prezidents izsludina šādu likumu:
1. Aizstāt visā likumā vārdus "sistēmas pārzinis" (attiecīgā locījumā) ar vārdu "pārzinis" (attiecīgā locījumā).
2. 2.pantā:
izteikt 9.punktu šādā redakcijā:
"9) pārzinis — fiziskā vai juridiskā persona, valsts vai pašvaldību institūcija, kura nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu;";
papildināt pantu ar 11.punktu šādā redakcijā:
"11) personas identifikācijas kods — numurs, kas tiek piešķirts datu subjekta identifikācijai."
3. 3.pantā:
izteikt pirmās daļas 3.punktu šādā redakcijā:
"3) Latvijas Republikā atrodas aprīkojums, kas tiek izmantots personas datu apstrādei, izņemot gadījumus, kad aprīkojums tiek izmantots tikai personas datu pārraidei caur Latvijas Republikas teritoriju.";
izteikt trešo daļu šādā redakcijā:
"(3) Šis likums neattiecas uz personas datu apstrādi, ko fiziskās personas veic personiskām vai mājas un ģimenes vajadzībām, turklāt personas dati netiek izpausti trešajām personām."
4. Papildināt 5.panta pirmo daļu pēc vārda "žurnālistiskām" ar vārdiem "vajadzībām saskaņā ar likumu "Par presi un citiem masu informācijas līdzekļiem"".
5. Izteikt 9.panta trešās daļas ievaddaļu šādā redakcijā:
"(3) Šā panta pirmā un otrā daļa netiek piemērota, ja:".
6. 11.pantā:
aizstāt 5.punktā vārdus "ārstniecības līdzekļu izplatīšanai" ar vārdiem "zāļu un medicīnisko ierīču izplatīšanai vai to administrēšanai";
papildināt pantu ar 11.punktu šādā redakcijā:
"11) personas datu apstrāde ir nepieciešama, pildot valsts pārvaldes funkcijas vai veidojot likumā noteiktās valsts informācijas sistēmas."
7. Izteikt 12.pantu šādā redakcijā:
"12.pants. Personas datus, kuri attiecas uz noziedzīgiem nodarījumiem, sodāmību krimināllietās un administratīvo pārkāpumu lietās, kā arī uz tiesas nolēmumu vai tiesas lietas materiāliem, drīkst apstrādāt tikai likumā noteiktās personas un likumā noteiktajos gadījumos."
8. Izteikt 13.1 pantu šādā redakcijā:
"13.1 pants. Personas identifikācijas kodus drīkst apstrādāt vienā no šādiem gadījumiem:
1) ir saņemta datu subjekta piekrišana;
2) identifikācijas kodu apstrāde izriet no personas datu apstrādes mērķa;
3) identifikācijas kodu apstrāde nepieciešama turpmākas datu subjekta anonimitātes nodrošināšanai;
4) ir saņemta Datu valsts inspekcijas rakstveida atļauja."
9. 16.pantā:
izslēgt pirmajā daļā vārdus "personas datu apstrādes sistēmā iekļautie";
izslēgt otro daļu.
10. Izteikt 19.pantu šādā redakcijā:
"19.pants. Datu subjekts var aizliegt savu personas datu apstrādi komerciāliem mērķiem, šā likuma 7.panta 6.punktā minētajos gadījumos, izmantošanai informācijas sabiedrības pakalpojumos, tirgus un sabiedriskā viedokļa pētījumos, ģenealoģiskajos pētījumos, izņemot gadījumus, kad likumos ir noteikts citādi."
11. Izslēgt IV nodaļas nosaukumā vārdu "sistēmas".
12. Izteikt 21.pantu šādā redakcijā:
"21.pants. (1) Visas valsts un pašvaldību institūcijas, fiziskās un juridiskās personas, kas veic vai vēlas uzsākt personas datu apstrādi, reģistrē to šajā likumā noteiktajā kārtībā.
(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi:
1) grāmatvedības un personāla uzskaites mērķiem;
2) valsts vai pašvaldību informācijas sistēmās, kurās savāktie personas dati ir publiski pieejami;
3) žurnālistiskiem mērķiem saskaņā ar likumu "Par presi un citiem masu informācijas līdzekļiem";
4) arhivēšanas mērķiem saskaņā ar likumu "Par arhīviem";
5) ja to veic reliģiskās organizācijas;
6) ja pārzinis likumā noteiktajā kārtībā ir reģistrējis personas datu aizsardzības speciālistu."
13. Papildināt likumu ar 21.1 un 21.2 pantu šādā redakcijā:
"21.1 pants. (1) Pārzinis var nereģistrēt personas datu apstrādi, ja viņš norīko personas datu aizsardzības speciālistu. Personas datu aizsardzības speciālists nav personas datu operators.
(2) Par personas datu aizsardzības speciālistu norīko fizisko personu, kurai ir augstākā izglītība tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā un kura ir apmācīta Ministru kabineta noteiktajā kārtībā.
(3) Pārzinis piešķir personas datu aizsardzības speciālistam nepieciešamos līdzekļus, nodrošina nepieciešamo informāciju un darba laika ietvaros paredz laiku, lai viņš varētu veikt arī datu aizsardzības speciālista pienākumus.
(4) Pārzinis reģistrē personas datu aizsardzības speciālistu Datu valsts inspekcijā. Ja personas datu aizsardzības speciālists veic personas datu apstrādes auditu, viņam nav nepieciešams papildus akreditēties Datu valsts inspekcijā.
(5) Personas datu aizsardzības speciālistu reģistrs ir publiski pieejams. Par personas datu aizsardzības speciālistu reģistrā norāda šādu informāciju:
1) personas vārds, uzvārds, kontaktinformācija (adrese, tālruņa numurs, elektroniskā pasta adrese);
2) termiņš, uz kādu persona ir norīkota;
3) personas datu apstrādes vietu un ziņas par iespējām saņemt šā likuma 22.panta pirmajā daļā minēto informāciju.
(6) Datu valsts inspekcija atliek personas datu aizsardzības speciālista reģistrāciju, ja nav sniegta visa šā panta piektajā daļā minētā informācija.
(7) Datu valsts inspekcija nereģistrē personas datu aizsardzības speciālistu, ja:
1) viņš neatbilst šajā likumā izvirzītajām prasībām;
2) iestājies kāds no šā likuma 22.panta sestajā daļā minētajiem gadījumiem.
(8) Datu valsts inspekcija izslēdz personas datu aizsardzības speciālistu no reģistra šādos gadījumos, ja:
1) ir saņemts pārziņa iesniegums par izslēgšanu no personas datu apstrādes reģistra;
2) mēneša laikā pēc personas datu aizsardzības speciālista reģistrācijas pārzinis nav iesniedzis iesniegumu arī par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra.
(9) Datu valsts inspekcija lēmumu par personas datu aizsardzības speciālista reģistrāciju pieņem 15 dienu laikā pēc visas šā panta piektajā daļā minētās informācijas iesniegšanas Datu valsts inspekcijai.
(10) Datu valsts inspekcija var izslēgt personas datu aizsardzības speciālistu no reģistra un pieprasīt personas datu apstrādes reģistrāciju saskaņā ar šā likuma 22.pantu, ja Datu valsts inspekcija personas datu aizsardzības speciālista pārziņā esošo personas datu apstrādē konstatē šā likuma pārkāpumus.
21.2 pants. (1) Personas datu aizsardzības speciālists organizē, kontrolē un uzrauga pārziņa veiktās personas datu apstrādes atbilstību likuma prasībām. Valsts un pašvaldību institūcijās pārzinis var uzdot personas datu aizsardzības speciālistam veikt auditu.
(2) Personas datu aizsardzības speciālists veido reģistru, kurā iekļauj šā likuma 22.panta pirmajā daļā minēto informāciju (izņemot tā paša panta pirmās daļas 10. un 11.punktā minēto informāciju), ko bez maksas sniedz datu subjektam vai Datu valsts inspekcijai pēc to pieprasījuma.
(3) Personas datu aizsardzības speciālista pienākums ir saglabāt un bez tiesiska pamata neizpaust personas datus arī pēc darba tiesisko vai dienesta attiecību izbeigšanas.
(4) Personas datu aizsardzības speciālists katru gadu sagatavo gada pārskatu par savu darbību un iesniedz to pārzinim."
14. Izteikt 22. un 23.pantu šādā redakcijā:
"22.pants. (1) Šā likuma 21.pantā minētās institūcijas un personas, kas vēlas uzsākt personas datu apstrādi, iesniedz Datu valsts inspekcijai reģistrācijas iesniegumu, kurā ir iekļauta šāda informācija:
1) pārziņa vārds, uzvārds, personas kods (juridiskajai personai — nosaukums un reģistrācijas numurs), adrese un tālruņa numurs;
2) personas datu operatora (ja tāds ir) vārds, uzvārds, personas kods (juridiskajai personai — nosaukums un reģistrācijas numurs), adrese un tālruņa numurs;
3) personas datu apstrādes tiesiskais pamats;
4) personas datu veidi un personas datu apstrādes mērķi;
5) datu subjektu kategorijas;
6) personas datu saņēmēju kategorijas;
7) paredzētais personas datu apstrādes veids;
8) plānotais personas datu iegūšanas veids;
9) personas datu apstrādes vieta;
10) informācijas resursu vai tehnisko resursu turētājs, kā arī atbildīgais par informācijas sistēmas drošību;
11) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību;
12) kādi personas dati tiks nodoti citām valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis.
(2) Datu valsts inspekcija identificē to personas datu apstrādi, kur iespējami riski datu subjektu tiesībām un brīvībām. Šādai personas datu apstrādei nosaka pirmsreģistrācijas pārbaudi.
(3) Reģistrējot personas datu apstrādi, Datu valsts inspekcija izsniedz pārzinim vai viņa pilnvarotai personai personas datu apstrādes reģistrācijas apliecību.
(4) Pirms izmaiņu izdarīšanas personas datu apstrādē šīs izmaiņas reģistrē Datu valsts inspekcijā, izņemot šā panta pirmās daļas 11.punktā minēto informāciju.
(5) Ja mainās personas datu apstrādes tehniskie un organizatoriskie pasākumi, kas būtiski ietekmē personas datu apstrādes aizsardzību, informācija par to gada laikā jāiesniedz Datu valsts inspekcijai.
(6) Ja mainās pārzinis vai pārziņa darbība tiek izbeigta, viņš iesniedz Datu valsts inspekcijai iesniegumu par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra.
(7) Datu valsts inspekcija pieņem lēmumu par pārziņa izslēgšanu no personas datu apstrādes reģistra, kā arī anulē personas datu apstrādes reģistrācijas apliecību, ja:
1) pārzinis nav novērsis pārkāpumus Datu valsts inspekcijas norādītajā termiņā;
2) pārzinis mēneša laikā pēc izmaiņu izdarīšanas personas datu apstrādē nav iesniedzis iesniegumu par izmaiņu izdarīšanu personas datu apstrādē vai nav iesniedzis šā panta sestajā daļā minēto iesniegumu.
(8) Ministru kabinets nosaka šādu iesniegumu veidlapu paraugus:
1) personas datu apstrādes reģistrācijas iesniegums;
2) iesniegums par izmaiņu izdarīšanu personas datu apstrādē;
3) personas datu aizsardzības speciālista reģistrācijas iesniegums;
4) iesniegums par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra;
5) iesniegums par personas datu aizsardzības speciālista izslēgšanu no Datu valsts inspekcijas reģistra.
(9) Par katru personas datu apstrādes reģistrāciju vai šā panta ceturtajā daļā minēto izmaiņu reģistrāciju maksājama valsts nodeva Ministru kabineta noteiktajā kārtībā un apmērā.
23.pants. (1) Datu valsts inspekcija atliek personas datu apstrādes reģistrāciju vai lēmuma pieņemšanu par izmaiņu izdarīšanu personas datu apstrādē, ja:
1) personas datu apstrādes reģistrācijas iesniegumā konstatēti trūkumi;
2) nav sniegta visa šā likuma 22.panta pirmajā daļā norādītā informācija;
3) nav samaksāta valsts nodeva.
(2) Datu valsts inspekcija nereģistrē personas datu apstrādi vai pieņem lēmumu par atteikumu izdarīt izmaiņas personas datu apstrādē, ja:
1) Datu valsts inspekcijas konstatētie un paziņotie trūkumi nav novērsti 30 dienu laikā;
2) personas datu apstrādes reģistrācijas iesniegumu vai iesniegumu par izmaiņu izdarīšanu personas datu apstrādē iesniegusi persona, kura nav uzskatāma par pārzini šā likuma izpratnē;
3) pārbaudot personas datu apstrādi, konstatēti normatīvo aktu pārkāpumi personas datu aizsardzības jomā.
(3) Iesniedzot dokumentus atkārtoti pēc šajā likumā norādītā termiņa dokumentos konstatēto trūkumu novēršanai, šajā likumā paredzēto valsts nodevu maksā atkārtoti.
(4) Šā panta otrās daļas 2.punktā minētajos gadījumos valsts nodevu atmaksā saskaņā ar Datu valsts inspekcijas lēmumu."
15. Izteikt 24.pantu šādā redakcijā:
"(1) Datu valsts inspekcija personas datu apstrādes reģistrā iekļauj šā likuma 22.panta pirmajā un ceturtajā daļā minēto informāciju, izņemot informāciju, kas minēta tā pirmās daļas 10. un 11.punktā. Reģistrs ir publiski pieejams.
(2) Šā panta pirmajā daļā minētajā reģistrā neiekļauj informāciju par reģistrēto personas datu apstrādi, kuru reglamentē likums "Par valsts noslēpumu" un Operatīvās darbības likums."
16. Papildināt likumu ar 24.1 pantu šādā redakcijā:
"24.1 pants. Šā likuma 21.1 panta piektajā daļā un 24.panta pirmajā daļā minētie reģistri ir personas datu apstrādes uzraudzības informācijas sistēmas sastāvdaļa. Personas datu apstrādes uzraudzības informācijas sistēma ir valsts informācijas sistēma, kuras darbību organizē un vada Datu valsts inspekcija."
17. Izslēgt 25.panta otrajā daļā vārdus "personas datu apstrādes sistēmā".
18. 26.pantā:
izslēgt pirmajā daļā vārdu "sistēmas";
izteikt otro daļu šādā redakcijā:
"(2) Valsts un pašvaldību institūcijas reizi divos gados iesniedz Datu valsts inspekcijai audita atzinumu par personas datu apstrādi, ietverot tajā arī riska analīzi, un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.";
izteikt trešās daļas ievaddaļu šādā redakcijā:
"(3) Datu valsts inspekcija, akreditējot personu, kas vēlas veikt personu datu apstrādes auditu valsts un pašvaldību institūcijās, veic ārējā auditora:".
19. 28.pantā:
izteikt pirmo daļu šādā redakcijā:
"(1) Personas datus var nodot citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei.";
izteikt otrās daļas 1.punktu šādā redakcijā:
"1) ir datu subjekta piekrišana;";
papildināt pantu ar ceturto un piekto daļu šādā redakcijā:
"(4) Lai pārzinis saskaņā ar šā panta otro daļu varētu uzraudzīt attiecīgo aizsardzības pasākumu veikšanu, pārzinis un personas datu saņēmējs noslēdz līgumu par personas datu nodošanu. Nosacījumus, kas obligāti iekļaujami līgumā par personas datu nodošanu, nosaka Ministru kabinets.
(5) Personas datus var nodot citai Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstij, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei."
20. 29.pantā:
aizstāt trešās daļas 3.punktā vārdus "apstrādes sistēmas" ar vārdu "apstrādi";
izteikt trešās daļas 6.punktu šādā redakcijā:
"6) akreditēt personas, kas vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās. Ministru kabinets nosaka kārtību, kādā akreditē personas, kas vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās, kā arī nosacījumus, kādiem jāatbilst minētajām personām.";
izslēgt ceturtās daļas 2.punktā vārdu "sistēmas";
aizstāt ceturtās daļas 5.punktā vārdus "apstrādes sistēmu" ar vārdu "apstrādi".
21. 30.pantā:
aizstāt pirmās daļas 1.punktā vārdus "apstrādes sistēmas" ar vārdu "apstrādi";
aizstāt pirmās daļas 3.punktā vārdus "apstrādes sistēmu" ar vārdu "apstrādi";
izslēgt pirmās daļas 4.punktā vārdu "sistēmas".
22. Papildināt likumu ar 30.1 pantu šādā redakcijā:
"30.1 pants. Datu valsts inspekcija ir nacionālā uzraudzības iestāde, kas veic Šengenas informācijas sistēmas nacionālās daļas uzraudzību un pārbauda, vai Šengenas informācijas sistēmā iekļauto personas datu apstrādē netiek pārkāptas datu subjekta tiesības."
23. Pārejas noteikumos:
papildināt 3.punktu pēc vārda "grozījumi" ar skaitļiem un vārdiem "(2002.gada 24.oktobra redakcija)";
aizstāt 4.punktā vārdus "līdz šim" ar vārdiem un skaitļiem "līdz 2002.gada 28.novembrim";
papildināt pārejas noteikumus ar 5. un 6.punktu šādā redakcijā:
"5. Pārziņi, kuri ir reģistrējuši personas datu apstrādes sistēmas līdz 2007.gada 1.septembrim, līdz 2008.gada 1.martam bez maksas iesniedz Datu valsts inspekcijai papildu informāciju, lai nodrošinātu informācijas par personas datu apstrādi atbilstību šā likuma 22.pantā noteiktajām prasībām.
6. Datu valsts inspekcija līdz 2008.gada 1.martam izslēdz no personas datu apstrādes reģistra tās reģistrētās personas datu apstrādes sistēmas, kurās iekļauto personas datu reģistrāciju šis likums neparedz, kā arī tad, ja ir iestājies kāds no šā likuma 22.panta sestajā daļā paredzētajiem gadījumiem."
Likums Saeimā pieņemts 2007.gada 1.martā.