1. Datu apstrādes pārzinis
1.1. CERT.LV personas datu apstrādes pārzinis ir:
| Nosaukums | Latvijas Universitātes Matemātikas un informātikas institūts |
| Zinātniskās institūcijas reģistrācijas numurs | 381013 |
| Nodokļu maksātāja reģistrācijas numurs | 90002111761 |
| Adrese | Raiņa bulvāris 29, Rīga, LV-1459, Latvija |
| Tālruņa numurs | +371 67085888 |
| E-pasta adrese | cert@cert.lv, cert@cert.gov.lv |
2. Datu aizsardzības speciālists
2.1. CERT.LV personas datu aizsardzības speciālists – tel.nr. +371 67085888, e-pasts cert@cert.lv.
3. Datu apstrādes nolūks un tiesiskais pamats
3.1. CERT.LV koordinētas ievainojamību atklāšanas procesā datu apstrāde notiek, pamatojoties uz Informācijas tehnoloģiju drošības likuma 6.1 panta otro un trešo daļu, kas atbilst Vispārīgās datu aizsardzības regulas 6. panta pirmās daļas apakšpunktiem:
c) apstrāde ir vajadzīga, lai izpildītu uz CERT.LV attiecināmu juridisku pienākumu;
e) apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot CERT.LV likumīgi piešķirtās oficiālās pilnvaras.
3.2. Ievainojamību ziņošanas platformas lietotāju datu apstrāde CERT.LV ir nepieciešama, lai nodrošinātu koordinētas ievainojamību atklāšanas procesa norisi, tai skaitā, īstenotu ievainojamību atklāšanas koordinēšanu Latvijā un nodrošinātu atklātās informācijas par ievainojamību nodošanu konkrētā Informācijas un komunikāciju tehnoloģiju (turpmāk - IKT) resursa pārzinim.
3.3. Dalībnieks, reģistrējoties platformā, piekrīt ievērot platformas noteikumus un personas datu apstrādes kārtību.
3.4. Dalībnieks ir informēts, ka CERT.LV apstrādā dalībnieka personas datus – vārdu, uzvārdu, lietotājvārdu, e-pasta adresi un IP adresi – ar mērķii:
3.4.1. reģistrēt dalībnieka kontu;
3.4.2. identificēt apmeklētāju kā reģistrēto dalībnieku;
3.4.3. reģistrēt apmeklējumu un veiktās darbības platformā;
3.4.4. nodrošināt koordinēšanu starp visiem iesaistītajiem dalībniekiem, tai skaitā platformas paziņojumu saņemšanu (piemēram, jauna ievainojamības ziņojuma saņemšana, izmaiņas iestādes ievainojamību ziņošanas programmas aprakstā, komentāra pievienošana u.c.);
3.4.5. nodrošināt saņemtās informācijas par ievainojamību nodošanu iestādes pārstāvim.
3.5. Saistībā ar ievainojamības ziņojumu apstrādi platformā CERT.LV var apstrādāt šādus personas datus:
3.5.1. ievainojamības ziņojuma saturā vai tā pielikumos iekļautie personas dati;
3.5.2. ievainojamības ziņojuma komentāros iekļautā informācija - sarakste starp ievainojamības apstrādē iesaistītajiem dalībniekiem.
3.6. Ievainojamības ziņojums var saturēt personas datus, kas saistīti ar konkrēto ievainojamību, bet nav drošības pētnieka personas dati.
3.7. Drošības pētniekam ir tiesības ievainojamības ziņojumā nenorādīt savus personas datus.
3.8. Iestādes pārstāvis un drošības pētnieks atbild par datiem, kurus tie pievieno platformā, nodrošinot, ka tiek pievienoti tikai tie dati, kas nepieciešami ievainojamības demonstrēšanai. Nepieciešamības gadījumā dalībnieks konsultējas ar savu vai CERT.LV datu aizsardzības speciālistu.
4. Iespējamie datu saņēmēji
4.1. CERT.LV ir tiesības izpaust dalībnieku personas datus:
4.1.1. ja informāciju par personas datiem pieprasa pats datu subjekts un CERT.LV ir iespēja pārliecināties par informācijas pieprasītāja identitāti;
4.1.2. ja informāciju par personas datiem rakstiski pieprasa pilnvarotas valsts vai pašvaldību iestādes Latvijas Republikas normatīvajos aktos noteiktajos gadījumos un kārtībā;
4.1.3. ja datu subjekts ir piekritis personas datu nodošanai citam apstrādātājam;
4.1.4. ja iestādes pārstāvis pieprasa informāciju par iestādi un tās kontaktpersonām.
4.2. Dalībniekiem ir tiesības pieprasīt informāciju par trešajām personām, kas saņēmušas informāciju par šo dalībnieku, ja vien Latvijas Republikas normatīvajos aktos nav noteikts citādi.
4.3. CERT.LV ir tiesības izpaust ietvaros saņemtos ievainojamību datus (kas var saturēt personas datus):
4.3.1. gadījumos, kuros ievainojamība skar arī citu Eiropas Savienības dalībvalsti, citu valstu informācijas tehnoloģiju drošības incidentu novēršanas institūcijām (vienībām);
4.3.2. pakalpojuma sniedzējiem, kas tieši saistīti ar ievainojamā IKT resursa, tai skaitā Informācijas sistēmu - uzturēšanu vai pakalpojumu sniegšanu uzturēšanas pakalpojumu nodrošināšanā, un/vai nodrošina jebkura veida programmatūras vai tehnisko komponenšu radīšanu/piegādi/ieviešanu/uzturēšanu.
4.3.3. nepieciešamības gadījumā Eiropas Savienības Tīklu un informācijas drošības aģentūrai;
4.3.4. ja informāciju rakstiski pieprasa pilnvarotas valsts iestādes Latvijas Republikas normatīvajos aktos noteiktajos gadījumos un kārtībā.
5. Piekļuve saviem personas datiem un datu pārnesamība
5.1. Dalībnieks var piekļūt saviem datiem, kā arī tos atjaunot, pieslēdzoties platformai.
5.2. Dalībniekam ir tiesības saņemt CERT.LV rīcībā esošos datus par sevi mašīnlasāmā formā.
6. Datu labošana, dzēšana vai apstrādes ierobežošana
6.1. Datu izmaiņu gadījumā dalībniekam ir pienākums atjaunot datus platformā vai ziņot CERT.LV par nepieciešamajām izmaiņām.
6.2. Ja dalībnieks vēlas dzēst savus datus, ir jānosūta pieprasījums no platformā norādītās e-pasta adreses uz e-pasta adresi cvd@cert.lv. Pirms izmaiņu veikšanas CERT.LV pārliecinās par pieprasījuma autentiskumu.
6.3. Ja dalībnieks nav pieslēdzies platformai ilgāk par vienu gadu, dalībnieka piekļuve platformai tiek automātiski bloķēta.
6.4. CERT.LV glabā dalībnieka personas datus ne ilgāk kā 5 gadus pēc lietotāja konta darbības apturēšanas platformā.
6.5. CERT.LV glabā ievainojamību ziņošanas platformā reģistrēto ievainojamību datus 5 gadus pēc ievainojamības ziņojuma atrisināšanas.
7. Sūdzības iesniegšana
7.1. Dalībniekam ir tiesības iesniegt sūdzību Datu valsts inspekcijā par iespējamo personas datu aizsardzības pārkāpumu.
