Ministru kabineta noteikumi: Šajā laidienā 7 Pēdējās nedēļas laikā 17 Visi
Ministru kabineta noteikumi Nr.216
Rīgā 2015.gada 12.maijā (prot. Nr.24 15.§)
Kārtība, kādā sagatavo un iesniedz personas datu apstrādes atbilstības novērtējumu
Izdoti saskaņā ar Fizisko personu datu aizsardzības likuma
26.panta 2.1 daļu
1. Noteikumi nosaka:
1.1. personas datu apstrādes atbilstības novērtējuma (turpmāk – novērtējums) nosacījumus;
1.2. kārtību un termiņu, kādā sagatavo novērtējumu un iesniedz to Datu valsts inspekcijā.
2. Noteikumi attiecas uz valsts un pašvaldību institūcijām un privātpersonām, kurām deleģēti valsts pārvaldes uzdevumi (turpmāk – iestāde).
3. Novērtējuma sagatavošana ir dokumentēts process, kura mērķis ir izvērtēt personas datu apstrādes faktiskos apstākļus un to atbilstību normatīvajiem aktiem personas datu aizsardzības jomā. Vērtējot personas datu apstrādes faktiskos apstākļus, novērtētājs intervē personas, kas iesaistītas personas datu apstrādē un aizsardzībā, pārbauda iekšējās procedūras, veic vizuālo novērtēšanu un pārbauda dokumentus.
4. Novērtējumu atbilstoši šo noteikumu pielikumam sagatavo:
4.1. pirms personas datu apstrādes uzsākšanas jaunam personas datu apstrādes mērķim;
4.2. pirms tādu izmaiņu veikšanas personas datu apstrādē, kas ietekmē datu subjekta tiesības vai intereses personas datu aizsardzības jomā;
4.3. pēc iestādes iniciatīvas;
4.4. pēc Datu valsts inspekcijas pieprasījuma.
5. Šo noteikumu 4.2. apakšpunktā minētajā gadījumā novērtējumu var sagatavot pēc personas datu apstrādē veiktajām izmaiņām, ja:
5.1. jebkura kavēšanās veikt izmaiņas personas datu apstrādē var radīt tūlītēju un būtisku risku datu subjekta tiesībām vai interesēm;
5.2. jebkura kavēšanās veikt izmaiņas personas datu apstrādē rada apdraudējumu informācijas drošībai;
5.3. ir veiktas izmaiņas normatīvajos aktos, kas attiecas uz personas datu apstrādi. Ja normatīvo aktu izmaiņas, kas attiecas uz vienam datu apstrādes mērķim veicamo personas datu apstrādi, tiek veiktas vairākas reizes gadā, pārzinim ir tiesības veikt novērtējumu reizi gadā, novērtējumu sagatavojot par gada laikā veiktajām izmaiņām.
6. Katram personas datu apstrādes mērķim sagatavo atsevišķu novērtējumu.
7. Novērtējumu sagatavo personas datu aizsardzības speciālists vai persona, kura ir ieguvusi otrā līmeņa profesionālo vai akadēmisko augstāko izglītību, kurai ir zināšanas personas datu aizsardzības jomā un kurai ir vismaz viena gada pieredze personas datu aizsardzības vai informācijas tehnoloģiju, vai audita, kā arī tam līdzvērtīgu pārbaužu veikšanas jomā (turpmāk – novērtētājs).
8. Iestādei ir tiesības pieaicināt novērtētāju, kurš atbilst šo noteikumu 7. punktā minētajām prasībām.
9. Novērtētājam ir tiesības, veicot novērtējumu, pieaicināt attiecīgās jomas speciālistus, kas neatbilst šo noteikumu 7. punktā minētajām prasībām.
10. Iestāde nodrošina novērtētājam un šo noteikumu 9. punktā minētajam novērtēšanas procesā iesaistītajam speciālistam piekļuvi dokumentiem, informācijas sistēmām, tehniskajiem resursiem un telpām, kas nepieciešamas, lai veiktu novērtējumu.
11. Novērtētājs un šo noteikumu 9. punktā minētais novērtēšanas procesā iesaistītais speciālists rakstveidā apņemas neizpaust novērtējuma laikā iegūto informāciju, izņemot normatīvajos aktos noteiktos gadījumus.
12. Pamatojoties uz konstatētajiem faktiem un pārbaudītajiem dokumentiem, novērtētājs iestādes noteiktajā termiņā sagatavo novērtējuma projektu, par kuru iestāde vai tās pilnvarota amatpersona sniedz viedokli 10 darbdienu laikā.
13. Novērtētājs, izvērtējot iestādes viedokli, ja nepieciešams, precizē novērtējuma projektu un apstiprina novērtējumu.
14. Pēc novērtējuma apstiprināšanas novērtētājs sagatavo novērtējuma kopsavilkumu. Novērtējuma kopsavilkumā norāda:
14.1. pārziņa nosaukumu vai vārdu un uzvārdu, novērtētāja vārdu, uzvārdu un kontaktinformāciju;
14.2. novērtējuma veikšanas pamatu un apjomu;
14.3. laikposmu, kad veikts novērtējums;
14.4. personas datu apstrādes mērķi;
14.5. secinājumus un konstatētos trūkumus;
14.6. ieteikumus un termiņu trūkumu novēršanai.
15. Iestāde vai tās pilnvarota amatpersona novērtējuma kopsavilkumu 10 darbdienu laikā pēc tā sagatavošanas elektroniski iesniedz Datu valsts inspekcijā.
16. Ja novērtējumā norāda ieteikumus trūkumu novēršanai, iestāde vai tās pilnvarota amatpersona pēc trūkumu novēršanas par to paziņo novērtētājam.
17. Pēc trūkumu novēršanas novērtētājs sagatavo ziņojumu, kurā norāda informāciju par trūkumu novēršanai veiktajiem pasākumiem. Ziņojumu pievieno novērtējumam, un tas ir uzskatāms par novērtējuma neatņemamu sastāvdaļu. Iestāde vai tās pilnvarota amatpersona 10 darbdienu laikā pēc ziņojuma sagatavošanas to nosūta Datu valsts inspekcijai.
18. Novērtējums, ziņojums par trūkumu novēršanu un novērtējuma kopsavilkums ir ierobežotas pieejamības informācija.
19. Iestādei ir pienākums glabāt ne mazāk kā divus pēdējos novērtējumus par katru personas datu apstrādes mērķi, to kopsavilkumu un šo noteikumu 17. punktā minēto ziņojumu.
Ministru prezidente Laimdota Straujuma
Tieslietu ministrs Dzintars Rasnačs
Pielikums
Ministru kabineta
2015.gada 12.maija
noteikumiem Nr.216
Personas datu apstrādes atbilstības novērtējums
I. Personas datu apstrādes vispārīgs apraksts
Iestādes nosaukums |
|
Kontaktinformācija |
|
Novērtētājs (vārds, uzvārds) |
|
Kontaktinformācija |
|
Novērtējuma veikšanas periods |
|
Novērtējuma veikšanas pamats: Atzīmēt pirms personas datu apstrādes uzsākšanas jaunam personas datu apstrādes mērķim pirms tādu izmaiņu veikšanas personas datu apstrādē, kas ietekmē datu subjekta tiesības vai intereses personas datu aizsardzības jomā pēc savas iniciatīvas pēc Datu valsts inspekcijas pieprasījuma |
|
Kāds ir personas datu apstrādes mērķis? | |
Vai personas datu apstrādes mērķi nosaka
normatīvie akti? Ja atbilde ir "jā", norādiet normatīvos aktus, kas paredz datu apstrādi |
jā
nē |
Kādi personas dati, piemēram, vārds, uzvārds, personas kods, tiek apstrādāti, lai sasniegtu iepriekšējā punktā norādīto mērķi? | • • • • |
Ja tiek apstrādāti sensitīvie personas dati, norādiet tos | |
Kādā veidā notiek personas datu apstrāde – manuāli vai automatizēti? | |
Vai sensitīvo personas datu apstrāde ir
nodalīta no pārējo personas datu apstrādes? Ja atbilde ir "jā", raksturojiet procedūru, kā tas tiek nodrošināts. Ja atbilde ir "nē", norādiet iemeslus |
jā
nē |
Vai visi apstrādājamie dati ir nepieciešami
personas datu apstrādes mērķa sasniegšanai? Ja atbilde ir "jā", uzskaitiet šos datus, norādot, kādēļ tie nepieciešami personas datu apstrādes mērķa sasniegšanai. Ja atbilde ir "nē", norādiet iemeslus |
jā
nē |
Vai personas datu apstrādes mērķi var sasniegt, vispār neapstrādājot personas datus vai apstrādājot mazākā apjomā? Pamatojiet | var
nevar |
Norādiet personas datu apstrādes tiesisko
pamatu atbilstoši Fizisko personu datu aizsardzības likuma 7. pantam. Ja tiek apstrādāti sensitīvi personas dati, norādiet pamatojumu atbilstoši Fizisko personu datu aizsardzības likuma 11. pantam |
|
Ja personas datu apstrādes tiesiskais pamats ir datu subjekta piekrišana, norādiet, kādā veidā (elektroniski, rakstiski, mutiski) un kad tiek iegūta datu subjekta piekrišana | |
Ja sensitīvie personas dati tiek
apstrādāti, pamatojoties uz datu subjekta piekrišanu, norādiet, vai šī
piekrišana ir noformēta rakstveidā. Ja atbilde ir negatīva, pamatojiet, kāpēc datu subjekta piekrišana nav noformēta rakstiski |
ir rakstveidā
nav rakstveidā |
Vai personas datu apstrāde ir uzticēta personas datu operatoram? Ja atbilde ir "jā", norādiet tiesisko pamatu | jā
nē |
Vai personas datu apstrāde ir reģistrēta Datu valsts inspekcijā? Ja atbilde ir "nē", norādiet pamatojumu | jā
nē |
II. Riska analīze attiecībā uz personas datu subjekta tiesībām un brīvībām
1. Personas datu apstrāde atbilstoši personas datu apstrādes mērķim |
|
Cik bieži tiek pārbaudīts apstrādājamo personas datu apjoms un atbilstība personas datu apstrādes mērķim? | |
Kāda kārtība ir paredzēta, lai periodiski
izvērtētu apstrādājamo personas datu apjomu un to atbilstību personas
datu apstrādes mērķa sasniegšanai? Cik bieži šī kārtība tiek pārskatīta? Ja kārtība nav paredzēta, norādiet iemeslus un paskaidrojiet, kā tiek nodrošināts, lai personas datu apjoms visā to apstrādes laikā nepārsniegtu personas datu apstrādes mērķa sasniegšanai nepieciešamo |
|
Kādas procedūras ir paredzētas, lai nodrošinātu personas datu apstrādi atbilstoši personas datu aizsardzības prasībām? | |
Vai ir noteiktas procedūras, kā identificē
datu subjektu, informācijas sistēmas lietotāju, trešās personas, kuras
apstrādā personas datus manuāli vai informācijas sistēmā? Ja atbilde ir "jā", raksturojiet kārtību vai procedūru |
jā
nē |
2. Adekvāta personas datu apstrāde |
|
Kā tiek nodrošināta pareizu (precīzu, aktuālu) personas datu apstrāde? | |
Norādiet dokumentu, kurā ir noteikta kārtība, kā un cik bieži tiek aktualizēti (precizēti) personas dati | |
Cik bieži veic pārbaudes, vai apstrādāti tiek pareizi (precīzi, aktuāli) dati? Norādiet pamatojumu, kādēļ ir izvēlēts šāds periodiskums un vai tas nodrošina tikai pareizu (precīzu, aktuālu) personas datu apstrādi | |
Vai ir vērtēti zaudējumi, kas var rasties no neaktuālu datu apstrādes? | jā
nē |
Kā tiek apstrādāti datu subjekta iesniegumi un kā uz tiem reaģē, ja attiecīgais datu subjekts uzskata, ka par viņu apstrādātie personas dati nav aktuāli? Kādā veidā ir nodrošinātas datu subjekta tiesības ziņot par neaktuālu datu apstrādi? | |
3. Personas datu glabāšana atbilstoši personas datu apstrādes mērķim |
|
Kā tiek noteikti personas datu glabāšanas
termiņi (piemēram, atbilstoši normatīvajam aktam, līgumam, datu subjekta
piekrišanai)? Pamatojiet termiņa izvēli |
|
Ja personas datu glabāšanas termiņš ir noteikts normatīvajā aktā, norādiet to | |
Ja personas datu glabāšanas termiņš netiek regulēts ar ārēju normatīvo aktu, norādiet, cik bieži tiek izvērtēti personas datu glabāšanas termiņi | |
Ja personas datu apstrāde vairs nav nepieciešama personas datu apstrādes mērķa sasniegšanai: | |
1. Kā tiek izvērtēta personas datu apstrāde, lai noteiktu, kuri dati ir dzēšami? | 1. |
2. Kurš ir atbildīgs par personas datu novērtēšanu, lai noteiktu, kuri dati un kad ir dzēšami? | 2. |
3. Vai informācijas sistēmā ir ieviesta automatizēta paziņojuma saņemšana, kas norāda uz nepieciešamību dzēst personas datus? | 3. |
Vai ir izstrādātas vadlīnijas attiecībā uz personas datu dzēšanu? | jā
nē |
4. Personas datu izpaušana |
|
Vai ir izstrādāti iekšējie normatīvie akti, kas paredz kārtību personas datu izpaušanai iestādes ietvaros un trešajām personām? | jā
nē |
Norādiet kārtību, kādā tiek nodrošināta iestādes darbinieku informēšana par personas datu izpaušanu | |
Norādiet kārtību, kādā tiek izvērtēts, vai personas datus ir iespējams izpaust trešajām personām (piemēram, kā notiek pieprasītāja identificēšana). Kas tiek izvērtēts, pieņemot lēmumu par personas datu izpaušanu? | |
Vai un kādā veidā tiek saglabāta informācija par gadījumiem, kad personas dati tiek izpausti? | |
5. Datu subjekta tiesību nodrošināšana |
|
5.1. Datu subjekta informēšana par viņa personas datu apstrādi |
|
Vai personas dati tiek iegūti no datu subjekta? | jā
nē |
Vai ir nodrošināta datu subjekta
informēšana par viņa personas datu apstrādi neatkarīgi no tā, vai
personas dati ir vai nav iegūti no datu subjekta? Ja atbilde ir "jā", norādiet, kādā veidā un kādā gadījumā datu subjekts tiek informēts par viņa personas datu apstrādi, un kāda satura informācija tiek sniegta. Ja atbilde ir "nē", norādiet, kādēļ datu subjekts netiek informēts |
jā
nē |
Vai datu subjektam tiek nodrošināta iespēja
iegūt informāciju par personām, kuras ir saņēmušas informāciju par šo
datu subjektu? Ja atbilde ir "jā", norādiet, par kādu laikposmu šāda informācija tiek sniegta. Ja atbilde ir "nē", norādiet, kādēļ informācija netiek sniegta |
jā
nē |
Norādiet, cik bieži un kādā termiņā datu subjektam tiek nodrošinātas tiesības saņemt informāciju par viņa personas datu apstrādi. Norādiet termiņa un biežuma noteikšanas pamatojumu | |
Vai par informācijas sniegšanu tiek prasīta maksa, ja datu subjekts informāciju par savu personas datu apstrādi pieprasa biežāk nekā divas reizes gadā? Kāds ir tās apmērs? | jā
nē |
Vai datu subjektam ir nodrošinātas tiesības
ierobežot savu personas datu apstrādi, tostarp atbilstoši Fizisko
personu datu aizsardzības likuma 16. un 19. pantam? Ja atbilde ir "jā", norādiet, kādā veidā šīs datu subjekta tiesības tiek nodrošinātas. Ja atbilde ir "nē", norādiet iemeslus |
jā
nē |
Vai informācija par datu subjektu tiek
saņemta no trešajām personām? Ja atbilde ir "jā", norādiet informācijas saņemšanas kārtību un tiesisko pamatu šādas informācijas saņemšanai |
jā
nē |
5.2. Datu subjekta tiesības piekļūt saviem personas datiem |
|
Vai datu subjektam ir nodrošinātas tiesības
piekļūt saviem personas datiem? Ja atbilde ir "jā", raksturojiet kārtību, kādā tiek nodrošinātas datu subjekta piekļuves tiesības saviem personas datiem. Ja atbilde ir "nē", norādiet, kāpēc datu subjekta piekļuves tiesības nav nodrošinātas |
jā
nē |
Kā tiek nodrošināta personas datu atrašana pēc datu subjekta pieprasījuma? | |
Vai datu subjektam pēc tā pieprasījuma tiek
sniegta informācija par personas datu apstrādi? Ja atbilde ir "jā", norādiet informācijas sniegšanas kārtību |
jā
nē |
Vai pārzinim ir tiesības atteikt datu
subjektam piekļuvi viņa personas datiem? Ja atbilde ir "jā", norādiet, kādā gadījumā |
jā
nē |
Vai notiek automatizēta lēmumu pieņemšana, pamatojoties uz apstrādātajiem personas datiem? Kādā gadījumā pārzinis pārskata šādus lēmumus? | jā
nē |
6. Personas datu nodošana valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis, vai valstīm, kuras nav saņēmušas Komisijas atzinumu par adekvātu datu aizsardzības līmeni |
|
Vai personas dati tiek nodoti valstij, kas
nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, vai
starptautiskajai organizācijai? Ja atbilde ir "jā", norādiet pamatojumu šādai personas datu apstrādei, valsti, kurai dati tiek nodoti, un personas datu veidus, kas tiek nodoti |
jā
nē |
Vai ir izstrādāti iekšējie noteikumi
personas datu nodošanai valstīm, kas nav Eiropas Savienības vai Eiropas
Ekonomikas zonas dalībvalstis? Ja atbilde ir "jā", raksturojiet tajos ietvertos principus. Ja atbilde ir "nē", norādiet, kādēļ šādi noteikumi nav izstrādāti |
jā
nē |
III. Personas datu aizsardzības un drošības pasākumi
Vai ir izstrādāti personas datu apstrādes aizsardzības noteikumi? | jā
nē |
Kādā kārtībā darbiniekus informē par pienākumu neizpaust personas datus (tostarp pēc darba, dienesta vai citu tiesisko attiecību izbeigšanās)? Kā tiek kontrolēta šā pienākuma ievērošana? | |
Par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību atbildīgā persona | |
Kādi personas datu aizsardzības pasākumi tiek piemēroti informācijas tehnoloģijām? | |
Raksturojiet aizsardzības pasākumus, kas ir ieviesti pēc neautorizētas un prettiesiskas piekļuves personas datiem, kas ir apstrādāti automatizēti vai manuāli | |
Vai sensitīvo personas datu apstrādei ir
noteikts lielāks (augstāks) datu aizsardzības līmenis? Ja atbilde ir "jā", raksturojiet noteikto aizsardzības līmeni |
jā
nē |
Vai iestādē ir informācijas sistēmu drošības noteikumi? | jā
nē |
Vai ir noteiktas par informācijas sistēmu drošības pārvaldību un īstenošanu atbildīgās personas? | jā
nē |
Vai iestādē tiek veikta informācijas sistēmu risku analīze? | jā
nē |
Vai iestādē ir izstrādātas informācijas
sistēmu piekļuves kontroles procedūras? Ja atbilde ir "jā", kā iestāde pārvalda informācijas sistēmu lietotāju kontus? |
jā
nē |
Kādas ir prasības lietotāju kontu parolēm vai citiem kontu aizsardzības rīkiem? | |
Vai ir noteikti pienākumi informācijas sistēmu lietotājiem? Kādi? | jā
nē |
Vai iestādē tiek veikta drošības apmācība personālam, kas veic datu apstrādi informācijas sistēmās? Cik bieži minētā drošības apmācība tiek veikta, kāds ir tās saturs? | jā
nē |
Vai iestāde pirms informācijas sistēmas
nodošanas ekspluatācijā veic drošības atbilstības pārbaudi? Ja atbilde ir "jā", norādiet pārbaudes norises kārtību |
jā
nē |
Vai iestādē ir izstrādāta informācijas sistēmas uzturēšanas kārtība un procedūras? | jā
nē |
Vai iestādē ir nodrošināta informācijas
sistēmas notikumu reģistrēšana un monitorēšana? Raksturojiet kārtību |
jā
nē |
Vai iestāde nodrošina datu rezerves kopiju
veidošanu un pārbaudi? Raksturojiet kārtību |
jā
nē |
Vai iestāde izmanto ārējas informācijas
sistēmas, kas savienotas ar iestādes informācijas sistēmām? Ja atbilde ir "jā", kāda ir kārtība un nosacījumi, saskaņā ar kuriem izveido sadarbību ar citām iestādēm? |
jā
nē |
Kādas tehnoloģijas un rīki tiek izmantoti, lai savienotu sistēmas? | |
Vai iestādes informācijas sistēmām var
piekļūt attālināti? Ja atbilde ir "jā", kāda ir attālinātas piekļuves procedūra un nosacījumi? |
jā
nē |
Vai iestādē ir noteikta kārtība ārējo atmiņas ierīču pārvaldībai un lietošanai? | jā
nē |
Vai informācijas sistēmās tiek izmantota
datu šifrēšana? Ja atbilde ir "jā", raksturojiet to |
jā
nē |
Vai pirms informācijas publiskošanas tiek izvērtēts tās konfidencialitātes līmenis un iespējamie riski? | jā
nē |
Vai iestādē ir izstrādāta incidentu pārvaldības kārtība un procedūras? | jā
nē |
Vai iestādē ir izstrādāta kārtība atklāto trūkumu novēršanai? | jā
nē |
IV. Ieteikumi trūkumu novēršanai
Secinājumi un konstatētie trūkumi |
|
Ieteikumi trūkumu novēršanai |
|
Termiņš trūkumu novēršanai |
Novērtētājs | |||
(vārds, uzvārds, paraksts) |
(datums) |
Tieslietu ministrs Dzintars Rasnačs