Iepirkumu uzraudzības biroja Privātuma aizsardzības politika

Privātuma aizsardzības politikas (turpmāk - Politika) mērķis ir sniegt fiziskai personai – datu subjektam, informāciju par personas datu aizsardzības pamatnostādnēm, kas tiek ievērotas Iepirkumu uzraudzības biroja (turpmāk arī – Birojs) darbībā, nodrošinot fizisko personu tiesības un brīvības saistībā ar personas datu apstrādi un tās atbilstību normatīvajiem aktiem.

Personas datu apstrādes pārzinis un tā kontaktinformācija

Personas datu pārzinis ir Iepirkumu uzraudzības birojs, reģ. Nr.: 90001263305, adrese: Smilšu iela 1, Rīga, LV-1919, tālruņa Nr.: +371 22416641, e-pasta adrese: pasts@iub.gov.lv, www.iub.gov.lv.

Biroja kontaktinformācija ar personas datu apstrādi saistītajos jautājumos ir: datuspecialists@iub.gov.lv.

Vispārīgie noteikumi

1. Biroja Politika attiecas uz jebkuru fizisko personu (turpmāk – Datu subjekts), kuras personas dati tieši vai netieši tiek vai var tikt apstrādāti, īstenojot Biroja nolikumā un reglamentā noteiktās Biroja pilnvaras.

2. Biroja Politika ir attiecināma uz personas datu apstrādi neatkarīgi no tā, kādā veidā vai formā personas dati ir iegūti (no informācijas sistēmas, skaņu/video ieraksta vai rakstveidā, papīra vai elektroniskā formātā, mutiski vai telefoniski) un kādās informācijas sistēmās vai papīra formā tie tiek apstrādāti.

3. Birojs rūpējas par fizisko personu privātumu un personas datu aizsardzību, ievēro fizisko personu tiesības uz personas datu apstrādes likumību saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulu 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula), Fizisko personu datu apstrādes likumu un citiem tiesību aktiem privātuma un personas datu apstrādes jomā.

4. Birojs regulāri uzrauga Biroja veicamo personas datu apstrādes darbību atbilstību tiesību aktu prasībām un nepieciešamības gadījumā veic atbilstošas izmaiņas Biroja personas datu apstrādes darbībās. Birojs ir tiesīgs veikt attiecīgas izmaiņas vai papildinājumus Politikā, publicējot tās aktuālo versiju Biroja tīmekļvietnē. 

Personas datu kategorijas

5. Birojs personas datus iegūst gan no Datu subjekta, gan ārējiem avotiem, piemēram, no citām valsts un pašvaldību iestādēm, juridiskajām personām, Biroja rīcībā esošajām datubāzēm un reģistriem, kuros esošos personas datus Birojs apstrādā uz līguma pamata un vienīgi kā datu apstrādātājs.

Personas datu kategorijas, kuras Birojs iegūst un apstrādā, ir:

5.1. identifikācijas dati – vārds, uzvārds, personas kods, dzimšanas datums, pilsonība, dzimums;

5.2. kontaktinformācija – adrese, privātais tālruņa numurs, e-pasta adrese;

5.3. profesionālie dati – izglītība, amats, darbavieta;

5.4. grāmatvedības norēķinu dati – bankas konta numurs, darbinieku personas kontu kartes, rēķina numurs, datums, summa, rēķina saņemšanas veids, apmaksas datums, parāda summa;

5.5. pieejas dati informācijas sistēmām – Datu subjektam piešķirtie lietotājvārdi, paroles un identifikācijas kodi; 

5.6. īpašās kategorijas personas dati – dati par personas sodāmību, dati par parādu piedziņu un veselības stāvokli (darbnespējas lapas, obligātās veselības pārbaudes kartes), dati par personas sociālo stāvokli (darbavieta, atalgojums, maznodrošinātā statuss), nepilngadīgajiem bērniem;

5.7. tehniskie dati – Biroja informācijas sistēmu auditācijas pieraksti, tīkla trafika dati, IP adreses;

5.8. video ieraksti - vebināru, tiešsaistes konferenču un videolekciju laikā – fiziskās personas biometriskie dati, kas atklāj indivīda fiziskās pazīmes (sejas digitālās fotogrāfijas), indivīda ārējās pazīmes (apģērbs) un uzvedības pazīmes, kas ļauj identificēt konkrētas personas;

5.9.  skaņu ieraksti - konsultāciju laikā par normatīvo aktu piemērošanu (konsultatīvais tālrunis) – personas balss ieraksts, kas ļauj identificēt konkrētas personas pausto viedokli (sniegto informāciju) par attiecīgo jautājumu;

5.10. Trauksmes cēlēja ziņojumā ietvertā informācija – personas dati par personām, kuras sniedz informāciju par iespējamu pārkāpumu Trauksmes celšanas likumā noteiktajā kārtībā, un personas dati par personām, par kurām šī informācija tiek sniegta.

Personas datu apstrādes nolūks un tiesiskais pamats

6. Birojs personas datu apstrādi veic tikai skaidri noteiktos nolūkos, to sasniegšanai nepieciešamā apjomā un balstoties uz atbilstošu tiesisko pamatu.

7. Informācija par Biroja veikto personas datu apstrādi tiek reģistrēta un uzturēta Biroja personas datu apstrādes darbību un izmaiņu reģistrā.

Personas datu apstrādes nolūki

8. Birojs personas datu apstrādi veic šādiem nolūkiem:

8.1. lai uzraudzītu veikto publisko iepirkumu atbilstību normatīvajos aktos noteiktajām prasībām;

8.2. lai sniegtu metodisko atbalstu iepirkuma procedūru organizēšanā;

8.3. lai pārbaudītu un atklātu iespējamos pārkāpumus publiskajos iepirkumos un administratīvi sodītu vainīgās personas;

8.4. lai nodibinātu un uzturētu līgumattiecības;

8.5. lai nodrošinātu dokumentu apriti Birojā;

8.6. sabiedrības informēšanas nolūkos;

8.7. sabiedrības un Biroja interešu aizstāvībai;

8.8. personāla vadības nolūkos.

Personas datu apstrādes tiesiskais pamats

9. Birojs personas datu apstrādi konkrētam nolūkam veic, pamatojoties uz šādiem tiesiskajiem pamatiem:

9.1. sabiedrības interešu ievērošanai vai oficiālo pilnvaru realizācijai – apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko Birojs veic sabiedrības interesēs vai īstenojot Birojam noteiktās pilnvaras;

9.2. juridiska pienākuma izpildei – apstrāde ir vajadzīga, lai izpildītu normatīvajos aktos uz Biroju attiecināmu juridisku pienākumu;

9.3. līgumisku attiecību nodibināšanai un izpildei – apstrāde ir vajadzīga, lai noslēgtu līgumu pēc Datu subjekta pieteikuma un nodrošinātu tā izpildi;

9.4. saskaņā ar Datu subjekta piekrišanu – Datu subjekts skaidri un nepārprotami ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

9.5. likumīgās (leģitīmās) interesēs – lai realizētu Biroja vai trešo personu leģitīmās intereses.

Personas datu aizsardzība

10. Birojs aizsargā personas datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Birojam saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus, tajā skaitā izmantojot organizatoriskos drošības pasākumus un tehniskos drošības risinājumus.

11. Organizatoriskie drošības pasākumi:

11.1. piekļuves tiesību ierobežošana (nodrošināta tikai pilnvaroto personu piekļūšana personas datu apstrādei);

11.2. pilnvaroto personu apliecinājuma par personas datu neizpaušanu saņemšana pirms personu datu apstrādes uzsākšanas;

11.3. līgumu slēgšana par personas datu apstrādi ar ārpakalpojumu sniedzējiem;

11.4. personas datu minimizēšanas, pseidonimizēšanas un anonimizēšanas pasākumu īstenošana;

11.5. ar personas datu apstrādi saistīto atgadījumu vai pārkāpumu ziņošanas un izmeklēšanas kārtības ieviešana un īstenošana;

11.6. Biroja iekšējo personas datu aizsardzības noteikumu izstrāde un ieviešana Biroja ikdienas darbā;

11.7. Biroja darbinieku regulāra informēšana un apmācības par personas datu aizsardzības pasākumu ievērošanu, pildot savus darba pienākumus.

12. Tehniskie drošības risinājumi: 

12.1. datu šifrēšana, pārraidot datus;

12.2. ugunsmūra uzstādīšana Biroja lokālā tīkla aizsardzībai no nesankcionētas interneta tīkla lietotāju piekļuves;

12.3. ielaušanās datu sistēmā aizsardzības un atklāšanas programmu lietošana;

12.4. datu rezerves kopiju veidošana;

12.5. piekļuves paroļu lietošana;

12.6. informācijas sistēmu regulāra testēšana un atjauninājumu uzstādīšana;

12.7. Biroja telpu aizsardzība (videonovērošana, kustību detektori, dūmu detektori, ugunsgrēka trauksmes sirēna);

12.8. citi tehniskie aizsardzības pasākumi atbilstoši aktuālajām organizatoriskajām un tehniskajām prasībām.

Personas datu saņēmēju kategorijas

13. Birojs neizpauž trešajām personām Datu subjekta personas datus saturošu informāciju, izņemot gadījumus, kad Birojam, pamatojoties uz tiesību aktu prasībām, personas dati ir jāsniedz:

13.1. tiesībaizsardzības iestādēm, tiesām, Eiropas Savienības, valsts vai pašvaldību iestādēm, publisko iepirkumu dalībniekiem (pasūtītājiem, piegādātājiem), administratīvā pārkāpuma lietas dalībniekiem, mācību pakalpojumu sniedzējiem, komandējuma organizēšanas pakalpojumu sniedzējiem, veselības apdrošinātājiem un ārstniecības iestādēm, realizējot Biroja pilnvaras, un pienākumus;

13.2. Biroja atbildīgajiem darbiniekiem vai auditoriem to likumīgo pilnvaru izpildes gaitā un atbilstoši to kompetencei;

13.3. uz līguma pamata personas datu apstrādes ārpakalpojuma sniedzējiem (t.sk. attiecīgās informācijas sistēmas uzturētāja atbildīgajiem darbiniekiem).

Trešo valstu subjektu piekļuve personas datiem

14. Birojs neveic personas datus saturošas informācijas nosūtīšanu saņēmējiem trešajās valstīs (tas ir, valstīs ārpus Eiropas Savienības un Eiropas Ekonomiskās zonas), izņemot normatīvajos aktos īpaši atrunātus gadījumus un atbilstoši tajos noteiktajai personas datu nosūtīšanas kārtībai.

Personas datu glabāšanas periods

15. Personas dati Birojā tiek apstrādāti atbilstoši to apstrādes nolūkiem un tikai tik ilgi, kamēr pastāv kāds no šādiem apstākļiem – glabāšanas periods ir pamatots ar līgumu, Biroja leģitīmajām interesēm, normatīvajiem aktiem – vai kamēr ir spēkā personas piekrišana attiecīgai personas datu apstrādei, ja nepastāv cits personas datu apstrādes tiesiskais pamats. Pēc tam, kad šajā punktā minētie apstākļi izbeidzas, personas dati tiek dzēsti.

16. Politikas 5.9.punktā norādītās personas datu kategorijas glabāšanas termiņš ir 1 mēnesis. Pēc minētā glabāšanas termiņa beigām datus dzēš

Piekļuve personas datiem un citi noteikumi

17. Datu subjektam ir tiesības saņemt normatīvajos aktos noteikto informāciju par savu personas datu apstrādi Birojā, saskaņā ar normatīvajiem aktiem pieprasīt Birojam piekļuvi saviem personas datiem, tos papildināt, labot, dzēst vai ierobežot to apstrādi, tiesības iebilst pret savu personas datu apstrādi, tajā skaitā iebilst pret personas datu apstrādi, ko Birojs veic, pamatojoties uz Biroja likumīgajām (leģitīmajām) interesēm, kā arī tiesības uz savu personas datu pārnesamību un piekrišanas savu personas datu apstrādei atsaukšanu.

18. Datu subjektam ir tiesības iesniegt sūdzību par Biroja veikto personas datu apstrādi Datu valsts inspekcijai (www.dvi.gov.lv), ja Datu subjekts uzskata, ka tā personas datu apstrāde pārkāpj tā tiesības un intereses saskaņā ar normatīvajiem aktiem. Datu subjektam par tam nodarīto kaitējumu ir tiesības saņemt kompensāciju.

19. Biroja tīmekļvietnē tiek izmantotas sīkdatnes. Sīkdatņu apstrādes politika ir pieejama Biroja tīmekļvietnes sadaļā “Sīkdatņu politika”. 

20. Birojs nodrošina iespēju ziņot tam par iespējamu pārkāpumu atbilstoši Trauksmes celšanas likumā noteiktajai kārtībai. Ar trauksmes celšanas sistēmas politiku ir iespējams iepazīties, apmeklējot attiecīgo Biroja tīmekļvietnes sadaļu „Trauksmes celšanas politika”.