Ministru kabineta noteikumi Nr.822
Rīgā 2007.gada 4.decembrī (prot. Nr.68 11.§)
Noteikumi par kārtību, kādā akreditē fiziskās personas, kuras vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās, un par minēto fizisko personu atbilstības kritērijiem
Izdoti saskaņā ar Fizisko personu datu aizsardzības likuma 29.panta trešās daļas 6.punktu
I. Vispārīgie jautājumi
1. Noteikumi nosaka kārtību, kādā Datu valsts inspekcija akreditē fiziskās personas, kuras vēlas veikt personas datu apstrādes auditu (turpmāk - audits) valsts un pašvaldību institūcijās (turpmāk - auditors), un auditoru atbilstības kritērijus.
2. Datu valsts inspekcija reizi trijos mēnešos publicē laikrakstā "Latvijas Vēstnesis" informāciju par auditoriem izsniegtajām un anulētajām akreditācijas apliecībām, akreditācijas apliecību darbības apturēšanu un atjaunošanu, to derīguma termiņa pagarināšanu, kā arī par akreditācijas apliecību atzīšanu par nederīgām. Triju darbdienu laikā pēc attiecīga lēmuma pieņemšanas informāciju ievieto Datu valsts inspekcijas mājaslapā internetā.
II. Iekšējo un ārējo auditoru akreditācija
3. Reizi trijos mēnešos Datu valsts inspekcija sludinājumu par auditoru akreditāciju publicē laikrakstā "Latvijas Vēstnesis" un Datu valsts inspekcijas mājaslapā internetā.
4. Datu valsts inspekcija akreditē fizisko personu, kas atbilst šajos noteikumos minētajiem kritērijiem un ir pieteikusies sludinājumā norādītajā termiņā (turpmāk - pretendents).
5. Pretendentu akreditē par iekšējo auditoru, ja:
5.1. tas ir ieguvis augstāko izglītību;
5.2. tam ir zināšanas personas datu aizsardzības jomā vai zināšanas audita un sistēmu drošības jomā;
5.3. tam ir vismaz viena gada praktiskā pieredze personas datu aizsardzības jomā vai vismaz viena gada praktiskā pieredze audita un sistēmu drošības jomā;
5.4. tas nav sodīts par tīšiem noziedzīgiem nodarījumiem vai ir reabilitēts, vai tam ir noņemta vai dzēsta sodāmība.
6. Pretendentu akreditē par ārējo auditoru, ja:
6.1. tas ir ieguvis augstāko izglītību;
6.2. tam ir zināšanas personas datu aizsardzības, audita un sistēmu drošības jomā;
6.3. tam ir vismaz triju gadu praktiskā pieredze personas datu aizsardzības jomā vai vismaz triju gadu praktiskā pieredze audita un sistēmu drošības jomā;
6.4. tas nav sodīts par tīšiem noziedzīgiem nodarījumiem vai ir reabilitēts, vai tam ir noņemta vai dzēsta sodāmība.
7. Datu valsts inspekcijai ir tiesības pretendentu vērtēšanā pieaicināt nevalstisko organizāciju pārstāvjus, kā arī citus speciālistus un ekspertus.
8. Lai saņemtu akreditāciju, pretendents Datu valsts inspekcijā iesniedz iesniegumu. Iesniegumam pievieno šādus dokumentus:
8.1. izglītību apliecinošu dokumentu kopijas;
8.2. darba pieredzes aprakstu (arī atsauksmes par pretendenta darbu, ja tādas ir);
8.3. profesionālās zināšanas apliecinošo dokumentu kopijas (ja tādi ir);
8.4. dokumenta kopiju, kurš apliecina pretendenta valsts valodas prasmi augstākajā līmenī un pakāpē atbilstoši Valsts valodas likumam, ja pretendents augstāko izglītību nav ieguvis latviešu valodā;
8.5. apliecinājumu, ka visas sniegtās ziņas ir patiesas, nepastāv tiesiski šķēršļi iekšējā audita veikšanai un ir ievērotas likuma "Par interešu konflikta novēršanu valsts amatpersonu darbībā" normas (ja iesniegumu iesniedz valsts amatpersona).
9. Šo noteikumu 8.punktā minētos dokumentus pretendents iesniedz Datu valsts inspekcijā personīgi vai nosūta elektroniski, parakstot ar drošu elektronisko parakstu. Iesniegtos dokumentus atpakaļ neizsniedz.
10. Lēmumu par pretendenta akreditāciju vai atteikumu akreditēt pretendentu pieņem mēneša laikā pēc iesnieguma un tam pievienoto dokumentu iesniegšanas Datu valsts inspekcijā.
11. Datu valsts inspekcija var pieprasīt pretendentam sniegt papildu informāciju, lai izvērtētu pretendenta atbilstību šo noteikumu 5. vai 6.punktā minētajām prasībām, ja to nevar iegūt no citu institūciju informācijas sistēmām. Papildu informācija pretendentam jāiesniedz divu nedēļu laikā.
12. Datu valsts inspekcija triju darbdienu laikā pēc lēmuma pieņemšanas par pretendenta akreditāciju vai atteikumu akreditēt pretendentu rakstiski paziņo par to pretendentam. Ja pieņemts lēmums par atteikumu akreditēt pretendentu, paziņojumā to pamato. Ja pieņemts lēmums par pretendenta akreditāciju, paziņojumā norāda akreditācijas apliecības saņemšanas laiku un vietu.
13. Akreditācijas apliecībā iekļauj Datu valsts inspekcijas nosaukumu, akreditētā auditora vārdu, uzvārdu, personas kodu, apstiprinājumu, ka auditoram ir tiesības veikt auditus, akreditācijas apliecības derīguma termiņu un lēmuma datumu un numuru.
14. Datu valsts inspekcija ir tiesīga atteikt akreditēt pretendentu, ja:
14.1. pretendents neatbilst šo noteikumu 5. vai 6.punktā minētajām prasībām;
14.2. iesnieguma iesniegšanas vai izskatīšanas laikā pret pretendentu ir uzsākta kriminālvajāšana;
14.3. pretendents ir sniedzis nepatiesas ziņas.
15. Auditorus akreditē uz trim gadiem.
III. Akreditācijas apliecības derīguma termiņa pagarināšana
16. Auditora akreditācijas apliecības derīguma termiņu pagarina tikai tad, ja auditoram nepieciešams pabeigt auditu konkrētā lietā. Datu valsts inspekcija ir tiesīga pagarināt auditora akreditācijas apliecības derīguma termiņu uz laiku, ne ilgāku par trim mēnešiem.
17. Lēmumu par akreditācijas apliecības derīguma termiņa pagarināšanu Datu valsts inspekcija pieņem, pamatojoties uz auditora iesniegumu, kurā minēts apliecības derīguma termiņa pagarināšanas iemesls. Minēto iesniegumu auditors iesniedz mēnesi pirms akreditācijas apliecības derīguma termiņa beigām.
18. Ja auditora pienākumu veikšanai valsts vai pašvaldību institūcijā nepieciešams laiks, kas ir ilgāks par trim mēnešiem, auditors iesniedz rakstisku iesniegumu par atkārtotu akreditāciju saskaņā ar šo noteikumu IV nodaļu.
IV. Atkārtota akreditācija
19. Ja beidzies noteiktais akreditācijas termiņš, auditoru var akreditēt atkārtoti uz trim gadiem.
20. Lai auditoru akreditētu atkārtoti, auditoram Datu valsts inspekcijā jāiesniedz rakstisks iesniegums un dokumenti, kas apliecina auditora iegūto praktisko pieredzi personas datu aizsardzības jomā, audita un sistēmu drošības jomā iepriekšējā akreditācijas periodā, kā arī iegūtās zināšanas personas datu aizsardzības, audita un sistēmu drošības jomā iepriekšējā akreditācijas periodā.
21. Lai akreditācijas apliecību saņemtu atkārtoti, auditoram jāatbilst šo noteikumu 5. vai 6.punktā minētajām prasībām.
22. Datu valsts inspekcija ir tiesīga atteikt atkārtoti akreditēt auditoru, ja:
22.1. auditors neatbilst šo noteikumu 5. vai 6.punktā minētajām prasībām;
22.2. iesnieguma iesniegšanas vai izskatīšanas laikā pret auditoru ir uzsākta kriminālvajāšana;
22.3. auditors ir sniedzis nepatiesas ziņas;
22.4. auditora iepriekšējā akreditācijas termiņa laikā ir saņemtas pamatotas sūdzības par auditora darbību;
22.5. auditora sniegto atzinumu kvalitāte neatbilst normatīvajos aktos noteiktajām prasībām.
V. Akreditācijas apliecības darbības apturēšana un atjaunošana
23. Datu valsts inspekcija ir tiesīga pieņemt lēmumu par akreditācijas apliecības darbības apturēšanu uz laiku līdz sešiem mēnešiem šādos gadījumos:
23.1. ir saņemts auditora iesniegums ar lūgumu apturēt akreditāciju;
23.2. pēc auditora atzinuma saņemšanas Datu valsts inspekcijai ir radušās pamatotas šaubas par auditora atzinuma kvalitāti, un tā ir ierosinājusi veikt pārbaudi;
23.3. ir saņemtas sūdzības par auditora darbību, un Datu valsts inspekcija pēc sūdzību izskatīšanas atzinusi tās par pamatotām.
24. Ja paredzēts izskatīt jautājumu par akreditācijas apliecības darbības apturēšanu, Datu valsts inspekcija ne vēlāk kā piecas darbdienas pirms akreditācijas komisijas sēdes rakstiski informē attiecīgo auditoru. Datu valsts inspekcijai ir tiesības pieprasīt auditoram sniegt papildu informāciju par izskatāmo jautājumu. Auditora neierašanās nav pamats jautājuma neizskatīšanai.
25. Datu valsts inspekcija ir tiesīga pieņemt lēmumu par akreditācijas apliecības darbības atjaunošanu, ja ir beidzies termiņš, uz kuru tika apturēta akreditācijas apliecības darbība, un auditors ir iesniedzis pamatotu iesniegumu par akreditācijas apliecības darbības atjaunošanu.
26. Jautājumu par akreditācijas apliecības darbības atjaunošanu izskata šo noteikumu 24.punktā noteiktajā kārtībā.
27. Lēmumu par akreditācijas apliecības apturēšanu un akreditācijas apliecības darbības atjaunošanu Datu valsts inspekcija paziņo auditoram piecu darbdienu laikā pēc attiecīgā lēmuma pieņemšanas.
VI. Akreditācijas apliecības anulēšana
28. Datu valsts inspekcija pieņem lēmumu par akreditācijas apliecības anulēšanu šādos gadījumos:
28.1. auditora darbībā ir konstatēti auditoru darbību reglamentējošo normatīvo aktu pārkāpumi;
28.2. ir saņemts auditora iesniegums ar lūgumu anulēt viņa akreditāciju;
28.3. auditors ar tiesas nolēmumu ir atzīts par rīcībnespējīgu;
28.4. auditors apzināti sniedzis nepatiesas ziņas, lai saņemtu akreditācijas apliecību.
29. Datu valsts inspekcija ir tiesīga pieņemt lēmumu par akreditācijas apliecības anulēšanu šādos gadījumos:
29.1. ir saņemtas pamatotas sūdzības par auditora darbību;
29.2. auditora sniegto atzinumu kvalitāte neatbilst normatīvajos aktos noteiktajām prasībām;
29.3. pret auditoru tā pienākumu veikšanas laikā ir uzsākta kriminālvajāšana;
29.4. auditors nav iesniedzis šo noteikumu 25.punktā minēto iesniegumu par akreditācijas atjaunošanu.
30. Ja paredzēts izskatīt jautājumu par akreditācijas apliecības anulēšanu, Datu valsts inspekcija ne vēlāk kā piecas darbdienas pirms akreditācijas komisijas sēdes rakstiski informē attiecīgo auditoru. Datu valsts inspekcija ir tiesīga pieprasīt auditoram sniegt papildu informāciju par izskatāmo jautājumu. Auditora neierašanās bez attaisnojoša iemesla nav pamats jautājuma neizskatīšanai.
31. Lēmumu par akreditācijas apliecības anulēšanu Datu valsts inspekcija paziņo auditoram piecu darbdienu laikā pēc tā pieņemšanas.
VII. Akreditācijas apliecību uzskaite un atzīšana par nederīgām
32. Akreditācijas apliecības reģistrē Datu valsts inspekcija.
33. Datu valsts inspekcija atzīst akreditācijas apliecību par nederīgu, pamatojoties uz auditora iesniegumu. Datu valsts inspekcija ir tiesīga atzīt akreditācijas apliecību par nederīgu šādos gadījumos:
33.1. akreditācijas apliecība ir nozagta vai nozaudēta;
33.2. mainījies auditora vārds vai uzvārds;
33.3. akreditācijas apliecībā ir mehāniski vai citi bojājumi, kuru dēļ nav iespējams identificēt apliecības turētāju vai izlasīt tajā norādīto informāciju;
33.4. akreditācijas apliecības saturs neatbilst šajos noteikumos noteiktajam.
34. Nederīgu vai anulētu akreditācijas apliecību, kā arī akreditācijas apliecību, kurai ir beidzies derīguma termiņš, nodod Datu valsts inspekcijā.
35. Ja Datu valsts inspekcija atzīst akreditācijas apliecību par nederīgu, auditoram izsniedz akreditācijas apliecības dublikātu. Dublikāta derīguma termiņš ir tāds pats kā par nederīgu atzītajai akreditācijas apliecībai.
Ministru prezidents A.Kalvītis
Tieslietu ministrs G.Bērziņš