Privātuma paziņojums

APSTIPRINĀTS
ar AS “Pasažieru vilciens” valdes
2024. gada 21. marta
lēmumu Nr.15-1

AS “Pasažieru vilciens” privātuma paziņojums

I.    Vispārīgie noteikumi

1.    Privātuma paziņojuma mērķis ir sniegt fiziskai personai – datu subjektam informāciju par AS “Pasažieru vilciens” (turpmāk – Sabiedrība) veikto fizisko personu datu apstrādi. 
2.    Privātuma paziņojumu piemēro privātuma un personas datu aizsardzības nodrošināšanai attiecībā uz šādām fiziskām personām (turpmāk visi kopā – Klienti):
2.1.    fiziskajām personām – Sabiedrības pasažieriem;
2.2.    Sabiedrības ēku apmeklētājiem, attiecībā uz kuriem tiek veikta videonovērošana;
2.3.    Sabiedrības interneta vietņu apmeklētājiem.
3.    Sabiedrība rūpējas par Klientu privātumu un personas datu aizsardzību un ievēro Klientu tiesības uz personas datu apstrādes likumību saskaņā ar piemērojamajiem tiesību aktiem – Eiropas Parlamenta un padomes 2016. gada 27. aprīļa Regulu 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Regula), Fizisko personu datu apstrādes likumu un citiem piemērojamajiem normatīvajiem aktiem privātuma un datu apstrādes jomā.
4.    Privātuma paziņojums ir attiecināms uz datu apstrādi neatkarīgi no tā, kādā formā un vidē Klienta personas dati tiek apstrādāti (klātienē, Sabiedrības interneta vietnē, papīra formātā, telefoniski vai izmantojot mobilo lietotni, vai videonovērošanas veidā).

II.    Pārzinis un tā kontaktinformācija

5.    Personas datu apstrādes pārzinis ir Sabiedrība, vienotās reģistrācijas Nr. 40003567907, juridiskā adrese: Pērses iela 8, Rīga, LV-1011.
6.    Kontaktinformācija ar personas datu apstrādi saistītajos jautājumos: tālr. nr.: 67234009, uz kuru zvanot jūs varat noskaidrot kā sazināties ar mūsu personas datu speciālistu, e-pasta adrese: datuaizsardziba@vivi.lv. Izmantojot šo kontaktinformāciju vai vēršoties Sabiedrības juridiskajā adresē, var uzdot jautājumus par personas datu apstrādi Sabiedrībā. Pieprasījumu par savu datu subjekta tiesību īstenošanu var iesniegt saskaņā ar 22. punktu.
7.    Sabiedrības kontaktinformācija informēšanai par iespējamiem datu aizsardzības pārkāpumiem: datuaizsardziba@vivi.lv.

III.    Personas datu apstrādes nolūki

8.    Sabiedrība apstrādā personas datus šādiem nolūkiem:
8.1.    pakalpojumu sniegšanai;
8.2.    pakalpojumu kvalitātes nodrošināšanai;
8.3.    klienta identificēšanai;
8.4.    biļešu tirdzniecības nodrošināšanai;
8.5.    braukšanas maksas atvieglojumu piešķiršanai;
8.6.    norēķinu administrēšanai;
8.7.    parādu piedziņai no debitoriem;
8.8.    prettiesisku nodarījumu novēršanai;
8.9.    klientu iebildumu izskatīšanai;
8.10.    vilcienu satiksmes negadījumu izmeklēšanai;
8.11.    mobilās lietotnes uzturēšanai;
8.12.    interneta vietnes www.vivi.lv uzturēšanai;
8.13.    korupcijas un interešu konflikta riska novēršanai;
8.14.    noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanai.  


IV.    Personas datu apstrādes tiesiskais pamats

9.    Sabiedrība apstrādā Klientu personas datus, balstoties uz šādiem tiesiskajiem pamatiem:
9.1.    Darījuma ar fizisku personu noslēgšanai un izpildei – piemēram, datu apstrāde, kas tiek veikta, nodrošinot biļešu iegādi; 
9.2.    Juridisko pienākumu izpildei – šāda datu apstrāde tiek veikta, lai izpildītu Sabiedrībai saistošos ārējos normatīvajos aktos noteiktus pienākumus - piemēram, piemērotu braukšanas maksas atvieglojumus;
9.3.    Sabiedrības leģitīmo interešu aizsardzībai – apstrāde, kas tiek veikta, lai aizsargātu Sabiedrības likumīgās komerciālas intereses (piemēram, veiktu parādu piedziņu), kā arī Sabiedrības drošības intereses (videonovērošanas veikšana).  
9.4.    Apstrāde ir vajadzīga, lai aizsargātu datu subjekta (klienta) vai citas fiziskas personas vitālas intereses (piemēram, veicot videonovērošanu vagonos un peronos).

V.    Personas datu apstrāde

10.    Sabiedrība apstrādā Klienta datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Sabiedrībai pieejamos organizatoriskos, finansiālos un tehniskos resursus.
11.    Sabiedrība attiecībā uz Klientu neveic automatizētu lēmumu pieņemšanu. 

VI.    Personas datu aizsardzība

12.    Sabiedrība aizsargā Klienta datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Sabiedrībai pieejamos organizatoriskos, finansiālos un tehniskos resursus, tajā skaitā izmantojot šādus drošības pasākumus:
12.1.    kontrolētu un aizsargātu piekļuvi Sabiedrības īpašumam;
12.2.    Sabiedrības īpašuma uzraudzību ar video novērošanas un piekļuves kontroles sistēmu palīdzību; 
12.3.    ugunsmūri;
12.4.    ielaušanās aizsardzības un atklāšanas programmas;
12.5.    ierobežotas pieejas Sabiedrības informācijas sistēmām;
12.6.    drošas paroles;
12.7.    darbinieku izglītošanu datu aizsardzības jautājumos;
12.8.    parakstot konfidencialitātes saistību rakstus ar Sabiedrības darbiniekiem un ārpakalpojumu sniedzējiem.

VII.    Personas datu nodošana

13.    Sabiedrība neizpauž trešajām personām Klientu personas datus, izņemot šādus gadījumus: 
13.1.    Norēķinu veikšanai ar Klientu:
Sabiedrība  izmanto a/s “Citadele banka” risinājumus maksājumu saņemšanai: “KLIX” (maksājumu kartēm) un MultiLink (internetbanku maksājumiem). Šo pakalpojumu ietvaros Klienta (maksātāja) dati, kas ir nepieciešami maksājuma veikšanai, tiek nodoti a/s “Citadele banka”. A/s “Citadeles banka” ar saņemtajiem personas datiem rīkojas kā patstāvīgs pārzinis saskaņā ar Eiropas Savienības un Latvijas normatīvajos aktos ietvertajiem kredītiestādēm saistošajiem pienākumiem, KLIX un MultiLink lietošanas noteikumiem un Privātuma aizsardzības noteikumiem. Informāciju par a/s “Citadele banka” veikto datu apstrādi var saņemt, rakstot uz gdpr@citadele.lv;
13.2.    saskaņā ar Klienta skaidru un nepārprotamu piekrišanu;
13.3.    ārējos normatīvajos aktos paredzētajām personām pēc viņu pamatota pieprasījuma (piemēram tiesībsargājošajām iestādēm, glābšanas dienestiem u.tml.);
13.4.    Sabiedrības leģitīmo interešu aizsardzībai piemēram, sniedzot personas datus ārpustiesas parādu pakalpojumu sniedzējiem parādu piedziņai no debitoriem.
14.    Sabiedrība nodod personas datus trešajām personām, nodrošinot, ka attiecīgās trešās personas saglabā personas datu konfidencialitāti un nodrošina piemērotu aizsardzību.
15.    Sabiedrība ir tiesīga nodot personas datus Sabiedrības apakšuzņēmējiem, kas palīdz Sabiedrībai nodrošināt tās funkciju izpildi. 
16.    15. punktā minētajā gadījumā Sabiedrības apakšuzņēmēji, kas saņem un apstrādā personas datus, ir uzskatāmi par personas datu apstrādātājiem Regulas izpratnē, ar tiem tiek slēgts rakstveida līgums, kurā tiek noteikts, ka Sabiedrība pieprasa no datu saņēmējiem apņemšanos izmantot saņemto informāciju tikai tiem nolūkiem, kuru dēļ dati tika nodoti, un saskaņā ar piemērojamo normatīvo aktu prasībām datu apstrādes un datu aizsardzības jomā. Sabiedrības piesaistītie apstrādātāji savas kompetences ietvaros ievēro Privātuma paziņojumā noteikto.

VIII.    Trešo valstu subjektu piekļuve personas datiem

17.    Sabiedrība nenodod personas datus trešajām valstīm (valstīm, kas atrodas ārpus Eiropas Savienības un Eiropas Ekonomiskās zonas), izņemot atsevišķus gadījumus, kad Sabiedrības sīkdatņu  informācija var tikt apstrādāta, izmantojot ASV reģistrētus apstrādātājus, kuri nodrošina Eiropas Savienības datu aizsardzības līmenim līdzvērtīgu datu aizsardzības līmeni.

IX.    Personas datu glabāšanas ilgums

18.    Sabiedrība glabā un apstrādā Klientu personas datus, kamēr pastāv vismaz viens no šiem kritērijiem:
18.1.    kamēr Sabiedrībai pastāv normatīvajos aktos noteikts pienākums datus glabāt (piemēram, maksājumu informāciju);
18.2.    kamēr tiek pilnībā izskatīts un/vai izpildīts Klienta lūgumā/iesniegumā minētais; 
18.3.    kamēr tiek veikta parādu piedziņa no Sabiedrības debitoriem;
18.4.    kamēr ir spēkā Klienta piekrišana attiecīgai personas datu apstrādei, ja nepastāv cits datu apstrādes tiesiskais pamats;
18.5.    videonovērošanas ceļā iegūtie personas dati (videoieraksti) tiek glabāti ne ilgāk par 30 dienām no to veikšanas dienas (izņemot, ja videoieraksts tiek izmantots vilcienu satiksmes incidentu izmeklēšanai);
18.6.    Zvanu centrā ienākošo sarunu audioieraksti kvalitātes kontrolei – 3 mēneši; 
18.7.    Iesniegumi tiek glabāti saskaņā ar Sabiedrības noteikto lietu nomenklatūru.

19.    Pēc tam, kad 18. punktā minētie apstākļi izbeidzas, Klienta personas dati tiek dzēsti. Sabiedrības informācijas sistēmu auditācijas pieraksti tiek saglabāti vismaz vienu gadu no to veikšanas dienas. Paaugstinātas drošības sistēmu auditācijas pieraksti tiek glabāti 18 (astoņpadsmit) mēnešus saskaņā ar normatīvajos aktos noteiktajām prasībām.

X.    Piekļuve personas datiem un citas Klienta tiesības

20.    Klientam ir tiesības saņemt normatīvajos aktos noteikto informāciju saistībā ar viņa datu apstrādi.
21.    Klientam saskaņā ar normatīvajiem aktiem ir arī tiesības pieprasīt Sabiedrībai piekļuvi saviem personas datiem, kā arī pieprasīt Sabiedrībai veikt to papildināšanu, labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz Klientu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību. 
22.    Klients var iesniegt pieprasījumu par savu tiesību īstenošanu:
22.1.    rakstveida formā klātienē Sabiedrībā, uzrādot personu apliecinošu dokumentu;
22.2.    elektroniskā pasta veidā, parakstot vēstuli ar drošu elektronisko parakstu un nosūtot uz e-pasta adresi datuaizsardziba@vivi.lv;
22.3.    nosūtot Sabiedrībai rakstveida vēstuli. Atbilde uz šādā veidā izteiktu pieprasījumu vienmēr tiek sūtīta ierakstītas vēstules veidā, adresējot to datu subjektam (personai, kuras personas dati ir pieprasīti).
23.    Saņemot Klienta pieprasījumu par savu tiesību īstenošanu, Sabiedrība pārliecinās par Klienta identitāti, izvērtē pieprasījumu un izpilda to saskaņā ar normatīvajiem aktiem.
24.    Sabiedrība sniedz atbildi Klientam pēc iespējas, ņemot vērā Klienta norādīto atbildes saņemšanas veidu.
25.    Sabiedrība nodrošina datu apstrādes un aizsardzības prasību izpildi saskaņā ar normatīvajiem aktiem un Klienta iebildumu gadījumā veic lietderīgas darbības, lai iebildumu atrisinātu. Tomēr, ja tas neizdodas, Klientam ir tiesības vērsties uzraudzības iestādē – Datu valsts inspekcijā.
26.    Klientam ir tiesības saņemt bez maksas reizi gadā vienu kopiju ar saviem Sabiedrības apstrādē esošiem personas datiem.
27.    Privātuma paziņojuma 26. punktā minētās informācijas saņemšana un/vai izmantošana var tikt ierobežota ar mērķi novērst nelabvēlīgu ietekmi uz citu personu (tostarp, Sabiedrības darbinieku) tiesībām un brīvībām.

XI.    Informācijas sniegšana par Sabiedrības pakalpojumiem

28.     Saziņu par Sabiedrības pakalpojumiem (jaunumiem) Sabiedrība veic saskaņā ar Klienta piekrišanu.
29.    Klients piekrišanu informācijas par Sabiedrības pakalpojumiem  saņemšanai var dot Sabiedrības interneta vietnē  un mobilajā lietotnē.
30.    Klienta 29.punktā  minētā  piekrišana ir spēkā līdz tās atsaukumam. Klients jebkurā laikā var atteikties no turpmākas informācijas saņemšanas kādā no šādiem veidiem:
30.1.    nosūtot e-pastu uz adresi, no kuras ir nosūtīts attiecīgais Sabiedrības paziņojums;
30.2.    izmantojot paziņojumā paredzēto automatizēto iespēju atteikties no turpmāku paziņojumu saņemšanas, noklikšķinot uz atteikšanās norādes attiecīgā paziņojuma (e-vēstules) beigās.

XII.    Mājaslapu apmeklējumi un sīkdatņu apstrāde

31.    Sabiedrības interneta vietnes var izmantot sīkdatnes. 
32.    Informācija par Sabiedrības interneta vietnē izmantotajām sīkdatnēm

XIII.    Citi noteikumi

33.    Sabiedrībai ir tiesības veikt papildinājumus Privātuma paziņojumā, padarot tos pieejamu Klientiem, ievietojot Sabiedrības interneta vietnē.