Personas datu apstrādes politika

Veiktās personas datu apstrādes vispārīgs raksturojums

AS CREFO Birojs (turpmāk CREFO) ir Latvijā licencēts kredītinformācijas birojs, kas darbojas saskaņā ar Kredītinformācijas biroju likumu (turpmāk - KBL). CREFO uztur kredītinformācijas biroja datubāzi un veic kredītinformācijas apstrādi saskaņā ar KBL un citiem normatīvajiem aktiem, ievērojot Vispārīgās datu aizsardzības regulas Nr.2016/679 (turpmāk – Regulas) prasības.

Informācija par Pārzini:

Akciju sabiedrība CREFO Birojs, reģ.Nr.40103947718, juridiskā adrese: Skanstes iela 50, Rīga, LV-1013, Latvija.

Kontaktinformācija:

tālr.+371 67339050, e-pasts: info@crefobirojs.lv, www.crefobirojs.lv.

Datu aizsardzības speciālists:

e-pasts: datuaizsardziba@crefobirojs.lv

Personas datu apstrādes nolūki

Kredītinformācijas biroja datubāzē tiek iekļauta informācija, kuru atbilstoši KBL un citu piemērojamo normatīvo aktu prasībām iesniedz CREFO lietotāji – dažādu pakalpojumu sniedzēji par klientu maksājuma saistībām vai kuru CREFO iegūst no KBL noteiktajiem kredītinformācijas avotiem, un kura tiek sniegta kredītinformācijas lietotājiem, kuriem pastāv leģitīms mērķis iegūt un apstrādāt personas datus dažādiem ar personas maksātspējas vērtēšanu vai kredītrisku pārvaldību saistītiem mērķiem. CREFO arī nodrošina attiecīgiem lietotājiem (atbilstoši Patērētāju tiesību aizsardzības likuma noteikumiem) datu saņemšanu no valsts informācijas sistēmas (piem., Valsts ieņēmumu dienests, Valsts sociālās apdrošināšanas aģentūra u.c.) Tāpat CREFO saviem klientiem nodrošina publiski pieejamu informāciju no Latvijas Republikas Uzņēmumu reģistra vestajiem reģistriem.
CREFO ir atbildīgs par to, lai biroja datubāzē iekļautās ziņas atbilstu kredītinformācijas lietotāja sniegtajām ziņām. Savukārt, par iegūto datu apmaiņu, izmantošanu un to apstrādes tiesisko pamatu atbild AS CREFO Birojs lietotāji.

Apstrādes tiesiskie pamati

CREFO kā kredītinformācijas birojam vispārīgais pamats personas datu apstrādei ir pārziņa leģitīmā interese (Regulas 6.panta 1.punkta “f” apakšpunkts), izņemot gadījumus, kad personas datu apstrāde izriet no pārziņa pienākuma izpildīt juridisku pienākumu saskaņā ar KBL vai cita normatīvā akta prasībām (Regulas 6.panta 1.punkta “c” apakšpunkts. Tāpat par tiesisko pamatu personas datu apstrādei var būt datu subjekta piekrišana (Regulas 6.panta 1.punkta “a” apakšpunkts, nodrošinot atbilžu sagatavošanu uz saņemtajiem iesniegumiem vai sūdzībām, vai reģistrējot lietotāju CREFO tīmekļa vietnē, izmantojot internetbankas autentifikāciju.

Datu subjektu un personas datu kategorijas

Atbilstoši KBL CREFO apstrādā datus par kredītinformācijas lietotāju klientiem un iespējamajiem klientiem, kā arī patērētājiem, kas vēršas pie kredīta devējiem saistībā ar iespēju saņemt kredītu, aizdevumu vai atlikto maksājumu vai tādu ir saņēmis.
CREFO apstrādā arī personas datus par subjektiem, kas reģistrējas vai lieto CREFO datu apstrādes sistēmu vai veic saziņu ar CREFO.
Atkarībā no datu subjektu kategorijas un apstrādes nolūka CREFO apstrādā personu identificējošu informāciju: vārds, uzvārds, personas kods u.c.; informāciju par saistībām normatīvajos aktos noteiktajā kārtībā un apjomā; kontaktinformāciju u.c.

Personas datu ieguves avoti

Pamatā CREFO personas datus iegūst no kredītinformācijas lietotājiem, kuri iekļauj ziņas CREFO datubāzē atbilstoši KBL. Personas dati var tikt iegūti arī no ārējiem avotiem, piemēram, publiskiem reģistriem, cita kredītinformācijas biroja lietotāju sniegtajām ziņām, citiem uzņēmumiem un valsts iestādēm, ja tam ir atbilstošs tiesiskais pamats, kā arī kredīta devējiem, kuriem pienākumu iegūt ziņas par patērētāju vai galvinieku saistībām un to izpildes gaitu nosaka likums. Tāpat personas dati var tikt iegūti no pašiem datu subjektiem, ja tie reģistrējas CREFO tīmekļa vietnē vai veic saziņu ar CREFO.

Personas datu saņēmēji

Personas datu saņēmēji pamatā ir CREFO lietotāji un datu subjekti. Personas dati var būt pieejami CREFO darbiniekiem, kuru darba pienākumos ietilpst attiecīgo datu apstrāde, kā arī citas personas, kas saistītas ar pakalpojuma sniegšanu, piemēram, grāmatveži, konsultanti, auditori vai citi ārpakalpojumu sniedzēji. Tāpat datu saņēmēji var būt citas trešās personas, kurām CREFO personas datus nodod kā apstrādātājs citu pārziņu uzdevumā, lai tās varētu novērtēt personas spēju izpildīt maksājuma saistības (Parādu ārpustiesas atgūšanas likumā noteiktajā kārtībā). Personas dati var tikt nodoti arī uzraudzības un tiesībsargājošām iestādēm.

Personas datu glabāšana

Personas dati tiek glabāti tik ilgi, cik nepieciešams atbilstoši attiecīgajiem datu apstrādes nolūkiem, ja vien ilgāka to glabāšana nav paredzēta vai atļauta KBL vai citos normatīvajos aktos.

• CREFO ziņas par kavētajām saistībām glabā 5 gadus pēc parāda samaksas dienas vai pēc dienas, kad parāda saistība ir izbeigusies uz cita tiesiska pamata, vai pēc dienas, kad parāds cedēts vai citādi pārgājis personai, kas nav cits kredītinformācijas lietotājs, bet ne ilgāk kā 10 gadus pēc pirmās maksājuma kavējuma dienas; vai arī 10 gadus pēc pirmās maksājuma kavējuma dienas, ja parādu nesamaksā.
• Ziņas par kredītinformācijas lietotāja pieprasījumu CREFO glabā vienu gadu pēc šā pieprasījuma saņemšanas dienas, ja normatīvajos aktos nav noteikts cits glabāšanas termiņš.
• CREFO datubāzē iekļautās ziņas par izpildītajām maksājuma saistībām, izņemot ar parādiem saistītās ziņas, CREFO ir tiesīgs glabāt 10 gadus pēc saistību pilnīgas izpildes, ja nav saņemts datu subjekta pieprasījums glabāt minētos datus ilgāk.
• Ziņas, ko var iegūt no publiskiem vai publiski pieejamiem reģistriem, CREFO ir tiesīgs glabāt tik ilgi, kamēr tas nepieciešams kredītinformācijas apstrādes mērķiem, bet ne ilgāk par laiku, kamēr šīs ziņas ir pieejamas attiecīgajā reģistrā.
• Personas datus, lai pierādītu savu saistību izpildi, CREFO glabās atbilstoši vispārējam prasības noilguma termiņam, saskaņā ar normatīvajos aktos noteiktiem prasījumu noilgumu termiņiem (10 gadi Civillikumā, 3 gadi Komerclikumā) un citiem termiņiem, ņemot vērā arī Civilprocesa likumā noteiktos termiņus prasību celšanai.
• Datu subjekta tiesību īstenošanas pieprasījumā norādītie personas dati un pats pieprasījums tiks saglabāts 5 gadus no CREFO atbildes sniegšanas datuma, lai saglabātu pierādījumus par datu subjekta tiesību īstenošanu.
• Ja CREFO veiktā datu apstrāde notiek, pamatojoties uz lietotāja sniegtu piekrišanu, tad dati tiks apstrādāti, kamēr lietotāja piekrišana ir spēkā, un tā nav atsaukta.

Datu drošība un trešās valstis

CREFO informācijas sistēma un personas datu apstrādes drošība un organizatoriskā pārvaldība tiek nodrošināta atbilstoši normatīvajiem aktiem par fizisko personu datu aizsardzību un Informācijas drošības pārvaldības standarta ISO 27001:2022 prasībām. Personas dati netiek apstrādāti ārpus Eiropas Savienības/Eiropas Ekonomiskās zonas (ES/EEZ) vai valstī, kurā netiek nodrošinātas atbilstošas personas datu apstrādes garantijas, vai arī nav pieņemts Eiropas Komisijas lēmums par personas datu apstrādes adekvātumu attiecīgajā valstī.

Tehnisko un organizatorisko prasību vispārīgs apraksts

CREFO spēkā esošā tiesiskā regulējuma ietvaros nodrošina personas datu konfidencialitāti un tehniskos un organizatoriskos pasākumus to aizsardzībai no neatļautas piekļuves vai citādas nelikumīgas apstrādes. Personas datu apstrādi var veikt tikai tādi darbinieki, kuriem tas ir nepieciešams, lai veiktu noteiktos pienākumus un kuri ir atbilstoši apmācīti. Datu apstrāde tiek veikta gan elektroniski, gan papīra formātā.

Datu subjekta tiesības

Datu subjekts var īstenot tiesības uz piekļuvi saviem personas datiem, ierosināt personas datu labošanu, personas datu apstrādes ierobežošanu un kļūdainu vai nelikumīgi iekļauto ziņu dzēšanu atbilstoši KBL un Regulas noteikumiem. CREFO izskatīs datu subjekta lūgumu un sniegs atbildi, ievērojot KBL nostiprināto principu, ka par nodoto datu pareizību atbild CREFO lietotājs.
Datu subjekts var sazināties ar CREFO saistībā ar jautājumiem par datu subjekta piekļuves saviem datiem tiesību īstenošanu, datu labošanu, kā arī sūdzībām par personas datu apstrādi, rakstot: datuaizsardziba@crefobirojs.lv vai Skanstes iela 50, Rīga, LV-1013 ar norādi “Datu aizsardzība”.
Ja Jums ir kādi jautājumi vai iebildumi saistībā ar CREFO veikto Jūsu personas datu apstrādi, mēs aicinām Jūs vērsties pie mums. Ja Jūs tomēr uzskatāt, ka Jūsu tiesības uz personas datu aizsardzību ir pārkāptas, Jums ir tiesības iesniegt sūdzību personas datu aizsardzības uzraudzības iestādei – Datu valsts inspekcijai, Rīgā, Elijas ielā 17, LV-1050.

v.2. Pārskatīts: 01.10.2024