Latvijas Republikas Ministru kabineta noteikumi Nr. 40
Rīgā 2001.gada 30.janvārī (prot. Nr.5, 9.§)
Personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības
Izdoti saskaņā ar Fizisko personu datu aizsardzības likuma 26.pantu
1. Šie noteikumi nosaka personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības.
2. Vispārīgos personas datu apstrādes sistēmu drošības noteikumus nosaka Ministru kabineta 2000.gada 21.marta noteikumi Nr.106 "Informācijas sistēmu drošības noteikumi".
3. Personas datu apstrādes sistēmu obligāto tehnisko aizsardzību veic ar fizisko un loģisko aizsardzības līdzekļu palīdzību, nodrošinot:
3.1. aizsardzību pret fiziskās iedarbības radītu personas datu apstrādes sistēmas apdraudējumu;
3.2. aizsardzību, kuru realizē ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem.
4. Veicot personas datu apstrādi, sistēmas pārzinis nodrošina:
4.1. pilnvarotu personu piekļūšanu pie tehniskajiem resursiem, kas tiek izmantoti personu datu apstrādei un aizsardzībai (to skaitā pie personas datiem);
4.2. to, ka informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un citādi apstrādā tam pilnvarotas personas;
4.3. to, ka personas datu vākšanu, ierakstīšanu, ierakstīto personas datu sakārtošanu, saglabāšanu, kopēšanu, pārrakstīšanu, pārveidošanu, labošanu, dzēšanu, iznīcināšanu, arhivēšanu, rezerves kopēšanu, bloķēšanu veic tam pilnvarotas personas, kā arī nodrošina iespēju noteikt personas datus, kuri bijuši apstrādāti bez attiecīgā pilnvarojuma, kā arī apstrādes laiku un personu, kas to veikusi;
4.4. to, ka personas datu apstrādes sistēmu pārvietošanu ar tehniskiem resursiem veic tam pilnvarotas personas;
4.5. nododot personas datus, informācijas saglabāšanu par:
4.5.1. personas datu nodošanas laiku;
4.5.2. personu, kas nodevusi personas datus;
4.5.3. personu, kas saņēmusi personas datus;
4.5.4. personas datiem, kas tikuši nodoti;
4.6. ievadot personas datus, informācijas saglabāšanu par:
4.6.1. personas datu ievadīšanas laiku;
4.6.2. personu, kas ievadījusi personas datus personas datu apstrādes sistēmā;
4.6.3. personu, no kuras saņemti personas dati;
4.6.4. personas datiem, kas tika ievadīti personas datu apstrādes sistēmā.
5. Sistēmas pārzinis katrai personas datu apstrādes sistēmai izstrādā iekšējos datu apstrādes sistēmas aizsardzības noteikumus, kuros nosaka:
5.1. par personas datu apstrādi atbildīgās personas, to tiesības un pienākumus;
5.2. personas datu aizsardzības klasifikāciju atbilstoši to vērtības un konfidencialitātes pakāpei;
5.3. tehniskos resursus, ar kādiem tiek nodrošināta personas datu apstrāde;
5.4. personas datu apstrādes organizatorisko procedūru, nosakot personas datu apstrādes laiku, vietu un kārtību;
5.5. pasākumus, kas veicami tehnisko resursu aizsardzībai pret ārkārtas apstākļiem (piemēram, ugunsgrēks, plūdi);
5.6. līdzekļus, ar kādiem nodrošina tehniskos resursus pret tīšu bojāšanu un neatļautu iegūšanu;
5.7. informācijas nesēju glabāšanas un iznīcināšanas kārtību;
5.8. paroles garumu un uzbūves nosacījumus (minimālais paroles garums ir astoņi simboli);
5.9. paroles lietošanas kārtību, kā arī laikposmu, pēc kura nomaināma parole;
5.10. rīcību, ja parole vai kriptoatslēga kļuvusi zināma citai personai.
6. Sistēmas pārzinis katru gadu veic personas datu apstrādes sistēmu iekšējo auditu un sagatavo pārskatu par informācijas drošības jomā veiktajiem pasākumiem.
7. Sistēmas pārzinis informē personas, kuras apstrādā personas datus, par personas datu apstrādes sistēmas aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām.
Ministru prezidents A.BĒRZIŅŠ
Tieslietu ministra vietā —
ārlietu ministrs I.BĒRZIŅŠ
Noteikumi stājas spēkā ar 2001.gada 3.februāri