārējo piegādātāju organizētajos kursos, iekšēji organizētajās apmācībās un e-apmācībās internet vidē. Īpaša vērība tiek pievērsta darbinieku apmācībām saistībā ar informācijas drošības jautājumiem, tai skaitā, par personu datu aizsardzību. Par personu datu aizsardzības jautājumiem ir apmācīti visi uzņēmuma darbinieki, cik tas skar viņu darba pienākumus.

Regulārās apmācības par informācijas drošības jautājumiem tiek organizētas vismaz vienu reizi gadā. Uzņēmumā intranet vidē tiek uzturēta zināšanu datu bāze, kur ir pieejami iekšējo apmācību materiāli un materiāli par informācijas drošības incidentu risinājumiem.

5.  INFORMĀCIJAS DROŠĪBAS RISKU PĀRVALDĪBA

Uzņēmumā ir ieviesti biznesa risku un informācijas drošības risku pārvaldības procesi. Informācijas drošības risku identifikācija, vērtēšana un vadība tiek veikta atbilstoši“Informācijas drošības risku pārvaldības metodikai”. Atbilstoši risku vērtējumiem, turpmākās darbības ar informācijas drošības riskiem tiek dokumentētas Informācijas drošības risku pārvaldības plānā. Informācijas drošības pārvaldnieks kopīgi ar risku īpašniekiem, pēc nepieciešamības iesaistot personas datu aizsardzības speciālistu, nodrošina “Informācijas drošības risku pārvaldības plāna” uzturēšanu, atjaunošanu, plānoto darbību realizāciju un izpildes kontroli. Ar personas datu apstrādi saistīto drošības risku pārvaldība ir kopējā informācijas drošības risku pārvaldības procesa neatņemama sastāvdaļa.

Riski saistībā personu tiesību un brīvību pārkāpumiem un ierobežojumiem personu datu apstrādes procesos tiek iekļauti “Personas datu apstrādes reģistrā” atbilstoši  Regulas (ES) 2016/679 30. panta prasībām un rekomendācijām.

6. INFORMĀCIJAS KLASIFIKĀCIJA

Atkarībā no informācijas nozīmīguma SIA “RP DATA” biznesā, vērtējot no informācijas konfidencialitātes viedokļa uzņēmumā ir ieviesta sekojoša informācijas klasifikācijas shēma:

  • KONFIDENCIĀLA INFORMĀCIJA.

Informācija, kura ir būtiski svarīga uzņēmuma biznesam un kuras nesankcionēta noplūde varētu izsaukt soda sankcijas, tiesvedību, tirgus konkurences kropļojumus vai darbinieku, klientu un partneru nelikumīgu ietekmēšanu ārējo pušu interesēs. Konfidenciāla informācija ir informācija, kuru SIA “RP DATA” kā apstrādātājs apstrādā savu klientu – Pārziņu uzdevumā, atbilstoši noslēgtajiem līgumiem, tai skaitā personu dati.

Ārējo pušu piekļuve konfidenciālai informācijai tiek reglamentēta ar līgumiem un maksimāli ierobežota. Darbinieku piekļuves līmeņi konfidenciālai informācijai tiek nodrošināta ar piekļuves tiesību pārvaldības procesu, atkarībā no veicamajiem darba pienākumiem.

  • INFORMĀCIJA IEKŠĒJAI LIETOŠANAI.

Informācija, kuras nonākšana ārpus uzņēmuma nav vēlama un kuras noplūde atsevišķos gadījumos varētu tikt izmantota pret uzņēmuma interesēm.

Iekšējās lietošanas informācijai ārējo pušu piekļuve tiek reglamentēta ar darba līgumiem, konfidencialitātes līgumiem un maksimāli ierobežota. Darbinieku piekļuve iekšējās lietošanas informācijai netiek reglamentēta.

  • PUBLISKI PIEEJAMĀ INFORMĀCIJA.

Publiski pieejama informācija no konfidencialitātes viedokļa nav aizsargājama un atsevišķos gadījumos tās izplatīšana tiek veicināta.

7. PERSONĀLA DROŠĪBAS ORGANIZĀCIJA

SIA “RP DATA”  nodrošina personu uzticamības pārbaudi pirms pieņemšanas darbā, ievācot informāciju ar personas piekrišanu likumdošanas ietvaros un ievērojot personas kā datu subjekta tiesības.

Nodarbinātības laikā visiem SIA “RP DATA”  darbiniekiem ir saistoši visi iekšējie dokumenti, tai skaitā tie, kuros tiek reglamentētas uz informācijas drošību attiecināmās prasības. Galvenās prasības nosaka dokuments “Vispārējie IT lietošanas noteikumi”. Nodarbinātības laikā visiem SIA “RP DATA” darbiniekiem ir saistošas kvalitātes pārvaldības sistēmas un informācijas drošības pārvaldības sistēmu prasības.

Pēc darba attiecību pārtraukšanas bijušiem darbiniekiem ir pienākums ievērot parakstītās konfidencialitātes vienošanās un citus noteikumus saistībā ar SIA “RP DATA” informācijas neizpaušanu un neizmantošanu pret bijušā darba devēja interesēm.

Klientam ir tiesības liegt kādiem konkrētiem SIA “RP DATA” darbiniekiem piekļuvi saviem datiem vai sistēmām. Šāds aizliegums ir objektīvi jāpamato.

  1. INFORMĀCIJAS DROŠĪBAS NOTIKUMU UN INCIDENTU PĀRVALDĪBA

Lai nodrošinātu uzņēmuma un klientu datu aizsardzību, kā arī visu sistēmu normālu darbību, svarīga ir operatīva un pareiza rīcība situācijās, kad dati var tikt apdraudēti vai sistēmu ekspluatācijas parametri neatbilst noteiktajām robežām. Norādes šādu gadījumu identifikācijai, risināšanai un tālākai informācijas analīzei un apstrādei ir aprakstītas procedūrā “Informācijas drošības notikumu un incidentu pārvaldība un saistītajos dokumentos. Informācijas drošības notikumu un incidentu analīzes rezultāti tiek izmantoti plānojot un realizējot personāla apmācību informācijas drošības jomā.

Informācijas drošības notikumi un incidenti, to risināšana un analīzes rezultāti tiek fiksēti Pieteikumu reģistrēšanas sistēmā.

9. FIZISKĀ DROŠĪBA UN DROŠĪBAS ZONAS

SIA “RP DATA” darbība tiek veikta vairākās fiziskās atrašanās vietās un katrai vietai ir noteiktas drošības prasības attiecībā uz fizisko piekļuvi un drošības noteikumiem.

  1. Darba kārtību un drošības pasākumus uzņēmuma birojā un noliktavā reglamentē “Iekšējie darba kārtības noteikumi” un “Vispārējie IT lietošanas noteikumi”.
  2. Darba piekļuves un darbu kārtību Datu centru telpās nosaka “www.amberit.org Datu centra fiziskās piekļuves noteikumi un pārējos Datu centros - līgumi ar telpu īpašniekiem, telpu īpašnieku izstrādātie piekļuves noteikumi. Par drošību datu centros atbild attiecīgi pilnvarotā persona.
  3. Darba kārtību un drošības noteikumus sadarbības partneru pārziņā esošajās telpās (pamattīkla un piekļuves tīkla mezglu punkti, antenu izvietošanas vietas, u.c.) nosaka līgumi ar telpu īpašniekiem vai pārvaldītājiem, šo sadarbības partneru izstrādātie darba kārtības un drošības noteikumi.

10. IKT AKTĪVU PĀRVALDĪBA

IKT aktīvu pārvaldība tiek veikta atbilstoši standarta ISO 27001:2013 prasībām. Uzņēmumā ir noteiktas IKT aktīvu grupas un atbildīgie par IKT aktīvu grupām un konkrētiem aktīviem. IKT aktīvu grupām tiek nodrošināta  informācijas drošības risku pārvaldība, atbilstoši “Informācijas drošības risku pārvaldības metodikai” un “Informācijas drošības risku pārvaldības plāns”.

11. PIEKĻUVES PĀRVALDĪBA

Prasības darbinieku piekļuvei SIA “RP DATA” informācijas resursiem nosaka  informācijas drošības pārvaldnieks atkarībā no katra konkrētā darbinieka vai apakšuzņēmēja veicamajiem uzdevumiem. Loģiskās piekļuves plānošanā un realizācija tiek ievērots princips need to know, kas nozīmē to, ka darbinieks saņem piekļuvi tikai tiem resursiem, kuru izmantošana ir nepieciešama tiešo darba pienākumu veikšanai. Piekļuves pārvaldības principus datiem, to glabāšanas un apstrādes vietām, datu nesējiem, iekšējām un klientu informācijas sistēmām nosaka procedūra “Piekļuves tiesību pārvaldība”. Minētā procedūra nosaka piekļuves tiesību piešķiršanas, izmaiņu un anulēšanas kārtību SIA “RP DATA” darbiniekiem, saistīto uzņēmumu darbiniekiem un apakšuzņēmējiem. SIA “RP DATA” informācijas drošības pārvaldnieks uztur “Piekļuves tiesību reģistru”, kurš vismaz reizi gadā tiek pārskatīts.

12. ELEKTRONISKO SAKARU TĪKLA DROŠĪBA

Tiek veikts nepārtraukts elektronisko sakaru tīkla monitorings 24/7 režīmā. Monitoringa sistēmu ziņojumi ļauj nekavējoties identificēt pamattīkla un piekļuves tīkla tehniskos bojājumus, DDoS uzbrukumu mēģinājumus, kā arī citas anomālijas tīkla darbībā. Pamattīkla un piekļuves tīkla mezglu svarīgākās tīkla iekārtas ir izvietotas vietās ar reglamentētu piekļuves kārtību. Piekļuves kārtību tīkla mezglu punktiem regulē līgumi starp SIA “RP DATA” un telpu īpašniekiem vai pārvaldītājiem.

Pamattīklam un piekļuves tīklam ir veikta risku analīze, kura ir iekļauta CERT iesniegtajā un saskaņotajā “Rīcības plānā”. “Rīcības plānā” ir aprakstītas darbības elektronisko sakaru tīkla darbības atjaunošanai drošības incidentu gadījumos un komunikācija ar CERT saistībā ar drošības incidentiem.

13. INFORMĀCIJAS SISTĒMU DROŠĪBA

Lai nodrošinātu SIA “RP DATA” iekšējo un klientu informācijas sistēmu drošību, tiek realizēti sekojoši organizatoriskie un tehniskie drošības pasākumi:

  1. Informācijas sistēmu informācijas drošības risku pārvaldība atbilstoši standarta ISO 27001:2013 prasībām un dokumentiem “Informācijas drošības risku pārvaldības metodikai” un “Informācijas drošības risku pārvaldības plāns”.
  2. Datu rezerves kopēšana, “Datu rezerves kopiju reģistra” uzturēšana un regulāra atjaunošana.
  3. Elektronisko sakaru, Datu centra un hostinga pakalpojumiem datu apstrādes iekārtu izvietošana notiek paaugstinātas drošības zonās – datu centrā un atbilstoši aprīkotās telpās.
  4. Tehnisko aizsardzības risinājumu izmantošana IT infrastruktūras aizsardzībai, piemēram, ugunssienas risinājumi.
  5. Serveru, darbstaciju, mobilo ierīču un tīkla vadības iekārtu aizsardzība no datorvīrusiem un citas ļaunprogrammatūras.
  6. Tehnisko ievainojamību pārvaldība. Regulāra informācijas sistēmu, datu bāzu un serveru operētājsistēmu atjauninājumu izvērtēšana un instalēšana.

Informācijas sistēmu un serveru sistēmu darbības atjaunošana krīzes situācijās ir aprakstīta dokumentā “Darbības nepārtrauktības plāns”.

14. DARBĪBAS NEPĀRTRAUKTĪBA UN DROŠĪBAS ASPEKTI

Lai nodrošinātu SIA “RP DATA”  darbības nepārtrauktību krīzes situācijās, kad nav pieejams kāds no uzņēmuma pilnvērtīgai darbībai nepieciešamajiem resursiem, svarīgas ir koordinētas rīcības, lai pēc iespējas ātrāk atjaunotu pakalpojumus un mazinātu darbības pārtraukumu ietekmi. Darbības nepārtrauktības nodrošināšanas pasākumi ir aprakstīti dokumentā “Darbības nepārtrauktības plāns ” un saistītajos dokumentos. Krīzes situācijas gadījumos darbinieku pienākums ir ziņot un veikt darbības atbilstoši šim dokumentam. “Darbības nepārtrauktības plāna izstrādi, atjaunošanu un testēšanu organizē SIA “RP DATA” attiecīgi atbildīgās personas sadarbībā ar valdi. Dokuments tiek pārskatīts vismaz reizi gadā.

  1. ĀRĒJIE PIEGĀDĀTĀJI UN AR TIEM SAISTĪTIE DROŠĪBAS ASPEKTI

SIA “RP DATA” sadarbību ar ārējiem piegādātājiem un ārpakalpojumu un sniedzējiem reglamentē procedūra “Piegādātāju izvēle un vērtēšana”. Gadījumos, kad Pārziņa personas datu apstrādei tiek piesaistīti apakšuzņēmēji, viens no apakšuzņēmēja obligātajiem izvēles kritērijiem ir tā apliecinājums par atbilstošu tehnisko un organizatorisko pasākumu nodrošināšanu personu datu asptrādē un apņemšanās ievērot SIA “RP DATA” noteiktās informācijas drošības un aizsardzības prasības.

Tie paši kritēriji tiek izmantoti gadījumos, ja piesaistītais ārpakalpojumu sniedzējs tieši neiesaistās SIA “RP DATA” un klientu personu datu apstrādes procesos, bet ārpakalpojumā nodotie procesi teorētiski var radīt riskus personas datu apstrādei. Ar apakšuzņēmējiem, kuriem ir piekļuve SIA “RP DATA”, saistīto uzņēmumu un klientu datiem, tiek slēgta konfidencialitātes vienošanās un pieprasīti apliecinājumi atbilstoša datu aizsardzības līmeņa nodrošināšanai. Ārpakalpojumu sniedzējiem ir saistošas SIA “RP DATA” noteiktās informācijas drošības un aizsardzības prasības.

Jebkura apakšuzņēmēja piesaiste datu apstrādē, ja tā skar vai var skart personas datu apstrādi tiek saskaņota ar Pārzini. Pārzinim ir tiesības liegt kāda konkrēta Apakšuzņēmēja izmantošanu pakalpojuma nodrošināšanai.

SIA “RP DATA” nodrošina, ka Pārziņa dati netiek nodoti apakšuzņēmējiem apstrādei ārpus ES un EEZ bez Pārziņa piekrišanas.

16. SADARBĪBA AR IEINTERESĒTAJĀM PUSĒM PERSONU DATU APSTRĀDES JAUTĀJUMOS

Lai nodrošinātu personas datu apstrādi atbilstoši prasībām, SIA “RP DATA” uztur “Personas datu apstrādes reģistru”, kā arī ir izstrādājis Privātuma politiku un citus dokumentus.

17. INFORMĀCIJAS DROŠĪBAS PĀRVALDĪBAS AUDITS

Informācijas drošības pārvaldības sistēmas (IDPS) iekšējie auditi tik veikti vismaz 1 reizi gadā. Par IDPS iekšējo auditu organizāciju un izpildi atbild informācijas sistēmu drošības pārvaldnieks. Kā auditori var tikt piesaistīti gan SIA “RP DATA”  darbinieki, gan ārpakalpojuma sniedzēji ar atbilstošu kvalifikāciju. IDPS audits apver vismaz:

  • IDPS dokumentācijas pārskatu un novērtējumu atbilstoši saistošā standarta ISO 27001 aktuālās versijas prasībām.
  • Intervijas SIA “RP DATA” struktūrvienībās un reālās darbības prakses izvērtējumu pret saistošā standarta ISO 27001 aktuālās versijas prasībām un iekšējo un ārējo reglamentējošo dokumentu, tai skaitā Regulas (ES) 2016/679, prasībām.

Papildus iekšējiem IDPS auditiem tiek veikti regulāri 1 reizi gadā neatkarīgas sertifikācijas iestādes auditi, kuru kritērijs ir SIA “RP DATA” IDPS atbilstība ISO 27001 aktuālās versijas un saistošās likumdošanas prasībām. Papildus IDPS iekšējā auditā izskatāmo jautājumu un pielietojamo metožu loks var tikt paplašināts, iekļaujot IT sistēmu uzlaušanas testus, sociālās inženierijas metožu pielietojumu, IT sistēmu pirmkodu auditu,  un citus jautājumus. Par IDPS iekšējā audita sfēru un metodēm lēmumu pieņem informācijas drošības pārvaldnieks, saskaņojot lēmumus ar SIA “RP DATA” valdi. Iekšējo auditu izpildes kārtību, saglabājamos dokumentus un pierakstus reglamentē procedūra “Iekšējie auditi.

Papildus regulārajiem IDPS auditiem atbilstoši informācijas drošības risku vērtējumam, klientu un partneru pieprasījumiem var tikt veikti auditi Pārziņa uzdevumā un cita veida auditi atbilstoši iepriekš saskaņotiem auditu kritērijiem. Trešo pušu auditi aptver tikai tos procesus un sistēmas, kuras ir tieši iesaistītas konkrētā Pārziņa datu apstrādē.

Līgums ir sagatavots elektroniski un ir apstiprināms elektroniski.
Līguma versija V1.
Līguma sagatavošanas datums 26.03.2020