STOCKMANN                                                                                       
DATU AIZSARDZĪBAS POLITIKA

10.05.2018.

IEVADS

Šajā datu aizsardzības politikā ir noteikti principi, darba metodes, pienākumi, kā arī uzraudzības un sankciju prakse, ko ievēro Stockmann Grupa (turpmāk „Stockmann”), īstenojot un pilnveidojot datu aizsardzību. Šī datu aizsardzības politika attiecas uz personas datu apstrādi grupā, kurā „Stockmann” darbojas par datu pārzini.

Stockmann Grupas augstākā vadība ir datu aizsardzības pasākumu īpašniece, kas šajā politikā nosaka datu aizsardzības principus, kuri attiecas uz pārvaldību, izstrādi, pārmaiņu pārvaldību, pakalpojumu sniegšanu, darbības procesiem un tamlīdzīgām jomām, kā arī pienākumiem un ar tiem saistītajiem mērķiem. Šī politika ir pamats citām datu aizsardzību atbalstošajām politikām un pamatnostādnēm, kurās sīkāk izskaidrotas šajā politikā noteiktās prasības un sniegti norādījumi par to praktisko lietojumu.

Datu aizsardzības politika attiecas uz visu Stockmann Grupu un tās personālu, kā arī uz tās partneriem, apakšuzņēmējiem un citām ieinteresētajām personām, kas, pamatojoties uz līgumiem, apstrādā „Stockmann” īpašumā vai pārziņā esošos personas datus. Šī politika aptver visus „Stockmann” piederošos personas datus neatkarīgi no to uzrādīšanas metodes, veida vai dzīves cikla posma.

Šī politika ir pieejama Stockmann Grupas intraneta pakalpojumā. Šī datu aizsardzības politika un ar to saistītās pamatnostādnes tiks atjauninātas, kad nepieciešams.

1 DATU AIZSARDZĪBAS DEFINĪCIJA

Datu aizsardzība attiecas uz personas datu atbilstīgu apstrādi saskaņā ar tiesību aktiem un datu subjektu privātuma aizsardzību, ierobežojot viņu personas datu nevajadzīgu un nelikumīgu apstrādi.

Tiesības uz personas datu aizsardzību ir ikviena pamattiesības. Personas dati ir atbilstīgi jāapstrādā, un datus drīkst apstrādāt tikai iepriekš noteiktā nolūkā. Lai veiktu datu apstrādi, ir jābūt likumīgam pamatojumam, piemēram, līgumattiecībām, attiecīgās personas piekrišanai vai citiem tiesību aktos paredzētiem apstrādes pamatojumiem.

Datu aizsardzības mērķis ir arī stiprināt datu subjektu tiesības, piemēram, iedzīvotāju tiesības piekļūt saviem personas datiem, tiesības labot nepatiesu informāciju un tiesības pieprasīt dzēst personas datus.

2 DATU AIZSARDZĪBAS MĒRĶI

„Stockmann” datu aizsardzības pasākumu mērķis ir nodrošināt to, ka personas dati tiek apstrādāti likumīgi un ka datu aizsardzības pārvaldība ir pietiekama. Lielā klientu skaita dēļ datu aizsardzības pasākumi ir īpaši svarīgi attiecībā uz klientu datiem. „Stockmann” mērķis ir ievērot personas datu apstrādes principus un piemērojamos tiesību aktus visos personas datu apstrādes procesos.

Datu aizsardzības darbībā „Stockmann” izmanto uz risku balstītu pieeju. Ar personas datu apstrādi saistītie riski tiek regulāri izvērtēti, un šādus novērtējumus izmanto, lai noteiktu riskiem atbilstīgas pārvaldības procedūras, kas mazinātu šos riskus. Datu aizsardzības risku pārvaldība ir daļa no „Stockmann” riska pārvaldības procesa. Uz risku balstīta pieeja ir „Stockmann” datu aizsardzības pasākumu būtiska sastāvdaļa un tā atbilstība atbildības principam.

„Stockmann” nodrošina, ka datu subjektu tiesības netiek pārkāptas, saglabājot personas datu apstrādes caurredzamību un ļaujot datu subjektiem īstenot savas tiesības, dokumentējot ar personas datu apstrādi saistītās procedūras un procesus un sniedzot pamatnostādnes par to personālam un galvenajām ieinteresētajām personām, apmācot savu personālu rīkoties saskaņā ar noteikumiem un pārraugot darbības pamatnostādņu un procesu ievērošanu.

Datu aizsardzības pārvaldības stāvoklis un personas datu apstrādes pareizība tiek pastāvīgi novērtēta, lai saglabātu vēlamo stāvokli. Datu aizsardzības mērķu sasniegšana ir nepārtraukts process, kas tiek īstenots ar organizatoriskiem un tehniskiem līdzekļiem.

3 PERSONAS DATU APSTRĀDES PRINCIPI

Personas datu apstrādes procesā tiek ievēroti šādi principi:

  • personas datus apstrādā likumīgi, godīgi un caurredzami attiecībā uz datu subjektu;
  • personas datus apstrādā saskaņā ar ieplānoto nolūku;
  • personas datus vāc un apstrādā tikai tiktāl, cik tas ir nepieciešams;
  • saistībā ar nolūkiem, kādiem tie tiek apstrādāti;
  • personas datus uzglabā tik ilgi, kamēr tas ir nepieciešams nolūkiem, kam personas dati ir apstrādāti;
  • personas datus apstrādā saskaņā ar precizitātes, godīguma un konfidencialitātes prasībām.

4  DATU AIZSARDZĪBAS ĪSTENOŠANA

Datu aizsardzības pārvaldības mērķis ir nodrošināt datu aizsardzības uzdevumu izpildi un personas datu apstrādes principu ievērošanu. Datu aizsardzības īstenošana un uzturēšana ir sīkāk aprakstīta personas datu apstrādes pamatnostādnēs.

4.1 Datu aizsardzības risku un ietekmes uz datu aizsardzību novērtējums

Ar personas datu apstrādi saistītie riski tiek regulāri izvērtēti, un novērtējums tiek izmantots, lai noteiktu atbilstīgas pārvaldības procedūras, kas mazina šos riskus. Datu aizsardzības risku pārvaldība ir daļa no „Stockmann” kopējā riska pārvaldības procesa.

Ja pastāv iespēja, ka personas datu apstrāde ietver nozīmīgus riskus attiecībā uz datu subjektu tiesībām un brīvībām, tiek veikts ietekmes uz datu aizsardzību novērtējums. Novērtējuma rezultāti tiek izmantoti, lai noteiktu personas datu apstrādes risku pārvaldības līdzekļus.

4.2 Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma ir integrēta „Stockmann” darbā un personas datu apstrādē. Datu apstrādes principi un prasības tiek ievērotas, nosakot personas datu apstrādes līdzekļus un metodes, un ir integrētas visās personas datu apstrādes darbībās. Datu aizsardzība tiek ņemta vērā visās „Stockmann” pamatfunkcijās, piemēram, vadības, izstrādes, pārmaiņu pārvaldības un darbības procesos. Datu aizsardzība tiek īstenota, arī plānojot, iepērkot un izvietojot tehniskos un organizatoriskos risinājumus.

Sistemātiskas darbības nodrošina, ka:

  • tiek vākti tikai tie personas dati, kas ir būtiski apstrādes nolūkam, un ka ir ievērotas prasības attiecībā uz to uzglabāšanas laiku;
  • piekļuve personas datiem ir ierobežota saskaņā ar vismazāko privilēģiju principu;
  • tiek ievērotas datu subjekta tiesības;
  • ar personas datu apstrādi saistītās datu drošības pārbaudes ir izstrādātas, pamatojoties uz riska novērtējumu;
  • apstrāde atbilst noteikumiem visā personas datu aprites ciklā.

4.3 Personas datu apstrādes ārpakalpojumi

Būdams datu pārzinis, „Stockmann” var pilnīgi vai daļēji nodot personas datu apstrādi ārējam datu apstrādātājam, kas personas datus apstrādā „Stockmann” vārdā. Ārējā personas datu apstrādātāja atbilstība un tehniskā un organizatoriskā spēja izpildīt Vispārīgās datu aizsardzības regulas (GDPR) prasības tiek nodrošināta ar rakstiskām līguma struktūrām un personas datu apstrādes pamatnostādnēm. Uz risku balstīta pieeja tiek izmantota, lai noteiktu nepieciešamību pēc vajadzības veikt arī personas datu apstrādātāju pārbaudes, lai nodrošinātu, ka tiek izpildītas līgumsaistības.

4.4 Reģistrēto personu tiesību aizstāvēšana

„Stockmann” ir noteikts process un pamatnostādnes situācijām, kad datu subjekti vēlas īstenot savas tiesības, piemēram, tiesības piekļūt un labot savus personas datus, tiesības iebilst pret savu personas datu apstrādi, tiesības pieprasīt apstrādes ierobežošanu vai savu personas datu dzēšanu vai tiesības pārsūtīt savus datus no vienas sistēmas uz citu. Personāls procesā tiek iesaistīts atbilstīgi savai lomai, un pamatnostādnes tiek ievērotas visos gadījumos, kad datu subjekts izmanto savas tiesības. Personas datu apstrādes caurredzamības ietvaros datu subjekti ir informēti par savām tiesībām un par to, kā tās var izmantot.

4.5 Personāla mācības un informētība par datu aizsardzību

„Stockmann” darbinieku zināšanas un informētība par datu aizsardzību tiek nodrošināta ar dokumentētām pamatnostādnēm un mācībām, kā arī citu veidu iekšējo komunikāciju. Datu aizsardzība ir būtiska jauno darbinieku darba procesa uzsākšanas daļa, un katram amatam ir noteiktas regulāru datu aizsardzības mācību vajadzības. Īpaša uzmanība tiek pievērsta amatiem, kuros darbinieks apstrādā personas datus un piedalās datu subjektu tiesību īstenošanā. Visiem darbiniekiem, kas apstrādā personas datus, ir saistošs likumā noteiktais datu neizpaušanas līgums, par kuru tiek slēgta atsevišķa, dokumentēta vienošanās.

 4.6 Novērtējums, papildu pārbaudes un uzraudzība

Personas datu pārvaldības stāvoklis un datu sistēmu, kurās ir personas dati, lietošana tiek nepārtraukti pārraudzīta ar lietotāju pārvaldības risinājumiem vai citādi dokumentētām procedūrām.

Katra struktūrvienība vai datu pārzinis savā darbībā novērtē datu aizsardzību un nodrošina, ka tā tiek īstenota. „Stockmann” iekšējās revīzijas ietvaros tiek veiktas datu aizsardzības pārbaudes kā daļa no parastajām pārbaudes darbībām.

5 DARBĪBAS, KAS TIEK veiktas datu drošības un datu aizsardzības NOVIRŽU gadījumā

„Stockmann” ir atsevišķi dokumentēts incidentu pārvaldības process. Attiecībā uz datu aizsardzības novirzēm un ar tām saistītajām paziņošanas procedūrām ir piemērojami incidentu pārvaldības procesā aprakstītie darbības modeļi.

Ar datu aizsardzības incidentiem saistītajā komunikācijā ir jāievēro „Stockmann” pamatnostādnes par komunikāciju krīzes situācijās.

6 ORGANIZĀCIJA UN PIENĀKUMI

Par datu aizsardzības īstenošanu ir atbildīga Stockmann Grupas augstākā vadība. Katrs organizācijas darbinieks ir atbildīgs par datu aizsardzību savā darbībā, un ikvienam ir pienākums ievērot datu aizsardzības pamatnostādnes un tiesību aktus. Turklāt katra darbinieka pienākums ir ziņot tiešajam vadītājam vai datu aizsardzības speciālistam par pamanītajām novirzēm un riskiem.

Palīdzību datu aizsardzības interpretācijā nodrošina datu aizsardzības grupa, kurā ietilpst datu aizsardzības speciālists un juridisko lietu, tirgvedības, cilvēkresursu pārvaldības un netiešo iepirkumu pārstāvji. Grupas uzdevums ir palīdzēt indivīdiem interpretēt datu aizsardzību un vadīt viņus ar to saistītos jautājumos.

„Stockmann” datu aizsardzības speciālists vada, izstrādā un kontrolē datu aizsardzības īstenošanu visā grupā, kā arī palīdz struktūrvienībām un grupas vadības komitejai datu aizsardzības jautājumos un datu aizsardzības risku pārvaldībā. Datu aizsardzības speciālists vienībās uzrauga atbilstību datu aizsardzības tiesību aktiem, plāno un sagatavo personas datu apstrādes mācības un pamatnostādnes, kā arī organizē datu aizsardzības mācības.

7 PĀRKĀPUMI UN SANKCIJAS

Katrs datu aizsardzības pārkāpums tiek izskatīts atsevišķi. Ja kāda darbinieka izdarīts pārkāpums apdraud datu aizsardzību, darbiniekam var izteikt rājienu, brīdinājumu vai pārtraukt darba attiecības ar viņu.

8 DATU AIZSARDZĪBAS POLITIKAS APSTIPRINĀŠANA UN ATJAUNINĀŠANA

Stockmann SIA ir pārskatījusi šo politiku 2018. gada 11. maijā.

Politika un tās saturs tiks pārskatīts, un, ja nepieciešams, uzņēmuma vadība to katru gadu atjauninās.

Stockmann Grupas datu aizsardzības speciālists uzraudzīs šīs politikas atjaunināšanu.