Privātuma politika

APSTIPRINĀTS
ar akciju sabiedrības „Pasažieru vilciens” 
padomes 2024. gada 16. septembra
lēmumu Nr. 4 (Protokols Nr. 29)

Privātuma politika

I.    Privātuma politikas mērķis

1.    Privātuma politikas mērķis ir noteikt AS “Pasažieru vilciens” (turpmāk – Sabiedrība) veiktās personas datu apstrādes un aizsardzības principus. 
2.    Personu privātuma nodrošināšana ir neatņemama Sabiedrības darbības sastāvdaļa, un Sabiedrība savā darbībā rūpējas par indivīda personiskās informācijas aizsardzību, ievērojot normatīvo aktu, jo īpaši Vispārīgās datu aizsardzības regulas (Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK) prasības.
3.    Sabiedrības kā nozīmīga pakalpojumu sniedzēja loma ir uzturēt augstus privātuma aizsardzības standartus gan iekšējos, gan ārējos procesos un būt par labās prakses paraugi ikvienā ar datu apstrādi saistītā procesā – turklāt, ņemot vērā mainīgo apkārtējo vidi, ik brīdi elastīgi piemēroties aktuālajai situācijai par primāro izvirzot indivīda privātuma aizsardzību.
4.    Ikviens indivīds, kas izmanto Sabiedrības pakalpojumus vai nonāk Sabiedrības valdījumā esošos objektos, vai ir Sabiedrības sadarbības partneris vai sadarbības partnera pārstāvis, var iegūt datu subjekta statusu tad, ja Sabiedrība konkrētajā tiesiskajā situācijā apstrādā attiecīgā indivīda personas datus.

II.    Personas dati un to apstrādes vajadzība

5.    Personas dati, saskaņā ar normatīvajos aktos noteikto, ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu datu subjektu, savukārt personas datu apstrāde ir jebkuras darbības ar personas datiem, kas sākas ar datu ievākšanu vai iegūšanu un beidzas ar datu dzēšanu.
6.    Sabiedrības nodrošināto pakalpojumu sniegšana bez personas datu apstrādes nav iespējama, tomēr Sabiedrība ir ieviesusi un turpina uzlabot ieviestos procesus, lai pēc iespējas minimizētu apstrādājamo personas datu apjomu, apstrādes procesa sarežģītību un apstrādes ilgumu.
7.    Sabiedrības nodrošināto pakalpojumu sniegšana ietver visus procesus, kas ir saistīti ar Sabiedrības sniegto pasažieru pārvadājumu pakalpojumu izmantošanu, sākot ar informācijas iegūšanu Sabiedrības tīmekļvietnē (www.vivi.lv) vai lietotnē, vilciena biļešu iegādi (t.sk. dažādu atvieglojumu vai atlaižu izmantošanu), vilciena biļešu kontroli, komunikāciju un strīdu risināšanu saistībā ar Sabiedrības nodrošinātajiem pakalpojumiem, kā arī Sabiedrības tiesisko interešu aizsardzību.

III.    Personas datu ievākšanas, iegūšanas un izmantošanas mērķi

8.    Sabiedrības pakalpojumu izmantošanai nepieciešamos personas datus Sabiedrība parasti ievāc tieši no datu subjektiem tiesiska darījuma nodibināšanas brīdī, piemēram, personai iegādājoties tiesības izmantot Sabiedrības nodrošināto pakalpojumu vai datu subjektam atrodoties Sabiedrības valdījumā esošā objektā.
9.    Tipiski Sabiedrības pakalpojumu izmantošanai ir nepieciešami datu subjekta identifikācijas dati (piemēram, vārds, uzvārds), informācija, kas apstiprina personas tiesības saņemt atvieglojumus vai atlaides biļešu iegādē, izvēlēto maršrutu, izmantotos maksāšanas līdzekļus u.tml. 
10.     Ja Sabiedrības sniegto pakalpojumu iegādei vai informācijas iegūšanai tiek izmantoti informācijas un komunikācijas pakalpojumi, tajā skaitā, Sabiedrības tīmekļvietne (www.vivi.lv) vai lietotne, Sabiedrība ievāc tādu informāciju kā IP adrese, pārlūkprogrammas veids, lietošanas statistika u.c. tehnisko informāciju, kā arī nodrošina auditācijas pierakstu veidošanos par datu subjektu veiktajām darbībām, tajā skaitā, arī informācijas drošības nodrošināšanas nolūkos.
11.     Situācijās, kurās datu subjekta personas dati tiek ievākti, datu subjektam atrodoties Sabiedrības valdījumā esošā objektā, datu subjekta dati var tikt ievākti stacionāras vai mobilas videonovērošanas sistēmas izmatošanas veidā,  šādā gadījumā ievāktie dati ir saistīti ar datu subjekta vizuālo izskatu, kā arī rīcību (darbību vai bezdarbību) attiecīgajā laika momentā. 
12.     Sabiedrības sadarbības partnera vai sadarbības partnera pārstāvja personas dati tiek ievākti no paša datu subjekta vai iegūti no sadarbības partnera (juridiskas personas) saistībā ar tiesiska darījuma noslēgšanu un izpildi un parasti satur datu subjektu identificējošu informāciju (piemēram, vārds, uzvārds, personas kods), tiesību vai statusu pamatojošos faktus (piemēram, amats, pilnvarojuma apmērs, konkrētā loma u.c.), kā arī citus būtiskus tiesiska darījuma rekvizītus (piemēram, tiesisko attiecību nodibināšanas datumu un termiņu, kontaktinformāciju, īpašas nianses u.tml.).
13.     Komunikācijas nodrošināšanai un strīdu risināšanai nepieciešamie personas dati ietver datu subjektu identifikācijas datus, datus, kas attiecas uz konkrēto situāciju (piemēram, jautājuma vai strīda būtību), datumu un laiku, kā arī - ja situācija tiek risināta izmantojot tālruni, attiecīgās komunikācijas ieraksts.

IV.    Informācijas nodošanas mērķi

14.     Piekļuve personas datiem, kurus Sabiedrība apstrādā Sabiedrības mērķu sasniegšanai, tiek nodrošināta tikai attiecīgām Sabiedrības pilnvarotām personām (darbiniekiem, ārpakalpojumu sniedzējiem), kam ar Sabiedrību ir tiesiskas attiecības (darba līguma vai ārpakalpojumu līguma veidā) un kam attiecīgo tiesisko attiecību izpildei piekļuve personas datiem ir absolūti nepieciešama.
15.     Datu nodošanu valsts pārvaldes struktūrām un amatpersonām Sabiedrība veic tikai normatīvajos aktos noteiktos gadījumos un apjomā.
16.     Sabiedrība nepārdod, neiznomā un nekādā citā veidā neizplata apstrādātos personas datus trešajām pusēm bez konkrēta nolūka un attiecīga tiesiska pamatojuma, kas var būt, piemēram, konkrēta datu subjekta sniegta piekrišana vai cits pierādāms tiesiskais pamatojums.
17.     Sabiedrības tipiskās datu apstrādes tiek veiktas Eiropas Savienības teritorijā un tā nenodod personas datus uz valsti, kas nav Eiropas Ekonomiskās zonas dalībvalsts. 

V.    Datu aizsardzības pasākumi

18.     Sabiedrība īsteno dažādus tehniskos un organizatoriskos informācijas aizsardzības pasākumus, kā arī veic risku pārvaldības procesu un aizsardzības pasākumu pastāvīgu uzlabošanu, lai nodrošinātu Sabiedrības apstrādāto personas datu drošību, piemēram, pasargātu personas datus no nesankcionētas piekļuves, izmainīšanas, izpaušanas vai iznīcināšanas. 
19.     Situācijās, kurās Sabiedrība pati ir konstatējusi faktus vai saņēmusi informāciju no ārēja avota par iespējamu vai faktiski notikušu datu aizsardzības pārkāpumu (incidentu), tiek nekavējoties veikta detalizēta notikuma izmeklēšana un, aizdomām apstiprinoties, normatīvajos aktos noteiktajā kārtībā tiek informēta uzraudzības iestāde Datu valsts inspekcija un skartie datu subjekti, kā arī veikti pasākumi kaitējuma datu subjekta tiesībām un interesēm mazināšanai.
20.     Sabiedrības veiktos tehniskos un organizatoriskos pasākumus Sabiedrība dokumentē, atbilstoši normatīvos aktos noteiktajam pārskatatbildības principam, kā arī regulāri apmāca Sabiedrības darbiniekus par datu aizsardzības niansēm un datu subjektu tiesību un brīvību ievērošanu.
21.     Sabiedrība organizatoriskos pasākumus reglamentē ar iekšējiem normatīvajiem aktiem, kuri tiek regulāri uzlaboti, ņemot vērā aktuālo labo praksi, izmaiņas Eiropas Savienības vai Latvijas Republikas normatīvajos aktos, saistošos normatīvo aktu piemērošanas skaidrojumu un Eiropas Savienības Tiesas vai nacionālo tiesu aktuālos nolēmumus.

VI.    Datu subjekta tiesības

22.     Par Sabiedrības veikto datu apstrādi datu subjekti tiek informēti iespējami efektīvākajā veidā pirms Sabiedrība iegūst vai ievāc attiecīgo indivīdu personas datus, piemēram, ar izvietotiem paziņojumiem Sabiedrības valdījumā esošajos objektos, ar informāciju Sabiedrības vietnē, u.tml. Sabiedrība uzlabo datu subjektu informēšanu, ņemot vērā, tajā skaitā, datu subjektu ierosinājumus vai izteiktās pretenzijas. 
23.     Sabiedrība nodrošina datu subjektu tiesības piekļūt Sabiedrības apstrādātajiem personas datiem, tos labot, dzēst vai ierobežot to apstrādi, tomēr noteiktās situācijās Sabiedrībai var būt tiesiski argumenti attiecīgo datu subjektu tiesību ierobežošanai. Jebkurā gadījumā, Sabiedrība vienmēr sniedz motivētu atbildi datu subjektu pieprasījumiem.
24.     Lai nodrošinātu datu subjektu tiesību realizāciju, Sabiedrība ir ieviesusi dažādus sakaru kanālus komunikācijai, piemēram, i-punktu (vilciens@info.vivi.lv). 
25.     Ar Sabiedrības norīkoto datu aizsardzības speciālistu var sazināties, rakstot uz e-pastu datuaizsardziba@vivi.lv.
26.     Ziņojumi, kuri ir saistīti ar personas datu aizsardzības pārkāpumu vai iespējamu prettiesisku darbību, kuru veikusi Sabiedrība vai ar Sabiedrību saistītas personas (darbinieki, sadarbības partneri), vienmēr tiek izvērtēta no Sabiedrības norīkotā datu aizsardzības speciālista puses.
27.     Sabiedrības datu aizsardzības speciālists reizi gadā sagatavo pārskatu par Sabiedrības darbības atbilstību šai Privātuma politikai, ko iesniedz Sabiedrības padomei. Pārskatā tiek ietverta galveno datu aizsardzības principu ievērošana sabiedrībai – samērīguma princips (datu apstrāde tikai tādā apjomā un laika periodā, kas ir nepieciešams apstrādes mērķu sasniegšanai), likumības princips (datu apstrādei pastāv tiesisks pamatojums, kā arī Sabiedrība savlaicīgi ir veikusi ar attiecīgo apstrādi saistītās darbības, tādas kā apstrādes ietekmes novērtējums vai apstrādes samērīguma izvērtējums tad, ja datu apstrādes tiesiskais pamatojums ir Sabiedrības tiesiskā interese), pārredzamības princips (tas, cik efektīvi Sabiedrība informē datu subjektus par viņu datu apstrādi), pārskatatbildības princips (ar datu apstrādi saistīto procesu un darbību adekvāta dokumentēšana). Sabiedrība var papildus veikt arī neatkarīgu iekšēju vai ārēju auditu par datu aizsardzības organizāciju Sabiedrībā.

VII.    Cita informācija Privātuma politikas ievērošanai un izmaiņas Privātuma politikā

28.     Ar detalizētu informāciju par Sabiedrības veiktajām datu apstrādes darbībām var iepazīties Sabiedrības tīmekļvietnē publiskotajā informācijā par datu apstrādi.
29.     Sabiedrība ir ieinteresēta personas datu tiesiskā apstrādē visos apstrādes posmos, tādēļ regulāri pārskata Privātuma politiku un tās tvērumu un, ņemto vērā izmaiņas normatīvajos aktos vai normatīvo aktu piemērošanā, periodiski atjaunina Privātuma politiku. Aktuālā Privātuma politikas redakcija tiek publicēta Sabiedrības tīmekļvietnē.

 

Administratīvo lietu departamenta vadītāja V. Bahareva

A. Puksts
arnis.puksts@vivi.l