Skip to Content
Go back
BAS-IP / MEMORANDS PAR PERSONAS DATU APSTRĀDES ATBILSTĪBU

Mēs esam apņēmušies ievērot spēcīgas un inovatīvas datu aizsardzības prakses, lai katrs klients varētu uzticēties, ka viņa personas dati tiek apstrādāti droši un aizsargāti.

BAS-IP DISTRIBUTION LTD (Uzņēmums vai BAS-IP) ir sagatavojis šo memorandu mūsu klientiem par mūsu atbilstību piemērojamajiem datu aizsardzības tiesību aktiem, tostarp Apvienotās Karalistes Vispārīgajai datu aizsardzības regulai (UK General Data Protection Regulation / UK GDPR) un ES Vispārīgajai datu aizsardzības regulai (EU General Data Protection Regulation / GDPR). Turpmāk mēs iepazīstināsim jūs ar mūsu darbībām attiecībā uz atbilstību personas datu aizsardzības prasībām.

DEFINĪCIJAS

  • “UK GDPR” (Apvienotās Karalistes Vispārīgā datu aizsardzības regula) nozīmē Apvienotās Karalistes Vispārīgo datu aizsardzības regulu, kas saskaņā ar Datu aizsardzības likumu (Data Protection Act 2018) ir iekļauta Apvienotās Karalistes tiesību aktos, kā arī citus piemērojamos Apvienotās Karalistes datu aizsardzības un privātuma tiesību aktus.
  • “GDPR” (Vispārīgā datu aizsardzības regula) nozīmē Vispārīgo datu aizsardzības regulu ((ES) 2016/679) un visus saistītos datu aizsardzības un privātuma tiesību aktus, kas piemērojami Eiropas Savienībā un Eiropas Ekonomikas zonā.
  • Personas dati (Personal data) nozīmē jebkuru informāciju, kas attiecas uz identificētu vai identificējamu fizisku personu.
  • Datu subjekts (Data subject) nozīmē identificējamu fizisku personu, kuru var tieši vai netieši identificēt.
  • Pārzinis (Controller) nozīmē fizisku vai juridisku personu, sabiedrisku iestādi, aģentūru vai citu struktūru, kas viena pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un līdzekļus.
  • Apstrādātājs (Processor) nozīmē fizisku vai juridisku personu, sabiedrisku iestādi, aģentūru vai citu struktūru, kas apstrādā personas datus pārziņa vārdā.
  • Apakšapstrādātājs (Subprocessor) nozīmē fizisku vai juridisku personu, ko piesaistījis apstrādātājs un kas veic personas datu apstrādi pārziņa vārdā.
  • Apstrāde (Processing) nozīmē jebkuru darbību vai darbību kopumu, ko veic ar personas datiem vai personas datu kopumiem, neatkarīgi no tā, vai tā ir automatizēta, piemēram, vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana, pielāgošana vai mainīšana, izgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi padarot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.

PAR BAS-IP

BAS-IP izstrādā un ražo IP-domofonus, piekļuves kontroles sistēmas un komunikāciju sistēmas, un ir vadošais dalībnieks šajā jomā. Plašāku informāciju par mūsu darbību varat atrast tīmekļa vietnē: https://bas-ip.com/.

Savā darbībā Uzņēmums var vākt, piekļūt vai citādi apstrādāt personas datus, kas attiecas uz dažādām datu subjektu kategorijām: klientiem un lietotājiem, darbiniekiem, līgumslēdzējiem un citiem datu subjektiem. Šādas apstrādes laikā Uzņēmums apņemas veikt visus nepieciešamos pasākumus un ievērot attiecīgās politikas, procedūras un citu dokumentāciju par personas datu aizsardzību, lai apstrādātu personas datus saskaņā ar piemērojamiem tiesību aktiem un labāko praksi.

Lomas personas datu apstrādes laikā

BAS-IP var būt dažādas lomas saskaņā ar UK GDPR un GDPR:

  • pārzinis, Uzņēmums nosaka personas datu apstrādes mērķus un līdzekļus, piemēram, sazinoties ar klientiem un tīmekļa vietnes apmeklētājiem, veicot mārketinga darbības, kas ietver personas datu apstrādi, utt.
  • apstrādātājs, Uzņēmums var apstrādāt personas datus saskaņā ar mūsu klienta norādījumiem, kurš darbojas kā pārzinis vai attiecīgā pārziņa vārdā.
  • Apstrādājot personas datus kā apstrādātājs, mēs varam piesaistīt trešo pušu pakalpojumu sniedzējus, kas darbosies kā apakšapstrādātāji.
Apstrādājot personas datus, sniedzot pakalpojumus saviem klientiem, Uzņēmums darbojas kā apstrādātājs un ievēro piemērojamās UK GDPR un GDPR prasības, kā arī attiecīgās līgumsaistības starp Uzņēmumu un klientu.

BAS-IP UN DATU AIZSARDZĪBA

BAS-IP ir apņēmies ievērot augstākos datu aizsardzības standartus un piemērojamos personas datu aizsardzības tiesību aktus.

Visas darbības, kas saistītas ar personas datu apstrādi, tiek veiktas saskaņā ar iekšējo dokumentāciju par personas datu apstrādes regulēšanu.

Uzņēmums piemēro šādus personas datu aizsardzības pasākumus:

Regulāra personas datu aizsardzības dokumentācijas pārskatīšana un nepieciešamo izmaiņu veikšana mūsu dokumentācijā un darbībā

Iekšējās personas datu aizsardzības dokumentācijas regulāra pārskatīšana un atjaunināšana ir Uzņēmuma stratēģijas neatņemama sastāvdaļa, lai nodrošinātu atbilstību UK GDPR, GDPR un citu normatīvo aktu prasībām personas datu aizsardzības jomā.

Attiecīgā iekšējā dokumentācija un pieņemtās politikas un procedūras, jo īpaši attiecībā uz datu subjektu pieprasījumiem, paziņošanu par personas datu aizsardzības pārkāpumiem, personas datu apstrādē iesaistīto trešo pušu atbilstības novērtējumiem utt., tiek periodiski atjauninātas vai grozītas, ja nepieciešams, jo īpaši tiesību aktu izmaiņu vai jaunu personas datu apstrādes darbību ieviešanas gadījumā.

Turklāt personas datu apstrādes darbības tiek reģistrētas, kas ietver personas datu apstrādes darbību uzskaites (RoPA) uzturēšanu, un, ja nepieciešams, tiek veikts datu aizsardzības ietekmes novērtējums (DPIA) un likumīgo interešu novērtējums (LIA).

Tādējādi, uzturot savu personas datu aizsardzības dokumentāciju atjauninātu, Uzņēmums nodrošina augstu personas datu aizsardzības līmeni un nepārtrauktu atbilstību tiesību aktiem.

Atbilstība datu subjektu tiesību aizsardzības prasībām

Uzņēmuma Privātuma politika, kas ir publiski pieejama tā tīmekļa vietnē, sniedz klientiem un citiem datu subjektiem informāciju par mērķiem, kādiem personas dati var tikt apstrādāti, kā un kādi konkrēti personas dati var tikt apstrādāti, kā arī informāciju par viņu tiesībām saskaņā ar piemērojamajiem personas datu aizsardzības tiesību aktiem, tostarp to, kā šīs tiesības īstenot.

Turklāt Uzņēmums ir pieņēmis Pieprasījumu un sūdzību procedūru, kas satur procedūru, kā atbildēt uz datu subjektu pieprasījumiem un viņu tiesībām saskaņā ar UK GDPR un GDPR.

Uzņēmums apņemas sniegt visu nepieciešamo atbalstu klientam, atbildot uz to datu subjektu pieprasījumiem, kuru datus Uzņēmums apstrādā kā apstrādātājs saskaņā ar UK GDPR, GDPR noteikumiem un līgumsaistībām starp Uzņēmumu un klientu.

Atbilstība labākajiem tehniskās un organizatoriskās drošības standartiem un praksei

Uzņēmums ir ieviesis tehniskus un organizatoriskus pasākumus, lai nodrošinātu personas datu drošību. Uzņēmuma iekšējā dokumentācija skaidri definē tehniskos un organizatoriskos pasākumus, ko izmanto personas datu apstrādes laikā:

  • ir izstrādāta un pieņemta dokumentācija, kas regulē informācijas drošību, un tā nepārtraukti uzrauga informācijas drošības notikumus un nodrošina savlaicīgu reaģēšanu uz incidentiem;
  • ir ieviesti aizsardzības pasākumi, lai ierobežotu piekļuvi personas datiem, piemēram, piekļuves kontrole personas datiem, jo īpaši, izmantojot personalizētus kontus, kontrole pār konta paroļu garumu un sarežģītību, un tīkla piekļuves aizsardzība, lai mazinātu tīkla uzbrukumu risku; fizisko datu centru atbilstības drošības prasībām pārbaude, kur dati tiek glabāti; daudzfaktoru autentifikācija un lietotāja autentifikācija autorizācijas laikā, kā arī datu piekļuves atļauju konfigurēšana un piemērošana, esošo piekļuves tiesību regulāra pārskatīšana utt.;
  • izmanto šifrēšanas tehnoloģijas, uzglabājot un apstrādājot personas datus, izmantojot mākoņtehnoloģijas, un nosaka prasības izmantot tikai atjauninātus un robustus kriptogrāfiskos protokolus, algoritmus, šifru komplektus, šifrēšanas atslēgas un atslēgu pārvaldības pieejas;
  • regulāri pārskata personas datu dublējumkopijas, lai noteiktu, vai to glabāšana atbilst darbības prasībām un juridiskajām saistībām;
  • veic citus organizatoriskās drošības pasākumus, tostarp lomu un pienākumu nodalīšanas politikas ieviešanu, attiecīgo politiku un procedūru regulāru atjaunināšanu, pienākumu izpildes uzraudzību un sadarbības gatavības demonstrēšanu ar attiecīgajām valsts iestādēm. Uzņēmuma īstenotie personāla drošības pasākumi ietver darbinieku iepriekšējās darbības pārbaudes dažos gadījumos, darbinieku informētības paaugstināšanu par informācijas drošības jautājumiem un šādas informētības uzraudzību, kā arī mācību un profesionālās pilnveides programmu rīkošanu;
  • nepārtraukti uzrauga izmaiņas tiesību aktos un ievieš labāko praksi personas datu aizsardzības jomā saskaņā ar kiberdrošības standartiem, vadlīnijām, personas datu aizsardzības uzraudzības iestāžu un Informācijas komisāra biroja (ICO) ieteikumiem.

Uzņēmums ievēro visas politikas un procedūras, lai nodrošinātu personas datu aizsardzības drošību, regulāri pārbauda to atbilstību un nodrošina savlaicīgu pārskatīšanu.

Regulāra trešo pušu pārbaude

Visas trešās puses, kas iesaistītas personas datu apstrādē, tiek pārbaudītas, izmantojot iekšēju regulētu trešo pušu atbilstības novērtēšanas procedūru. Jo īpaši šādās pārbaudēs novērtē atbilstošās dokumentācijas pieejamību, kas attiecas uz personas datu apstrādi, kā arī tehnisko un organizatorisko drošības pasākumu pieejamību un efektivitāti, kas ieviesti, lai aizsargātu personas datus no neatļautas piekļuves, zaudēšanas vai integritātes pārkāpumiem.

Droša personas datu pārsūtīšana

Sniedzot pakalpojumus, Uzņēmums var pārsūtīt personas datus ārpus Apvienotās Karalistes, piemēram, uz Amerikas Savienotajām Valstīm un Ukrainu.

Lai nodrošinātu drošību un atbilstību juridiskajām prasībām par personas datu pārsūtīšanu, iepriekš tiek veikts novērtējums. Turklāt tiek regulāri veikta iekšējā uzraudzība, lai nodrošinātu Amerikas Savienoto Valstu, Ukrainas un, ja nepieciešams, citu valstu, uz kurām tiek pārsūtīti personas dati, juridisko prasību un prakses atbilstību Apvienotās Karalistes un ES personas datu aizsardzības standartiem un praksei. Papildus tam tiek rūpīgi pārbaudīti datu importētāju veiktie drošības pasākumi, jo īpaši, parakstot attiecīgo dokumentāciju, kas regulē personas datu aizsardzību.

Kad Uzņēmums pārsūta personas datus, uz kuriem attiecas UK GDPR un/vai GDPR, tas ar saviem līgumslēdzējiem noslēdz Datu apstrādes līgumu (DPA). Šādi līgumi ietver atbilstošus pārsūtīšanas mehānismus, tostarp ES standarta līguma klauzulas (SCCs) kopā ar Apvienotās Karalistes papildinājumu (UK Addendum) vai Starptautisko datu pārsūtīšanas līgumu (IDTA).

Regulāras apmācības

Uzņēmums regulāri organizē apmācības saviem darbiniekiem un līgumslēdzējiem par atbilstību UK GDPR un GDPR prasībām, kā arī par personas datu aizsardzību. Apmācībās aplūkotās tēmas ietver, cita starpā, UK GDPR, GDPR un citu piemērojamo personas datu aizsardzības tiesību aktu vispārīgās prasības, lomas apstrādē, personas datu apstrādes principus, apstrādes pamatojumu, datu subjektu tiesību nodrošināšanu un personas datu aizsardzības jautājumus.

Turklāt Uzņēmums ir pieņēmis arī nepieciešamo dokumentāciju un ieviesis atbilstošus pasākumus, lai nodrošinātu darbinieku apmācību un informētību datu aizsardzības jomā.

MŪSU KONTAKTI

Ja jums ir kādi papildu jautājumi par personas datu aizsardzību BAS-IP, lūdzu, sazinieties ar mums pa e-pastu: [email protected].

Ar cieņu,

BAS-IP DISTRIBUTION LTD