I Definīcijas
- Uzņēmums – sabiedrība ar ierobežotu atbildību “Ādas veselības klīnika”, reģistrācijas numurs: 45403055815, juridiskā adrese: Liedaga iela 18, k-1, Jūrmala, LV-2015, kas ir darba devējs ikvienam darbiniekam, kurš ir nodarbināts uz darba līguma pamata.
- Tiešais vadītājs – Uzņēmuma pārstāvis, kurš ir norādīts attiecīgā Darbinieka Darba līgumā vai iecelts ar Uzņēmuma rīkojumu kā Darbinieka tiešais vadītājs.
- Darbinieks – Uzņēmumā nodarbināta fiziska persona.
- Mājas lapa – Uzņēmuma mājas lapa internetā – www.ādasveselībasklīnika.lv.
- Klients – Uzņēmuma sadarbības partneris, kam Uzņēmums sniedz jebkāda veida pakalpojumus.
- Partneris – ar Uzņēmumu saistītās fiziskas vai juridiskās personas (piem., IT vai sakaru pakalpojumu sniedzēji, IT iekārtu vai pakalpojumu piegādātāji, medicīnas ierīču, zāļu piegādātāji u.c.);
- Pakalpojums – jebkāda veida ārpakalpojumi, kas tiek sniegti Klientam.
- IS – Uzņēmumā lietotā informācijas sistēma (iekavās norādot kura konkrēti).
- Darbinieka personas dati – Darbinieka dati, kas atrodas Uzņēmuma lietvedībā par katru tās darbinieku, kas atbilst personas datu jēdzienam normatīvo aktu ietvaros.
- Politika – šī Informācijas drošības politika.
- Trešā persona – jebkura persona, kas nav saistīta ar Uzņēmumu.
II Politikas mērķis un materiālā darbības joma
- Uzņēmuma informācijas drošības sistēmas mērķis ir pasargāt Uzņēmuma darbiniekus, partnerus un klientus no nelikumīgām vai kaitējošām personu tiešām vai netiešām, apzinātām vai neapzinātām darbībām, apstrādājot Uzņēmuma informāciju, kā arī lietojot noteiktu aprīkojumu savu darba pienākumu izpildes vajadzībām.
- Politika regulē informācijas apstrādi jebkādās sistēmās vai jebkādos nesējos, kas iesaistīti datu/informācijas apstrādē Uzņēmumā, neatkarīgi no tā, vai datu/informācijas apstrāde ir saistīta ar Uzņēmuma iekšējām komercdarbības operācijām vai ārējām attiecībām ar Partneriem vai jebkādām trešajām pusēm.
- Šī Politika regulē arī to, kā Darbinieki lieto tiem pieejamo aprīkojumu un rīkus, veicot savus darba pienākumus Uzņēmumā.
- Politika var būt piemērojama kopā ar jebkādām citām politikām, noteikumiem, procedūrām un/vai vadlīnijām, ko pieņem un ievieš Uzņēmums.
- Ar visiem informācijas drošības sistēmas jautājumiem un informācijas/datu drošības jautājumiem, kas nav atrunāti šajā Politikā, darbiniekam jāvēršas pie tiešā vadītāja.
III Informācijas klasifikācija
- Jebkādu informāciju/datus, kas kļūst pieejami Darbiniekiem, veicot savus darba pienākumus, ja šāda informācija/dati ir saistīti ar Uzņēmumu un tā darbību, klientiem vai sadarbības partneriem, ir jāuzskata par Uzņēmumam piederošu un konfidenciālu informāciju, ko, aizsargā atbilstoši piemērojamie normatīvie akti par konfidenciālas informācijas, tirdzniecības, komercnoslēpumu un personas datu aizsardzību.
- Lai nodrošinātu pienācīgu informācijas un datu aizsardzību, Uzņēmums veic iekšējo informācijas klasifikāciju. Informāciju/datus aizsargā neatkarīgi no tā, vai šāda informācija ir nonākusi Darbinieka rīcībā drukātu materiālu veidā, jebkādās datu uzglabāšanas ierīcēs, audio/video materiālu veidā vai jebkādā citā veidā.
- Uzņēmums lieto šādu vispārīgu informācijas klasifikāciju:
Kategorija | Apraksts | Piemērojamības apjoms (nav izsmeļošs) |
Publiska informācija | Informācija, kuru var apstrādāt un izplatīt Uzņēmuma iekšienē vai ārpus tā, bez jebkādas negatīvas ietekmes uz Uzņēmumu, jebkuru no tā partneriem, klientiem un/vai saistītajām pusēm. | Publiski finanšu pārskati, kurus sniedz valsts iestādēm; Informācija, kas pieejama publiskos resursos vai ir kā citādi publiski zināma, ja vien tā nav kļuvusi publiski zināma dēļ tā, ka Darbinieks rīkojies, pārkāpjot informācijas/datu drošības prasības. |
Iekšējā informācija | Jebkāda informācija, kuras jebkāda veida lietošana, ja tas notiek, pārkāpjot piemērojamo normatīvo aktu, šīs Politikas vai jebkura cita Uzņēmuma pieņemta regulējuma prasības, var kaitēt Uzņēmuma un/vai jebkura tā Darbinieka, partnera, klientu interesēm. | Jebkura Uzņēmuma Darbinieka, struktūrvienības izstrādāti un/vai sagatavoti dokumenti; Jebkādi Uzņēmuma komercdarbības mērķiem izveidoti un/vai lietoti katalogi (kontaktu, informācijas, u. tml.); Jebkādi iekšēji dienesta ziņojumi, paziņojumi, izziņas, slēdzieni, kas izstrādāti Uzņēmuma komercdarbības vajadzībām. |
Konfidenciāla informācija | Jebkāda informācija, kas ir tik būtiska Uzņēmumam, jebkuram no tā klientiem un/vai partneriem vai saistītajām pusēm, kuras neautorizēta izpaušana var negatīvi ietekmēt Uzņēmuma, tā dalībnieku/akcionāru, klientu un/vai sadarbības partneru komercdarbību, operācijas, reputāciju, statusu kopumā, un šādas izpaušanas rezultātā jebkurai no šīm personām var tikt nodarīts nopietns kaitējums. | Politikas, procedūras, iekšējie noteikumi, vadības lēmumi; Informācija, kas Darbiniekam norādīta kā Uzņēmuma komercnoslēpums; Cita finanšu, cilvēkresursu, juridiskas, mārketinga dabas informācija, pārdošanas procedūras, plāni un operācijas; Biznesa, produkcijas plāni; Personas identifikācijas dati; Informācija, ko aizsargā katra Darbinieka parakstīta konfidencialitātes vienošanās; Informācija, ko aizsargā konfidencialitātes vienošanās vai sadarbības līgumi, ko Uzņēmums ir noslēdzis savas komercdarbības gaitā; Visa informācija, kas iegūta, darbiniekam ir pieejama vai izveidota sadarbībā ar Partneriem; Visa informācija, kas iegūta, darbiniekam ir pieejama vai izveidota sadarbībā ar Klientiem; Veikto un plānoto darbu saraksti; Piekļuves dati Partneru un Klientu informācijas sistēmām. |
IV Datu/informācijas apstrādē iesaistītās sistēmas
- Jebkādas informācijas sistēmas, tostarp, bet ne tikai datortehnika, jebkāda veida programmatūra, operētājsistēmas, jebkādas uzglabāšanas vides, tīkla konti, elektroniskā pasta konti, pārlūku sistēmas un jebkāda cita tehniskā bāze un rīki, ko izmanto Uzņēmuma darbībā, uzskatāmi par Uzņēmuma īpašumu.
- Ikvienam Darbiniekam ir pienākums lietot šādu tehnisko aprīkojumu un rīkus ar pienācīgu rūpību un uzmanību, un tikai ar Uzņēmuma komercdarbību saistītiem mērķiem. Vienīgais izņēmums ir gadījumi, kad Uzņēmums ir piešķīris Darbiniekam tehnisko aprīkojumu (piemēram, mobilā tālruņa vai portatīvā datora ierīci), sniedzot skaidru piekrišanu to lietot arī personīgām vajadzībām.
V Darbinieku pienākumi
- Jebkāda informācija/dati, kas nonāk Darbinieka rīcībā, pildot savus darba pienākumus, uzskatāmi par konfidenciāliem un lietojami kā konfidenciāli, ievērojot to aizsardzību saskaņā ar šo Politiku, un tos neizpauž nekādām trešajām personām, kamēr un ja vien Vadība nepaziņo, ka šāda informācija ir kļuvusi publiska vai ir kā citādi pārklasificēta par informāciju, kas vairs netiek aizsargāta šajā Politikā paredzētajā kārtībā.
- Visus personas datus un citu informāciju, ar kuras palīdzību var identificēt fizisku personu, ievāc un apstrādā tikai, ja tas ir vajadzīgs un ciktāl tas ir vajadzīgs Darbinieka darba pienākumu veikšanas nolūkā, ar nosacījumu, ka šādas darbības tiek veiktas Darbiniekam piešķirto pilnvaru robežās un saskaņā ar likumā paredzētajām datu aizsardzības prasībām (jo īpaši, saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) un Uzņēmuma iekšējiem noteikumiem “Fizisko personu datu apstrādes un aizsardzības noteikumi”).
- Jebkādus datu pieprasījumus un/vai pieprasījumus par datu apstrādi, ko Darbinieks, veicot savus darba pienākumus, ir saņēmis no datu īpašniekiem – fiziskām personām, nekavējoties nosūta turpmākai izskatīšanai Vadībai.
- Ikvienam Darbiniekam ir pienākums ievērot šo Politiku, kā arī pildīt spēkā esošo nacionālo vai starptautisko normatīvo aktu prasības, kas paredz informācijas/datu apstrādes un aizsardzības nosacījumus. Politikas neievērošanu uzskata par būtisku noteiktās darba kārtības pārkāpumu un tā rezultātā, pēc Uzņēmuma ieskatiem, Darbiniekam var piemērot disciplinārsodu vai atlaist Darbinieku no darba. Tas tāpat var izraisīt pārkāpumu pieļāvušā Darbinieka saukšanu pie administratīvās vai kriminālās atbildības.
VI Piekļuves un aizsardzības pārvaldība
- Darbinieki var piekļūt jebkādām Darbiniekiem pieejamām ierīcēm, ja tas vajadzīgs attiecīgo Darbinieku darba pienākumu veikšanas vajadzībām, atbildības ietvaros un uz zinātvajadzības pamata. Piekļuves tiesības jebkādai sistēmai nenozīmē, ka Darbinieks ir pilnvarots apstrādāt visu attiecīgajā sistēmā esošo informāciju.
- Izmantotie lietotāja ID ir unikāli un identificē konkrētu Darbinieku. Ikviens Darbinieks atbild par visām darbībām kas saistītas ar viņa/viņas personīgo ID kontu, līdz ar to, primārais pienākums ir nodrošināt, lai Darbinieka ID nebūtu pieejams nekādām trešajām personām un pat ne citiem Darbiniekiem, ja vien Uzņēmums nav noteicis citu kārtību.
- Sistēmas drošības paroles jāizveido ar pienācīgu rūpību, ar nosacījumu, ka tās nevar viegli atminēt, tās neietver personas datus un tās tiek regulāri mainītas (vismaz reizi 6 (sešos) mēnešos). Ikviens Darbinieks personīgi atbild par savas drošības paroles atbilstību šai Politikai un jebkādiem citiem Uzņēmuma noteikumiem.
- Darbinieks piekļūst konfidenciālai informācijai/datiem tikai, ja šādas pilnvaras ir paredzētas attiecīgā Darbinieka Darba līgumā, un/vai ja Uzņēmums ir piešķīris Darbiniekam šādas pilnvaras.
VII Drošības pasākumi
- Visiem jebkādā formā (drukātā, elektroniskā, u.tml.) ievāktiem un apstrādātiem datiem un informācijai piemērojamas šīs Politikas un jebkāda normatīvā regulējuma prasības attiecībā uz datu/informācijas ievākšanu, apstrādi, aizsardzību un uzglabāšanu, un šādus dokumentus uzglabā Uzņēmuma norādītā, drošā vietā ar tādu uzglabāšanas termiņu, kādu paredz piemērojamie likumi un/vai norāda Uzņēmums.
- Darbiniekiem aizliegts glabāt jebkādu konfidenciālu informāciju savās ierīcēs, izņemot informāciju, kas ir īslaicīgi nepieciešama konkrētai, ar darbu saistītai darbībai. Visa nepieciešamā konfidenciālā un personīgi identificējamā informācija jāuzglabā tikai Uzņēmuma IT personāla apstiprinātā tehniskajā risinājumā. Ir jāizvairās no jebkādas šādu datu lejupielādēšanas vietējās ierīcēs un tas jādara tikai, ja tas ir pamatoti nepieciešams saistībā ar informācijas apstrādi darba vajadzībām.
- Pienācīgi pilnvarots Uzņēmuma IT personāls ir tiesīgs filtrēt un pārraudzīt Darbinieku interneta piekļuvi un Darbinieku internetā veiktās darbības saskaņā ar piemērojamo normatīvo aktu prasībām.
- Jebkurām mobilajām, portatīvajām ierīcēm (tostarp, klēpjdatoriem, planšetēm, viedtālruņiem un citām plaukstdatoru ierīcēm), kā arī jebkādām informācijas uzglabāšanas vietām Internetā jābūt apstiprinātām no Uzņēmuma IT personāla puses un pienācīgi aizsargātām, lai novērstu neautorizētu piekļuvi.
- Uzņēmumā lietotajā aprīkojumā un rīkos var instalēt un lietot tikai Uzņēmuma licencētas un autorizētas sistēmas un programmatūru. Pirms jebkādas programmatūras lejupielādēšanas vai instalēšanas Darbiniekiem piederošās un lietotās ierīcēs šajā Politikā aprakstītajiem mērķiem, ir jāsaņem tiešā vadītāja un IT personāla atļauja.
- Gadījumos, kad Darbinieki lieto personīgās (mājas) ierīces, lai piekļūtu Uzņēmuma korporatīvajiem resursiem, Darbiniekiem ir pienākums ievērot šīs Politikas prasības tieši tāpat kā ja viņi lietotu Uzņēmuma nodrošināto aprīkojumu.
- Jebkurā gadījumā, ir stingri aizliegts izmantot publiskas piekļuves ierīces vai tīklus (piemēram, interneta kafejnīcās, bibliotēkās, u.tml.), ja vien tas nav kritiski un steidzami nepieciešams saistībā ar darbu un Darbinieka Tiešais vadītājs ir sniedzis skaidru piekrišanu šādai darbībai.
- Tiklīdz, pēc Uzņēmuma ieskatiem, aizsargātie dati/informācija vairs nav vajadzīga Uzņēmuma darbībai vai sadarbībai ar Partneriem vai klientiem, tad šādus datus/informāciju dzēš, uznīcina visas to kopijas, un attiecīgās informācijas/datu apstrādē iesaistītos Darbiniekus attiecīgi informē par viņu pienākumu dzēst/iznīcināt un nodot atpakaļ Uzņēmumam informāciju/datus, kas viņiem vairs nav vajadzīgi savu darba pienākumu veikšanai, un, jo īpaši, atdot atpakaļ Uzņēmumam, dzēst un iznīcināt kopijas, ja ar attiecīgo Darbinieku tiek izbeigtas darba tiesiskās attiecības.
- Nekādu šajā Politikā minēto iekšējo vai konfidenciālo informāciju/datus nenosūta, nepārsūta un nekādā citā veidā neiesniedz Trešajai personai, ja vien tas nav vajadzīgs Darbinieka konkrētā uzdevuma izpildei, un tikai ciktāl tas ir vajadzīgs šādu pienākumu izpildei. Visi šādi gadījumi ir jāsaskaņo ar Vadītāju un, ja šādus datus tomēr pārsūta vai iesniedz Trešajām personām, ir noteikti jānodrošina pienācīga datu aizsardzība, jāveic visi atbilstošie drošības pasākumi.
- Uzņēmums auditē informācijas/datu apstrādē pielietotās sistēmas, lai kontrolētu nepārtrauktu atbilstību šai Politikai un piemērojamajām normatīvajām prasībām.
VII Aizliegtās darbības
- Izņemot īpaši paredzētus izņēmumus, Uzņēmumam piederošu aprīkojumu, sistēmas vai rīkus nav atļauts izmantot ar Darbinieka darba pienākumiem vai ar Uzņēmuma darbību nesaistītiem mērķiem.
- Turpmāk minētās darbības ir stingri aizliegtas bez izņēmumiem:
41.1. jebkuras personas vai uzņēmuma ar intelektuālā īpašuma tiesībām aizsargātu tiesību pārkāpšana, tostarp, bet ne tikai jebkādas nelegālas programmatūras, tiešsaistes platformu, jebkādu citu elektronisko saturu, kurus Uzņēmums nav licencēts lietot, uzstādīšana, kopēšana, izplatīšana vai uzglabāšana jebkādās Uzņēmuma sistēmās vai aprīkojumā;
41.2. ar autortiesībām aizsargātu materiālu neautorizēta kopēšana;
41.3. jebkuras personas tiesību aizskaršana, pārmērīgi vai bez vajadzības ievācot un apstrādājot attiecīgā subjekta personas datus;
41.4. piekļuve datiem, serverim vai kontam tādiem mērķiem, kas nav saistīti ar Uzņēmuma komercdarbību, vai attiecīgā Darbinieka darba pienākumu veikšanu Uzņēmumā;
41.5. programmatūras, tehniskās informācijas, šifrēšanas programmatūras vai tehnoloģijas eksportēšana, pārkāpjot piemērojamos starptautiskos vai nacionālos normatīvos aktus un/vai Uzņēmuma norādījumus;
41.6. jebkādu datu vai informācijas, kurai ir īpašuma un/vai konfidenciāla vērtība Uzņēmumam, eksportēšana, ja šāda eksportēšana nav nepieciešama Uzņēmuma komercdarbības vai Darbinieka darba pienākumu veikšanas gaitā, un/vai, ja tā pārkāpj Uzņēmuma iekšējos noteikumus, piemērojamos normatīvos aktus;
41.7. darbinieka konta paroles atklāšana citām personām un citu personu pielaišana lietot šādu kontu (tostarp, bet neaprobežojoties ar Darbinieka ģimenes locekļiem);
41.8. krāpniecisku produkcijas, preču vai pakalpojumu piedāvājumu izveide, izmantojot Uzņēmuma kontu;
41.9. tīkla sakaru drošības pārkāpumu vai pārtraukumu īstenošana. Šādi drošības pārkāpumi iekļauj, bet tie neaprobežojas ar piekļuvi datiem, ja Darbinieks nav to paredzētais saņēmējs, vai pierakstīšanos serverī vai kontā, kuram Darbinieks nav skaidri pilnvarots piekļūt, ja vien šādas piekļuves tiesības nav piešķirtas Darbiniekam saistībā ar attiecīgā Darbinieka dalību konkrētā Uzņēmuma projektā;
41.10. jebkādas programmas/skripta/komandas lietošana vai jebkāda veida ziņojuma nosūtīšana, ar nolūku ar jebkādiem līdzekļiem traucēt vai atspējot lietotāja darba sesiju.