gerbonis konturzimejums2.JPG

DAUGAVPILS PILSĒTAS DOME

DAUGAVPILS PILSĒTAS 24. PIRMSSKOLAS IZGLĪTĪBAS IESTĀDE

Reģ. Nr. 2701901788, Muzeja  iela 9, Daugavpils, LV-5401, tālr. 65428733

e-pasts:rukitis24PII@inbox.lv

APSTIPRINU

    Daugavpils pilsētas 24.pirmsskolas izglītības

 Iestādes  vadītāja______________G. Fedorkiva

2018.gada 31.augustā

Daugavpilī

Izglītojamo personas datu apstrādes un aizsardzības kārtība

Izdoti saskaņā ar Valsts pārvaldes iekārtas

likuma 72.panta pirmās daļas 2.punktu

  1. Vispārīgie jautājumi

  1. Kārtība nosaka daugavpils pilsētas 24. pirmsskolas izglītības iestades izglītojamo personas datu apstrādes politiku un drošības noteikumus likumīgai un aizsargātai datu apstrādei izglītības iestādē atbilstoši Vispārīgās datu aizsardzības regulai (Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) [turpmāk – datu regula] par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46EK) un Personas datu apstrādes likuma prasībām (turpmāk – likums) un citiem normatīvajiem aktiem (turpmāk – kārtība).
  2. Izglītojamo personas dati tiek apstrādāti, lai izpildītu izglītības iestādes funkcijas un noteiktos uzdevumus.Visi izglītojamo personas dati tiek aizsargāti, ievērojot Satversmes 96.pantā nostiprinātās tiesības uz personas privātumu.
  3. Kārtības ievērošana attiecas uz visiem izglītības iestādes darbiniekiem (tostarp brīvprātīgā darba veicējiem, praktikantiem u.c. personām), kuri saistīti ar izglītības iestādes funkciju īstenošanu un saskarsmi ar izglītojamo personas datiem.
  4. Uz izglītojamo personas datu apstrādiir attiecināmišādi datu regulas termini:
  1. datu subjekts — izglītības iestādes izglītojamais, kuru var tieši vai netieši identificēt (jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem);
  2. datu subjekta piekrišana — pilngadīga izglītojamā vai nepilngadīga izglītojamā likumiskā pārstāvja brīvi, nepārprotami izteikts gribas apliecinājums, ar kuru viņš atļauj apstrādāt personas datus atbilstoši pārziņa sniegtajai informācijai;
  3. personas dati — jebkāda informācija, kas attiecas uz identificētu vai identificējamu izglītojamo;
  4. personas datu apstrāde — jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
  5. personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošus kritērijus;
  6. pārzinis — izglītības iestāde(vai atsevišķos gadījumos izglītības iestādes dibinātājs, kad izglītības iestāde ir personas datu apstrādes vieta), kas viena pati vai kopīgi ar citiem subjektiem nosaka personas datu apstrādes nolūkus un līdzekļus;
  7. personas datu apstrādātājs(operators) —fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;
  8. personas datu saņēmējs —fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav.;
  9. sensitīvi personas dati — izglītojamopersonas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju
  10. trešā persona — jebkura fiziskā vai juridiskā persona, izņemot datu subjektu, nepilngadīga izglītojamo likumisko pārstāvi, izglītības iestādi vai personas, kuras tieši pilnvarojusiizglītības iestāde vai atrodas tās pakļautībā.
  1. Izglītības iestādes vadītājs vaiviņa norīkota atbildīgā persona uzrauga un veic šādas darbības datu regulas ieviešanai:
  1. noskaidro un fiksē personas datu apstrādē iesaistītos darbiniekus izglītības iestādē, apstrādātos personas datu veidus, informācijas sistēmas, kuras lieto izglītības iestādē (Valsts izglītības informācijas sistēma, e-klase vai tml.), neautomatizētus datu apstrādes rīkus (papīra kartotēka personāla jautājumos vai tml.);
  2. fiksē datu saņemšanas kanālus, kā dati tiek iegūti, un izvērtē datu ieguves tiesiskā pamata esamību (vai neesamību) atbilstoši regulas6.pantam vai  9.pantam (ja sensitīvi dati);
  3. novērtē datu glabāšanas nepieciešamību un nosaka termiņus datu glabāšanai, ja to neparedz normatīvie akti;
  4. noskaidro, vai saņemtie un apstrādātie (arī glabātie) dati tiek nodoti ārpus iestādes apstrādāt, uzglabāt datu glabātuvēs ārpus iestādes serveros vai citādi datu apstrādātājam;
  5. auditē un pārskata iestādes informācijas sistēmu un procesu drošības situāciju;
  6. izvērtē līgumus ar personas datu apstrādātājiem, ja tādi ir noslēgti, izvērtē tajos iekļautās datu drošības garantijas un noteikumus;
  7. atzīmē, kuras datu subjekta tiesības tiek nodrošinātas katram konkrētam datu apstrādes veidam, lai sniegtu informāciju, kas datu regulā jāsniedz datu subjektam;
  8. noskaidro, vai notiek pārrobežu datu apstrāde un kuras valsts uzraudzības iestāde būs vadošā uzraudzības iestāde;
  9. izveido iekšējo datu apstrādes darbību reģistru, ja iestāde un tās datu apstrāde atbilst Datu regulas 30.pantam;
  10. novērš nepilnības, sagatavo iestādes iekšējo dokumentāciju datu drošībai, pārveido informācijas sistēmu, nodrošina fizisku aizsardzību, rakstveidā fiksē nodarbinātos, kas apstrādā datus, precizē līgumus.

II. Izglītojamo personas datu drošības pasākumi

  1. Izglītības iestāde nodrošina izglītojamo personas datu aizsardzību. Ja tas nav noteikts normatīvajos aktos,personas datu apstrādei izvirzanoteiktu un skaidru datu apstrādes mērķijeb nolūku (turpmāk – mērķis) un līdzekļus mērķa sasniegšanai.
  2. Izglītojamo personas dati var tikt izmantoti tikai likumīgam un iepriekš noteiktam mērķim, kas saistīts ar izglītības iestādes funkciju izpildi vai ar funkciju izpildes organizatorisko nodrošināšanu. Ja datu apstrādes mērķis izriet no normatīvajos aktos noteiktā, izglītības iestādei nav nepieciešama datu subjekta piekrišana.
  3. Izglītības iestādes vadītājs ir atbildīgs par datu apstrādi, tās īstenošanu (kā arī kontroli) personīgi un ar iestādes personāla starpniecību. Izglītojamo personas dati nevar tikt izmantoti komerciāliem, politiskiem un citādiem mērķiem, kas nav saistīti ar izglītības funkcijas nodrošināšanu, ja nav saņemta datu subjekta piekrišana vai ja nepastāv cits pamats datu tiesiskai apstrādei.
  4. Izglītojamo personas datu apstrādē tiek ievēroti tiesību aktos noteiktie datu apstrādes principi.
  5. Izglītojamo personas datu apstrādes ilgums ir saistīts ar noteiktu personas datu apstrādes mērķi.Datu uzglabāšana pēc noteiktā mērķa sasniegšanas nav atļauta, izņemot gadījumu, ja normatīvie akti paredz pamatotu nepieciešamību šādu datu saglabāšanai arhīva nolūkiem.
  6. Izglītības iestādes vadītājs nodrošina personas datu drošību, proti, nodrošina datu konfidencialitāti un to nenokļūšanu trešo personu nelikumīgā rīcībā. Jebkuriem izglītojamo personas datiem var piekļūt tikai tam pilnvarots atbildīgais darbinieks, ja viņa darba pienākumi ir saistīti ar noteikto datu apstrādi.
  7. Papildus šīs kārtības 11.punktam izglītības iestādes vadītājs ir atbildīgs, ka izglītojamo personas dati netiek sagrozīti, bojāti un tiem nepiekļūst nepilnvarotas personas.
  8. Lai nodrošinātu datu aizsardzību, tiek ieviesti vismaz šādi papildus drošības pasākumi:
  1. telpām - ugunsdrošības pasākumi atbilstoši normatīvajiem aktiem par ugunsdrošību izglītības iestādē;
  2. informācijas tehnoloģijām un datiem: rezerves kopijas, uzstādīta antivīrusu programmatūra, regulāra tehnisko paroļu maiņa un citi nosacījumi saskaņā ar kārtības 5.nodaļu.

III. Izglītojamo datu apstrādes pamatprincipi

  1. Ikvienam izglītojamam ir tiesības uz savu personas datu aizsardzību.
  2. Izglītojamo datu apstrāde ir atļauta saskaņā ar izglītības iestādes funkciju izpildi, ja apstrādes mērķis noteikts normatīvajos aktos, kā arī tad, ja ir vismaz viens no šādiem nosacījumiem:
  1. ir datu subjekta (pilngadīga izglītojamā vai nepilngadīga izglītojamā likumiskā pārstāvja) piekrišana vienam vai konkrētam mērķim;
  2. apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;
  3. datu apstrāde nepieciešama, lai aizsargātu izglītojamā vitāli svarīgas intereses, tajā skaitā dzīvību un veselību;
  4. datu apstrāde nepieciešama, lai nodrošinātu sabiedrības interešu ievērošanu vai realizētu publiskās varas uzdevumus, kuru veikšanai izglītojamāpersonas dati ir nodoti izglītības iestādei (apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras);
  5. apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.
  1. Lai aizsargātu izglītojamo intereses un likumīgi apstrādātu personas datus, izglītības iestāde nodrošina, ka personas dati:
  1. tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
  2.  tiek vākti konkrētiem, skaidriem un leģitīmiem mērķiem, un to turpmāku apstrādi neveic ar minētajiem mērķiem nesavietojamā veidā;
  3. ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes mērķiem (“datu minimizēšana”;
  4. ir precīzi un, ja vajadzīgs, atjaunināti, veicot visus saprātīgus pasākumus, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā mērķus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);
  5. tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams mērķiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas mērķiem sabiedrības interesēs, zinātniskās vai vēstures pētniecības mērķim, vai statistikas nolūkos  (“glabāšanas ierobežojums”);
  6. tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu.
  1. Sensitīvo personas datu apstrāde ir aizliegta, izņemot gadījumus, kas noteikti datu regulā un tas nepieciešams izglītības iestādes funkciju izpildei, ja apstrādes mērķis noteikts normatīvajos aktos, kā arī  tad, ja ir vismaz viens no šādiem nosacījumiem:
  1.  datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem,
  2.  apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;
  3.  apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis;
  4.  apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības,
  5.  apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai;

III.Izglītojamā tiesības

  1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu datu regulā noteikto informāciju, kas sniedzama, ja personas dati ir iegūti no datu subjekta, kā arī informāciju, kas sniedzama, ja personas dati nav iegūti no datu subjekta.
  2.  Datu subjektam ir tiesības:
  1. saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt datu regulā noteikto informāciju;
  2. panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus, kā arī lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu;
  3. panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus datu regulā noteiktajos gadījumos;
  4. panākt, lai pārzinis ierobežotu apstrādi, ja tā ir neatbilst datu regulā noteiktajam;
  5. prasīt, lai pārzinis ziņo par viņa datu saņēmējiem;
  6. uz datu pārnesamību;
  7. iebilst un automatizēta individuālu lēmumu pieņemšana;
  8. nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu;
  9. tikt informētam par personas datu aizsardzības pārkāpumu.
  1. Pārzinis informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.
  2. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par pieprasījumā saņemto jautājumu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas.
  3. Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz informācijas pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

IV.Izglītojamo personas datu kategorijas

un to apstrādes nosacījumi

  1. Izglītības iestāde ievēro vispārīgu principu personas datu apstrādē, ka izglītojamā dati tiek apstrādāti normatīvajos aktos noteiktajos gadījumos, kas ietilpst iestādes funkciju izpildē. Šādu datu apstrādes juridiskais pamats ir tiesību norma. Izņēmuma gadījumos var tikt lūgta datu subjekta piekrišana likumīgu datu apstrādes mērķu sasniegšanai, kas ir saistīti ar izglītības iestādes funkciju īstenošanu.
  2. Izglītojamā personas kodu apstrādā, ja to nosaka normatīvie akti un ja personas koda apstrāde ir nepieciešama, lai sasniegtu noteiktu izglītojamā personas datu apstrādes mērķi.
  3. Izglītojamā personas fotogrāfiju izmantošana izglītības iestādes dokumentos, informatīvajos materiālos, iekšējā avīzē vai izdevumā, interneta mājas lapā, publiska to izmantošana izglītības iestādes telpās vai citādi ir atļauta pēc tam, kad ir informēti datu subjekti (pilngadīgi izglītojamievai nepilngadīgu izglītojamo vecāki) un ir saņemta piekrišana par fotogrāfiju izmantošanu konkrētajam mērķim.
  4. Izglītojamo datu apstrāde interneta vietnēs, kas nodrošina izglītības procesa dokumentāciju, ir pieļaujama, ievērojot datu tehniskās drošības nosacījumus. Katrs lietotājs ir tiesīgs piekļūt tikai tiem datiem, kas attiecas uz viņu vai saistīts ar viņa darba pienākumiem. Izglītojamam, izglītojamā vecākiem ir aizliegts piekļūt citu izglītojamo personas datiem. Jebkuras paroles tiek veidotas vismaz no 8 simboliem saskaņā ar šo noteikumu 5. nodaļu.
  5. Lai nodrošinātu datortīkla un tehnisko resursu drošību, tiek ieviesta to lietošanas kontrole. Atbildīga persona informē par kontroles nosacījumiem un sankcijām lietotājiem, ja netiks ievēroti lietošanas noteikumi. Šie noteikumi īpaši ņemami vērā attiecībā uz izglītības iestādes darbinieku elektronisko pastu un interneta lietošanu darba vietā.
  6. Izglītojamo mācību novērtējums izglītības iestādes ikdienas darbā attiecībā uz izglītojamo netiek izpausts trešajām personām. Izglītības iestāde nodrošina, ka katra izglītojamā mācību sasniegumu novērtējums (tostarp dažādas piezīmes attiecībā uz izglītojamā mācību procesu) ir pieejams tikai pašam izglītojamam un likumiskajiem pārstāvjiem.
  7. Ja izglītības iestādē tiek veikts zinātnisks, socioloģisks vai tamlīdzīgs pētījums, kurā nepieciešams norādīt izglītojamā personas datus aptaujas anketās, šādu datu (jo īpaši sensitīvo datu) vākšanai tiek saņemta datu subjekta piekrišana, un datu subjekts (tostarp nepilngadīgu izglītojamo vecāki) tiek informēti par pētījuma nolūku un datu saņēmējiem.
  8. Videonovērošana izglītības iestādē (tostarp izglītojamā biometrijas datu izmantošana) tiek veikta, iepriekš izvērtējot nepieciešamību izmantot biometrijas datus, lai sasniegtu paredzēto mērķi.Videonovērošanas galvenais mērķis ir nodrošināt aizsardzību pret ļaunprātīgu rīcību vai noziedzīgiem nodarījumiem. Nepieciešamo uzraudzības darbību veikšanai tiek ievērots proporcionalitātes princips, proti, tiek novēroti tikai nepieciešamie objekti un apstākļi, izslēdzot sistēmu izvietošanu telpās, kur jāpieļauj personu privātums (piemēram, tualetes, dušas, apģērbu maiņas telpas, medicīniskās aprūpes kabinets).
  9. Videonovērošana tiek veikta, informējot par to visas personas ar brīdinājuma zīmēm pie ieejas izglītības iestādē un citādi pēc izglītības iestādes vadības ieskatiem. Personas (tostarp nepilngadīga izglītojamā likumiskais pārstāvis) var piekļūt videonovērošanas ierakstiem un attēliem gadījumos, ja tas nepieciešams šo personu tiesisko interešu vai tiesību aizsardzībai. Izglītības iestādes vadītājs nosaka atbildīgo personu (vai personas), kura pārzina videonovērošanas kārtību un datu aizsardzību. Ieraksti un attēli tiek uzglabāti 10 dienas, pēc tam tos tehniski izdzēšot.
  10. Izglītojamā personas datu ievietošanaiestādes mājas lapā internetā notiek saskaņā ar normatīvo aktu prasībām, ievērojot personu, no kurām personas datu informācija ir ievākta, informēšanu, piekrišanas saņemšanu par datu publiskošanu mājas lapā un par datu vākšanas mērķi, kā arī nodrošinot, ka datu subjekts (tostarp nepilngadīga izglītojamālikumiskais pārstāvis) pēc pieprasījuma var lūgt labot savus datus vai dzēst tos. Minētais ir attiecināms arī uz izglītības iestādes blogu (emuāru) darbību.

  1. Personas datu apstrādes aizsardzības obligātās tehniskās un organizatoriskās prasības

  1. Personas datu apstrāde, kas veikta ar papīra formas dokumentiem vai elektroniskā formā, tiek īstenota, ievērojot visus iespējamos drošības pasākumus un informācijas sistēmu drošību datu aizsardzības jomā.
  2. Izglītības iestāde veic fiziskas formas organizatoriskos pasākumus, tostarp ar nepieciešamajiem tehniskajiem līdzekļiem kas nodrošina godprātīgu un likumīgu personas datu apstrādi un lietošanu tikai paredzētajiem mērķiem, to glabāšanas, atjaunošanas, labošanas un dzēšanas veidu, nodrošinot ikvienas fiziskas personas tiesības uz savu personas datu aizsardzību.
  3. Personas datu apstrāde tiek veikta izglītības iestādes telpās, izņemot gadījumus, kad tiek nodrošināta droša piekļuve no ārējiem informācijas tehnoloģijas resursiem. Drošības noteikumi ir saistoši visām personas datu apstrādē iesaistītajām personām.
  4. Par personu datu aizsardzību, informācijas drošības un pilnveidošanas procesu kopumā atbild izglītības iestādes vadītājs, kurš pats vai ar norīkoto personu starpniecību kontrolē personu datu apstrādes sistēmu drošību (turpmāk – atbildīgā persona).
  5. Atbildīgā persona var bez brīdinājuma dzēst vai mainīt darbinieka, kuram ir tiesības veikt datu apstrādi (turpmāk - pilnvarotā persona), datus personas datu apstrādes sistēmas piekļuvei, ja pilnvarotā persona pārkāpj kārtības nosacījumus, citus ārējos normatīvos aktus un ētikas normas, kā arī ja līdzēji izbeiguši darba tiesiskās attiecības vai citos gadījumos, kad tam ir juridisks pamats.
  6. Atbildīgā persona ir tiesīga pieprasīt no pilnvarotās personas rakstveida apliecinājumu par šo noteikumu un konfidencialitātes prasību ievērošanu darbā ar personas datiem un personas datu apstrādes sistēmu, kā arī veikt visas citas darbības, kuras uzskata par nepieciešamām, lai tiktu ievērotas visas normatīvo aktu prasības personu datu aizsardzības jomā.
  7. Izglītības iestādes pienākums ir rūpēties par personas datu apstrādes sistēmas darbību, nodrošinot pilnvaroto personu drošu piekļuvi tai, kā arī iespēju datu subjektam iepazīties ar saviem personas datiem no sistēmas saskaņā ar datu regulas nosacījumiem.


VI. Personas datu apstrādes sistēmas nodrošinājums

  1. Personas datu obligāto tehnisko aizsardzību īsteno ar fiziskiem un loģiskiem aizsardzības līdzekļiem, nodrošinot aizsardzību pret fiziskās iedarbības radītu personas datu apdraudējumu un aizsardzību, kuru realizē ar programmatūras līdzekļiem.
  2. Dati, kas tiek izmantoti personas datu apstrādē, ir klasificējami kā ierobežotas pieejamības informācija, kas paredzēta tikai noteiktam izglītības iestādes darbinieku lokam. Datorizētas informācijas sistēmas (turpmāk – informācijas sistēma) datus drīkst izmantot tikai izglītības iestādes darbinieks, kuram pārzinis ir devis atļauju ar attiecīgiem piekļuves datiem.
  3. Personas datu apstrādes sistēmas datortehnikas un programmatūras tehnisko uzstādīšanu un tās administrēšanu nodrošina persona, ar kuru izglītības iestāde ir noslēgusi ārpakalpojuma līgumu vai arī šie amata pienākumi ietilpst attiecīga izglītības iestādes darbinieka darba pienākumos, kas konkretizēti amata aprakstā vai darba devēja rīkojumā.
  4. Informācijas sistēmas aizsardzība tiek nodrošināta ar lietotājvārdu un paroli, kurai jābūt komplicētai, izmantojot burtu, ciparu un rakstzīmju kombināciju un kura ir zināma tikai pilnvarotajai personai (ne mazāk kā 8 simboli).
  5. Apstrādājot personas datus informācijas sistēmā, tiek nodrošināta tikai pilnvarotu personu piekļūšana pie tehniskajiem līdzekļiem un dokumentiem.
  6. Pārzinis personas datu saturošas programmatūras apstrādei lieto šādas ierīces:
  1. portatīvo vai personālo datoru ar operētājsistēmu;
  2. citas licencētas iekārtas un programmatūru pēc vajadzības.
  1. Informācijas sistēmas personas datu apstrādes loģisko drošību nodrošina uzstādītā satura vadības sistēma, kas neļauj personas datus labot vai dzēst bez sankcionētas pieejas. Pieeja datu rediģēšanai pieejama tikai pārzinim un viņa pilnvarotajām personām.

VII. Personu datu apstrādes organizatoriskā procedūra, aizsardzība pret ārkārtējiem apstākļiem un datu drošības pasākumi

  1. Pārzinis nodrošina tehnisko resursu fizisku aizsardzību pret ārkārtas apstākļiem (ugunsgrēks, plūdi un citi ārkārtas apstākļi). Pasākumi pret ārkārtas apstākļiem tiek īstenoti saskaņā ar ugunsdrošības noteikumiem izglītības iestādē, kā arī vispārējām normatīvo aktu prasībām par elektroiekārtu drošu ekspluatāciju un to aizsardzību.
  2. Lai izvairītos no tehnisko resursu tīšas bojāšanas radītām sekām pārzinis veic šādas darbības:
  1. reizi sešos mēnešos izveido informācijas sistēmas (to skaitā datubāzes) rezerves kopijas;
  2. reizi mēnesī veic informācijas sistēmas satura vadības sistēmas vispārīgu apskati.
  3. reizi sešos mēnešos atjaunina vai uzlabo informācijas sistēmas satura vadības sistēmu, ja tas ir iespējams un nepieciešams.
  1. Informācijas sistēmas glabāšanas kārtību nosaka izglītības iestādes vadītājs.
  2. Informācijas sistēmas slēgšanas gadījumā izglītības iestādes vadītājs vai viņa pilnvarota atbildīgā persona dzēš informācijas sistēmu un satura vadības sistēmas saturu, datubāzu saturu, kā arī visas citas saistītās datnes.
  3.  Ja nepieciešams dzēst datus no informācijas sistēmas, pārzinis nodrošina pilnīgu datu dzēšanu no informācijas sistēmas.

VIII. Pilnvarotās personas paroles garums un uzbūves nosacījumi

  1. Minimālais pilnvarotās personas paroles garums informācijas sistēmas vietnē ir 8 simboli.
  2. Pilnvarotās personas parole var sastāvēt no datorrakstā pieejamajiem simboliem.
  3. Pārzinis neatbild par problēmām ar paroles ievadīšanu, ja pilnvarotās personas parole satur mīkstinājuma zīmes un garumzīmes.
  4. Par paroles drošību un sarežģītību atbild pilnvarotā persona.
  5. Pilnvarotā persona lieto savu kontu informācijas sistēmā, izmantojot pilnvarotās personas vārdu un paroli, ko iegūst reģistrācijas ceļā.
  6. Pilnvarotā persona iegaumē savu paroli un neizpauž citām to personām.
  7. Pilnvarotā persona nomaina paroli ne retāk kā 1 reizi pusgadā.
  8. Ja pilnvarotās personas paroli uzzina trešā persona, pilnvarotās personas nekavējoties nomaina esošo  paroli uz jaunu, ievērojot šo noteikumu prasības.
  9. Ja pilnvarotajai personai ir aizdomas, ka trešā persona piekļūst pilnvarotās personas kontam, pilnvarotā persona nekavējoties par to informē pārzini.

IX. Pilnvarotās personas tiesības, pienākumi un atbildība

  1. Pilnvarotajai personai ir tiesības izmantot tikai darba vajadzībām viņam lietošanā nodotos datorus un to programmatūru.
  2. Pilnvarotā persona nedrīkst izpaust ziņas par izglītības iestādes datoru tīklu uzbūvi un konfigurāciju, kā arī atklāt ierobežotas pieejamības informāciju nepilnvarotām personām. Personas datus var izpaust, pamatojoties uz rakstveida iesniegumu vai vienošanos, norādot datu izmantošanas mērķi, ja likumā nav noteikts citādi. Personas datu pieprasījumā norādāma informācija, kas ļauj identificēt datu pieprasītāju un datu subjektu, kā arī pieprasāmo personas datu apjoms. Jebkura informācijas sniegšana iepriekš saskaņojama ar izglītības iestādes vadītāju.
  3. Pilnvarotā persona nedrīkst atļaut piekļūt personas datiem nepiederošām personām, ja tie nav nepieciešami  tiešo darba pienākumu pildīšanai.
  4. Pilnvarotās personas pienākums ir saglabāt un bez tiesiska pamata neizpaust personas datus arī pēc darba tiesisko attiecību izbeigšanas.
  5. Pilnvarotās personas pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi.
  6. Pilnvarotā persona ir atbildīga par datortehniku, kas nodota viņa rīcībā, kā arī par dokumentiem, kas nepieciešami viņa darba pienākumu pildīšanai.
  7. Pilnvarotajai personai ir aizliegts izmantot nelicencētu programmatūru. 
  8. Aizliegta jebkāda nešifrēta bezvadu datortīkla izmantošana izglītības iestādē (Unencrypted Wireless Networks).
  9. Pilnvarotā persona nedrīkst izdarīt darbības, kas būtu vērstas pret informācijas sistēmas drošību, izmantojot neparedzētas pieslēgšanās iespējas.
  10. Beidzot (pārtraucot) darbu ar informācijas sistēmu, pilnvarotā persona aizver pārlūkprogrammu.
  11. Pilnvarotā persona nedrīkst saņemto informāciju pārveidot, piedalīties tās pārdošanā vai cita veida atsavināšanā, reproducējot kopumā vai tās daļas, izmantot to citu datu apstrādes sistēmu izveidei, kā arī glabāt publiski pieejamās vietās.
  12. Ja ir aizdomas par tīšiem bojājumiem, kas ir radušies informācijas sistēmai paroles publiskošanas rezultātā vai citu iemeslu dēļ, pilnvarotā persona par to nekavējoties ziņo izglītības iestādes vadībai.
  13. Par pilnvarotā personas prettiesisku nodarījumu tiek piemērota normatīvajos aktos noteiktā atbildība.

  1. Noslēguma jautājums

  1. Atzīt par spēku zaudējušus šādus iekšējos kontroles sistēmas noteikumus:
  1. Daugavpils pilsētas 24. pirmsskolas izglītības iestades 2017.gada 1.septembra noteikumus Nr.19 “Bērnu personu datu apstrādes un aizsardzības noteikumi”;
  2. Daugavpils pilsētas 24. pirmsskolas izglītības iestades 2017.gada 1.septembra noteikumus Nr.20 “Darbinieku personu datu apstrādes aizsardzības iekšējie noteikumi”

Vadītāja                                                                              G. Fedorkiva