Likumi: Šajā laidienā 22 Pēdējās nedēļas laikā 35 Visi
Saeima ir pieņēmusi un Valsts
prezidents izsludina šādu likumu:
Fizisko personu datu apstrādes likums
I nodaļa
Vispārīgie noteikumi
1. pants. Likumā lietotie termini
Likumā ir lietoti Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk — datu regula) 4. pantā noteiktie termini.
2. pants. Likuma mērķis
Likuma mērķis ir radīt tiesiskus priekšnoteikumus fiziskās personas datu (turpmāk — dati) aizsardzības sistēmas izveidošanai nacionālajā līmenī, paredzot šim nolūkam nepieciešamās institūcijas, nosakot to kompetenci un darbības pamatprincipus, kā arī reglamentējot datu aizsardzības speciālistu darbību un datu apstrādes un brīvas aprites noteikumus.
II nodaļa
Datu valsts inspekcijas uzdevumi un statuss
3. pants. Datu valsts inspekcija
(1) Datu valsts inspekcija (turpmāk — inspekcija) ir Ministru kabineta pārraudzībā esoša tiešās pārvaldes iestāde, kas ir datu uzraudzības iestāde datu regulas izpratnē un pilda datu regulā un šajā likumā noteiktos uzdevumus datu apstrādes jomā.
(2) Inspekcijas darbības mērķis ir aizsargāt cilvēka pamattiesības un pamatbrīvības datu aizsardzības jomā.
(3) Inspekcija savā darbībā ir neatkarīga.
(4) Inspekcijā nodarbinātie lēmumus pieņem patstāvīgi, pamatojoties uz savu pārliecību un likumiem, ievērojot personu vienlīdzību likuma un tiesas priekšā, nevainīguma prezumpciju, patiesību un likumību.
(5) Ministru kabinets institucionālo pārraudzību īsteno ar tieslietu ministra starpniecību. Pārraudzība neattiecas uz inspekcijai noteikto uzdevumu un tiesību īstenošanu, kā arī inspekcijas iekšējās organizācijas jautājumiem, tostarp iekšējo normatīvo aktu izdošanu, uzziņas sagatavošanu un lēmumiem, kuri attiecas uz inspekcijā nodarbinātajiem (piemēram, lēmumiem par nodarbināto pieņemšanu un atbrīvošanu no amata, pārcelšanu un tās saskaņošanu, nosūtīšanu komandējumā, disciplinārlietu ierosināšanu, izskatīšanu un disciplinārsodu piemērošanu).
(6) Inspekciju finansē no valsts budžeta.
(7) Inspekcijai ir valsts budžeta konts Valsts kasē, zīmogs ar papildinātā mazā valsts ģerboņa attēlu un pilnu inspekcijas nosaukumu.
4. pants. Inspekcijas uzdevumi
(1) Inspekcija pilda datu regulas 57. pantā noteiktos uzdevumus, kā arī šādus uzdevumus:
1) uzrauga datu apstrādes atbilstību normatīvo aktu prasībām, arī gadījumos, kad pārzinim ar likumu ir aizliegts sniegt datu subjektam informāciju un saņemts attiecīgs iesniegums no datu subjekta;
2) veicina datu aizsardzības efektivitāti;
3) nodrošina datu aizsardzības sertifikācijas procedūru;
4) nodrošina datu aizsardzības speciālistu kvalifikācijas pārbaudi un uztur kvalifikācijas eksāmenu nokārtojušo datu aizsardzības speciālistu sarakstu;
5) atbilstoši savai kompetencei sniedz Saeimai, Ministru kabinetam, pašvaldībām un citām iestādēm ieteikumus attiecībā uz tiesību aktu izdošanu vai grozīšanu, kā arī piedalās normatīvo aktu un attīstības plānošanas dokumentu projektu izstrādē un sniedz viedokli par citu institūciju sagatavotajiem normatīvo aktu un attīstības plānošanas dokumentu projektiem;
6) sniedz atzinumus par valsts pārvaldes institūcijās veidojamo datu apstrādes sistēmu atbilstību normatīvo aktu prasībām;
7) sniedz atzinumu nacionālajai akreditācijas institūcijai par sertifikācijas institūcijas atbilstību datu regulas 43. panta 2. punkta prasībām un saskaņā ar datu regulas 43. panta 3. punktu noteiktajām inspekcijas prasībām un kritērijiem;
8) sadarbojas ar ārvalstu datu aizsardzības, informācijas atklātības un pieejamības uzraudzības un komerciāla paziņojuma sūtīšanas aizlieguma uzraudzības institūcijām;
9) nodrošina to, ka datu subjekta informācijas pieprasījums par sevi tiek pārsūtīts Eiropas Tiesu sadarbības vienībai (Eirojustam) un Eiropas Policijas birojam (Eiropolam);
10) pārstāv Latvijas Republiku starptautiskajās organizācijās un pasākumos datu aizsardzības jomā;
11) veic pētījumus, analizē situāciju, sniedz ieteikumus un atzinumus, kā arī informē sabiedrību par aktuāliem jautājumiem savas kompetences jomās;
12) veic citos normatīvajos aktos noteiktos uzdevumus.
(2) Inspekcija savā tīmekļvietnē publicē informāciju par publisko tiesību juridisko personu, to iestāžu un amatpersonu, kā arī citu valsts institūciju pieļautajiem datu regulas prasību pārkāpumiem un to novēršanu.
5. pants. Inspekcijas tiesības
(1) Inspekcijai ir datu regulas 58. pantā noteiktās tiesības, kā arī šādas tiesības:
1) veikt datu apstrādes pārbaudi (turpmāk — pārbaude), lai noteiktu datu apstrādes atbilstību normatīvo aktu prasībām;
2) sastādīt administratīvo pārkāpumu protokolus, izskatīt administratīvo pārkāpumu lietas un uzlikt administratīvos sodus par pārkāpumiem, kuru izskatīšana ir tai piekritīga;
3) atbilstoši savai kompetencei pieprasīt un bez maksas noteiktajā apjomā un formā saņemt no privātpersonām, valsts pārvaldes institūcijām un amatpersonām pārbaudei nepieciešamo informāciju, dokumentus vai to kopijas un citus materiālus, tostarp ierobežotas pieejamības informāciju;
4) apmeklēt valsts pārvaldes institūcijas un Latvijas teritorijā izvietotas juridiskajām un fiziskajām personām piederošas vai to valdījumā vai lietošanā esošas ražošanas telpas, noliktavas, tirdzniecības un citas nedzīvojamās telpas, lai savas kompetences ietvaros pārbaudītu pārziņa darbību atbilstību normatīvo aktu prasībām;
5) atbilstoši savai kompetencei brīvi iepazīties ar reģistros, informācijas sistēmās un datubāzēs esošo visu veidu informāciju un piekļūt tai (neatkarīgi no informācijas piederības), lai iegūtu pārbaudei nepieciešamo informāciju;
6) atbilstoši savai kompetencei pieprasīt un saņemt pārbaudei nepieciešamo informāciju, dokumentus un citus materiālus par personām sniegtajiem pakalpojumiem;
7) pārbaudes ietvaros pieprasīt un saņemt neatkarīga un objektīva lietpratēja atzinumu;
8) sadarbojoties ar citām uzraudzības iestādēm un izskatot nerezidentu sūdzības, sniegt atbildes angļu valodā;
9) iesniegt tiesā prasību par šā likuma vai datu regulas pārkāpumiem.
(2) Inspekcijas ierēdņu pilnvaras apliecina dienesta apliecība.
III nodaļa
Inspekcijas darbības organizācija
6. pants. Inspekcijas direktors
(1) Inspekciju vada un pārstāv tās direktors. Inspekcijas direktoru pēc Ministru kabineta izveidotas komisijas ieteikuma uz pieciem gadiem amatā ieceļ Ministru kabinets. Viena un tā pati persona var būt inspekcijas direktors ne vairāk kā divus termiņus pēc kārtas.
(2) Inspekcijas direktors:
1) pilda Valsts pārvaldes iekārtas likumā noteiktās tiešās pārvaldes iestādes vadītāja funkcijas;
2) izveido konsultatīvās padomes, kā arī darba grupas jautājumu izvērtēšanai inspekcijas kompetences jomās;
3) ar padomdevēja tiesībām piedalās Valsts sekretāru sanāksmē, Ministru kabineta komiteju un Ministru kabineta sēdēs;
4) ieceļ amatā un atbrīvo no amata inspekcijas ierēdņus un darbiniekus;
5) apstiprina inspekcijas nolikumu;
6) nosaka ierēdņu un darbinieku amatus inspekcijā.
(3) Ministru kabinets izsludina atklātu konkursu uz inspekcijas direktora amatu, nosaka inspekcijas direktora amata pretendentu pieteikšanās nosacījumus un kārtību, kā arī pretendentu atlases un vērtēšanas kārtību.
(4) Inspekcijas direktora amata pretendentu atlasi veic komisija, kuru vada Valsts kancelejas direktors. Komisijas sastāvā ir Valsts kancelejas direktors, tieslietu ministrs, tiesībsargs un Drošības policijas priekšnieks. Inspekcijas direktora amata pretendentu atlasē ar padomdevēja tiesībām piedalās ne vairāk kā trīs tādu biedrību un nodibinājumu pilnvaroti pārstāvji, kuras darbojas cilvēktiesību vai datu aizsardzības jomā.
(5) Komisijas sekretariāta funkcijas nodrošina Valsts kanceleja.
(6) Uz inspekcijas direktoru neattiecas citos normatīvajos aktos noteiktais par iestādes vadītāja darbības un tās rezultātu novērtēšanu, atstādināšanu un disciplināro atbildību, kā arī citas inspekcijas direktora neatkarību ierobežojošas tiesību normas.
7. pants. Prasības inspekcijas direktoram
Par inspekcijas direktoru var būt persona, kura atbilst Valsts civildienesta likumā noteiktajām obligātajām ierēdņa amata prasībām un:
1) ir ar nevainojamu reputāciju;
2) pārvalda vismaz divas svešvalodas;
3) ieguvusi inspekcijas uzdevumu veikšanai atbilstošu profesionālo kvalifikāciju un praktisko darba pieredzi datu aizsardzības jomā un vadītāja amatā;
4) ir tiesīga saņemt speciālo atļauju pieejai valsts noslēpumam;
5) nav ieguvusi parādnieka statusu saskaņā ar Uzturlīdzekļu garantiju fonda likumu;
6) kurai nav pasludināts fiziskās personas maksātnespējas process vai no tā izbeigšanas dienas ir pagājuši pieci gadi.
8. pants. Inspekcijas direktora pilnvaru izbeigšanās
Inspekcijas direktora pilnvaras bez īpaša lēmuma izbeidzas:
1) mēneša laikā no dienas, kad viņš Ministru kabinetam iesniedzis iesniegumu par atteikšanos no amata;
2) beidzoties likumā noteiktajam pilnvaru termiņam;
3) stājoties spēkā nolēmumam, ar kuru viņš sodīts par tīšu noziedzīgu nodarījumu;
4) sakarā ar viņa nāvi.
9. pants. Inspekcijas direktora atbrīvošana no amata
(1) Ministru kabinets inspekcijas direktoru atbrīvo no amata pirms viņa pilnvaru termiņa beigām, ja viņš:
1) ir ievēlēts vai iecelts amatā, kas nav savienojams ar inspekcijas direktora amatu;
2) pildot savus pienākumus, ir pieļāvis tīšu likumpārkāpumu vai nolaidību un tādējādi radījis būtisku kaitējumu valstij vai personai;
3) nav ievērojis likumā "Par interešu konflikta novēršanu valsts amatpersonu darbībā" noteiktos ierobežojumus un aizliegumus un tādējādi radījis kaitējumu valstij vai personai;
4) neatbilst inspekcijas direktora amatam izvirzītajām prasībām;
5) nespēj pildīt amata pienākumus veselības stāvokļa dēļ;
6) bez attaisnojoša iemesla nepilda savus pienākumus.
(2) Jautājumu par inspekcijas direktora atbrīvošanu no amata pēc tieslietu ministra ierosinājuma izvērtē šā likuma 6. panta ceturtajā daļā minētā komisija. Ja komisija konstatē, ka pastāv kāds no šā panta pirmajā daļā noteiktajiem pamatiem inspekcijas direktora atbrīvošanai no amata, tā sagatavo attiecīgu lēmumu un nosūta to Ministru kabinetam. Komisijas izveides, darbības un lēmumu pieņemšanas kārtību nosaka Ministru kabinets.
10. pants. Inspekcijas direktora pilnvaru apturēšana
(1) Ja inspekcijas direktoram ir piemērots ar brīvības atņemšanu saistīts drošības līdzeklis vai pret viņu ir uzsākta kriminālvajāšana, tieslietu ministrs aptur viņa pilnvaras līdz brīdim, kad stājas spēkā attaisnojošs tiesas spriedums attiecīgajā krimināllietā vai kriminālprocess pret viņu tiek izbeigts uz reabilitējoša pamata.
(2) Inspekcijas direktora pilnvaru apturēšanas periodā viņam izmaksā valstī noteikto minimālo mēneša darba algu.
(3) Ja inspekcijas direktors likumā noteiktajā kārtībā tiek atzīts par vainīgu noziedzīga nodarījuma izdarīšanā, viņu uzskata par atbrīvotu no amata ar pilnvaru apturēšanas dienu un darba samaksu par pilnvaru apturēšanas periodu neizmaksā. Ja inspekcijas direktors tiek attaisnots vai kriminālprocess pret viņu tiek izbeigts, viņam izmaksā darba samaksu par pilnvaru apturēšanas periodu, ja vien nav cita šajā likumā noteikta pamata atbrīvošanai no amata.
(4) Ja kriminālprocess pret inspekcijas direktoru tiek izbeigts uz nereabilitējoša pamata, jautājumu par viņa atbrīvošanu no amata izvērtē šā likuma 6. panta ceturtajā daļā minētā komisija.
11. pants. Inspekcijas direktora vietnieks
(1) Inspekcijas direktora vietnieku ieceļ inspekcijas direktors.
(2) Inspekcijas direktora prombūtnes laikā viņa pienākumus pilda inspekcijas direktora vietnieks, un tam šajā laikā ir tādas pašas pilnvaras kā inspekcijas direktoram.
(3) Šā likuma 8., 9. un 10. pantā paredzētajos gadījumos inspekcijas direktora vietnieks pilda inspekcijas direktora pienākumus līdz brīdim, kad Ministru kabinets apstiprina amatā jaunu inspekcijas direktoru vai tieslietu ministrs atjauno inspekcijas direktora pilnvaras. Līdz šim brīdim inspekcijas direktora vietniekam ir tādas pašas pilnvaras kā inspekcijas direktoram.
12. pants. Inspekcijas nolikums
Inspekcijas struktūru, iekšējās darbības noteikumus, iekšējās kontroles sistēmu un tās uzraudzību, lēmumu priekšpārbaudes un pēcpārbaudes kārtību, kā arī inspekcijas ierēdņa dienesta apliecības saturu un formu reglamentē inspekcijas nolikums. To apstiprina inspekcijas direktors, un tas tiek publicēts inspekcijas tīmekļvietnē.
13. pants. Darbības pārskati
Inspekcija reizi gadā līdz 1. martam iesniedz darbības pārskatu Saeimai, Ministru kabinetam, Augstākajai tiesai, Eiropas Komisijai un Eiropas Datu aizsardzības kolēģijai, kā arī to ievieto savā tīmekļvietnē.
14. pants. Informācijas izpaušanas aizliegums un informēšanas pienākums
(1) Inspekcijā nodarbinātajiem, kā arī inspekcijas pieaicinātajiem lietpratējiem ir aizliegts izpaust informāciju (izņemot publiski pieejamo informāciju), ko tie ieguvuši saistībā ar uzdevumu veikšanu inspekcijā. Šis aizliegums ir spēkā arī pēc dienesta vai darba tiesisko attiecību izbeigšanās.
(2) Inspekcija, nododot lietpratējam ar uzdevuma izpildi saistīto informāciju, brīdina viņu par aizliegumu to izpaust un normatīvajos aktos noteikto atbildību par informācijas nelikumīgu izpaušanu.
(3) Inspekcija informē pārzini vai apstrādātāju par lietpratēja piesaisti un lietpratējam nodoto informāciju.
IV nodaļa
Pārbaužu īstenošanas kārtība
15. pants. Pārbaude
(1) Pārbaude ietver visu veidu darbības, ko inspekcija veic, lai noskaidrotu datu apstrādes atbilstību datu regulas un citu normatīvo aktu prasībām, tostarp datu apstrādes vietas apmeklēšanu, informācijas iegūšanu, izmantojot visas tiesiskās metodes, un citas nepieciešamās darbības.
(2) Pārbaudes ietvaros pirms datu apstrādes vietas apmeklēšanas inspekcija informē pārzini par plānotā apmeklējuma mērķi, laiku un vietu un lūdz nodrošināt pārziņa pilnvarotā pārstāvja klātbūtni. Pārziņa pilnvarotā pārstāvja klātbūtnes nenodrošināšana nav šķērslis pārbaudes veikšanai.
(3) Pārbaudes ietvaros inspekcijas ierēdņiem ir tiesības pārziņa pilnvarotā pārstāvja vai darbinieka klātbūtnē apmeklēt datu apstrādes vietu, uzrādot dienesta apliecību un informējot par pārbaudes priekšmetu un mērķi.
(4) Uzsākot šā panta pirmajā daļā noteiktās procesuālās darbības, inspekcijas ierēdnis informē pārziņa vai apstrādātāja pilnvarotos pārstāvjus un darbiniekus par viņu tiesībām.
(5) Lai inspekcijai sniedzamajai informācijai vai kādai tās daļai tiktu noteikts ierobežotas pieejamības informācijas statuss, informācijas sniedzējs precīzi norāda attiecīgos dokumentus un attiecīgā statusa noteikšanas nepieciešamības pamatojumu.
(6) Ja informācijas sniedzējs nav izpildījis šā panta piektās daļas prasības vai ierosinājums konkrētajai informācijai noteikt ierobežotas pieejamības informācijas statusu ir nepamatots, inspekcija par to paziņo informācijas sniedzējam.
(7) Ja šā panta sestajā daļā minētie trūkumi netiek novērsti septiņu dienu laikā no inspekcijas paziņojuma saņemšanas dienas, sniegtā informācija Informācijas atklātības likumā noteiktajā kārtībā var tikt aizsargāta vienīgi kā informācija iestādes iekšējai lietošanai. Inspekcija par to paziņo informācijas sniedzējam.
(8) Inspekcija var pieprasīt, lai persona, kuras sniegtajai informācijai nepieciešams noteikt ierobežotas pieejamības informācijas statusu, minētajai informācijai pievieno vispārpieejamas informācijas eksemplāru, kurā nav iekļauta ierobežotas pieejamības informācija.
16. pants. Procesuālās darbības protokols
(1) Šā likuma 15. pantā noteiktās procesuālās darbības inspekcijas ierēdņi fiksē procesuālās darbības protokolā.
(2) Procesuālās darbības protokolā norāda:
1) darbības vietu un datumu;
2) darbības tiesisko pamatu;
3) laiku, kad darbība sākta un pabeigta;
4) darbības veicēju amatu, vārdu un uzvārdu;
5) protokolētāja amatu, vārdu un uzvārdu;
6) personu — darbības dalībnieku — amatu, vārdu un uzvārdu;
7) darbības gaitu un konstatētos faktus;
8) darbības gaitā iegūtos dokumentus.
(3) Protokolam pievieno procesuālās darbības gaitā iegūtos dokumentus.
(4) Procesuālās darbības veicējs iepazīstina personas, kuras piedalījās attiecīgajā darbībā, ar procesuālās darbības protokola saturu un pielikumiem. Personu ieteiktos labojumus un papildinājumus fiksē procesuālās darbības protokolā.
(5) Procesuālās darbības protokolu kopumā un katru tā lappusi atsevišķi paraksta procesuālās darbības veicējs, protokolētājs un visas personas, kuras piedalījās attiecīgajā darbībā. Elektroniski paraksta tikai protokolu kopumā. Ja persona atsakās parakstīties, to atzīmē protokolā, norādot atteikšanās iemeslu.
(6) Procesuālās darbības veicējs izsniedz protokola kopiju personai, pret kuru uzsākta pārbaude.
V nodaļa
Datu aizsardzības speciālists
17. pants. Prasības datu aizsardzības speciālistam
Datu aizsardzības speciālista pienākumus drīkst veikt persona, kura atbilst datu regulas 37. panta 5. punktā noteiktajiem kritērijiem. Pārzinis vai apstrādātājs par datu aizsardzības speciālistu var norīkot personu, kura šajā likumā noteiktajā kārtībā ir iekļauta inspekcijas datu aizsardzības speciālistu sarakstā, vai citu personu.
18. pants. Datu aizsardzības speciālistu saraksts
(1) Lai identificētu datu aizsardzības speciālistus, kuri ir nokārtojuši kvalifikācijas eksāmenu, un nodrošinātu to, ka informācija par datu aizsardzības speciālistiem ir pieejama, inspekcija kārto datu aizsardzības speciālistu sarakstu. Datu aizsardzības speciālistu sarakstā iekļauj tikai tās personas, kuras ir nokārtojušas kvalifikācijas eksāmenu.
(2) Datu aizsardzības speciālistu sarakstā iekļauj šādus datus par personu:
1) vārdu, uzvārdu un personas kodu;
2) datumu, kad persona iekļauta datu aizsardzības speciālistu sarakstā;
3) elektroniskā pasta adresi.
(3) Datu aizsardzības speciālists nekavējoties rakstveidā paziņo inspekcijai par konstatētajām kļūdām un grozījumiem ziņās, kas attiecībā uz viņu iekļautas datu aizsardzības speciālistu sarakstā.
(4) Datu aizsardzības speciālistu saraksts (izņemot personas kodu) ir publiski pieejams inspekcijas tīmekļvietnē.
(5) Ministru kabinets nosaka datu aizsardzības speciālistu saraksta uzturēšanas kārtību.
19. pants. Datu aizsardzības speciālista kvalifikācijas eksāmens
(1) Datu aizsardzības speciālista kvalifikācijas eksāmenu organizē inspekcija.
(2) Ja persona nokārto datu aizsardzības speciālista kvalifikācijas eksāmenu, inspekcijas direktors pieņem lēmumu par tās iekļaušanu datu aizsardzības speciālistu sarakstā.
(3) Pretendentu pieteikšanās kārtību, kvalifikācijas eksāmena saturu, norises un vērtēšanas kārtību, maksu par kvalifikācijas eksāmena kārtošanu un tās iekasēšanas kārtību, kā arī prasības profesionālās kvalifikācijas uzturēšanai nosaka Ministru kabinets.
20. pants. Izslēgšana no datu aizsardzības speciālistu saraksta
(1) Datu aizsardzības speciālistu saskaņā ar inspekcijas direktora lēmumu izslēdz no datu aizsardzības speciālistu saraksta, ja:
1) viņš iesniedzis inspekcijai attiecīgu rakstveida lūgumu;
2) tiesa viņam nodibinājusi aizgādnību;
3) viņam ar tiesas spriedumu atņemtas tiesības strādāt par datu aizsardzības speciālistu vai noteikti citādi ierobežojumi, kas neļauj pildīt attiecīgos profesionālos pienākumus;
4) viņš ir miris vai atzīts par bezvēsts prombūtnē esošu;
5) viņš nav izpildījis Ministru kabineta noteikumos paredzētās prasības profesionālās kvalifikācijas uzturēšanai.
(2) Persona, kas no datu aizsardzības speciālistu saraksta izslēgta saskaņā ar šā panta pirmās daļas 1., 2. vai 3. punktu, var lūgt atjaunošanu sarakstā, un inspekcija to no jauna iekļauj datu aizsardzības speciālistu sarakstā, ja ir novērsti iemesli, kuru dēļ persona tika no saraksta izslēgta. Datu aizsardzības speciālista kvalifikācijas eksāmens šādai personai kārtojams, ja no dienas, kad tā tika izslēgta no datu aizsardzības speciālistu saraksta, ir pagājuši vismaz divi gadi.
VI nodaļa
Sertifikācijas un rīcības kodeksa pārraudzības institūcijas
21. pants. Sertifikācijas institūcijas akreditācija
(1) Sertifikācijas institūciju saskaņā ar datu regulas 43. panta 1. punkta "b" apakšpunktu novērtē, akreditē un uzrauga nacionālā akreditācijas institūcija atbilstoši normatīvajiem aktiem par atbilstības novērtēšanu un saskaņā ar datu regulas 43. panta 3. punktu noteiktajām inspekcijas prasībām un kritērijiem.
(2) Sertifikācijas institūciju akreditē, ja ir saņemts inspekcijas atzinums par sertifikācijas institūcijas atbilstību datu regulas 43. panta 2. punkta prasībām un saskaņā ar datu regulas 43. panta 3.punktu noteiktajām inspekcijas prasībām un kritērijiem.
(3) Nacionālā akreditācijas institūcija piecu darbdienu laikā pēc sertifikācijas institūcijas akreditācijas, akreditācijas apturēšanas vai akreditācijas atcelšanas nosūta inspekcijai šā panta ceturtajā daļā minēto informāciju par sertifikācijas institūciju.
(4) Inspekcija savā tīmekļvietnē publicē un aktualizē šādu informāciju par sertifikācijas institūciju:
1) nosaukumu;
2) reģistrācijas numuru;
3) kontaktinformāciju (juridisko adresi, tālruni, elektroniskā pasta adresi);
4) akreditācijas piešķiršanas datumu un termiņu;
5) akreditācijas apturēšanas datumu un termiņu;
6) akreditācijas atcelšanas datumu.
(5) Šā panta ceturtās daļas 1., 2. vai 3. punktā minētās informācijas izmaiņu gadījumā nacionālā akreditācijas institūcija piecu darbdienu laikā informē inspekciju par izmaiņām ziņās par sertifikācijas institūciju. Inspekcija piecu darbdienu laikā pēc informācijas saņemšanas aktualizē attiecīgo informāciju savā tīmekļvietnē.
(6) Datu regulas 43. panta 3. punktā minētos kritērijus un prasības sertifikācijas institūciju akreditācijai un datu regulas 42. panta 5. punktā minētos kritērijus sertifikāta izdošanai apstiprina inspekcijas direktors un ne vēlāk kā triju darbdienu laikā pēc apstiprināšanas dienas publicē inspekcijas tīmekļvietnē.
(7) Inspekcijai ir tiesības veikt sertifikācijas procedūru un izsniegt datu sertifikātu, ja neviena institūcija nav akreditēta.
22. pants. Rīcības kodeksa pārraudzības institūcijas akreditācija
(1) Inspekcija saskaņā ar datu regulas 41. panta 1. punktu uz pieciem gadiem izsniedz licenci rīcības kodeksa pārraudzības institūcijai, kura pienācīgi pārzina rīcības kodeksa tematiku un pārrauga kodeksa izpildi.
(2) Ministru kabinets nosaka prasības rīcības kodeksa pārraudzības institūcijas licences saņemšanai, kā arī licences izsniegšanas, apturēšanas un anulēšanas kārtību un gadījumus.
(3) Par licences izsniegšanu rīcības kodeksa pārraudzības institūcija maksā valsts nodevu. Valsts nodevas apmēru un maksāšanas kārtību nosaka Ministru kabinets.
(4) Inspekcija savā tīmekļvietnē publicē un aktualizē šādu informāciju par rīcības kodeksa pārraudzības institūciju:
1) nosaukumu;
2) reģistrācijas numuru;
3) kontaktinformāciju (juridisko adresi, tālruni, elektroniskā pasta adresi);
4) licences piešķiršanas datumu;
5) licences apturēšanas vai anulēšanas datumu.
(5) Šā panta ceturtās daļas 1., 2. vai 3. punktā minētās informācijas izmaiņu gadījumā rīcības kodeksa pārraudzības institūcija piecu darbdienu laikā pēc izmaiņu stāšanās spēkā iesniedz inspekcijai iesniegumu par izmaiņām. Inspekcija piecu darbdienu laikā pēc iesnieguma saņemšanas aktualizē attiecīgo informāciju savā tīmekļvietnē.
VII nodaļa
Lēmumu pieņemšanas, apstrīdēšanas un pārsūdzēšanas kārtība
23. pants. Lēmumu pieņemšana
Inspekcija, pieņemot datu regulas 58. pantā noteiktos lēmumus, attiecībā uz tiesiskā pienākuma uzlikšanu piemēro Administratīvā procesa likumu un attiecībā uz administratīvajiem sodiem — administratīvo pārkāpumu lietvedību (procesu) regulējošos normatīvos aktus, ciktāl šis likums un datu regula nenosaka citādi.
24. pants. Inspekcijas lēmumu apstrīdēšana un pārsūdzēšana
(1) Inspekcijas amatpersonas izdotu administratīvo aktu vai faktisko rīcību var apstrīdēt Administratīvā procesa likumā noteiktajā kārtībā, iesniedzot attiecīgu iesniegumu inspekcijas direktoram.
(2) Inspekcijas direktora izdotu administratīvo aktu vai faktisko rīcību var pārsūdzēt Administratīvā procesa likumā noteiktajā kārtībā. Inspekcijas direktora administratīvā akta pārsūdzēšana neaptur tā darbību.
VIII nodaļa
Datu apstrāde un datu subjekta tiesības
25. pants. Datu apstrādes vispārīgie noteikumi
(1) Datu apstrāde ir atļauta, ja ir vismaz viens no datu regulas 6. panta 1. punktā noteiktajiem pamatiem. Datu regulas 6. panta 2. un 3. punkta prasības attiecībā uz datu apstrādi, kas veicama, lai izpildītu uz pārzini attiecināmu juridisku pienākumu, uzdevumu, ko pārzinis veic sabiedrības interesēs, vai lai pārzinis varētu īstenot tam likumīgi piešķirtas oficiālās pilnvaras, ir noteiktas attiecīgo jomu regulējošos normatīvajos aktos.
(2) Datus, kas atklāj fiziskās personas rasi vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētiskos datus, biometriskos datus, kuru apstrāde nepieciešama fiziskās personas unikālai identifikācijai, veselības datus vai datus par fiziskās personas dzimumdzīvi vai seksuālo orientāciju apstrādāt ir atļauts, ja ir vismaz viens no datu regulas 9. panta 2. punktā noteiktajiem pamatiem vai datu apstrāde paredzēta ārējā normatīvajā aktā atbilstoši datu regulas 9. panta 4. punktam.
(3) Datu apstrādē tiek ievēroti datu regulas 5. pantā noteiktie datu apstrādes principi, arī tie, kuri noteic, ka dati iegūstami konkrētos, skaidros un leģitīmos nolūkos un tikai tādā apmērā, kāds nepieciešams datu apstrādes nolūku sasniegšanai. Datu apstrāde citā nolūkā, nevis tajā nolūkā, kādā dati tika sākotnēji iegūti, ir atļauta, ja šāda datu apstrāde nav aizliegta un ir kāds no datu regulā noteiktajiem datu apstrādes pamatiem vai datu apstrāde atbilstoši datu regulai ir savietojama ar sākotnējiem nolūkiem.
(4) Datu apstrādē tiek ievērotas arī citas datu regulas, šā likuma un attiecīgo jomu regulējošu normatīvo aktu prasības.
26. pants. Datu subjekta tiesību ierobežojumi
(1) Datu subjekta tiesības var ierobežot arī citos normatīvajos aktos paredzētos gadījumos, kas nav minēti šā likuma 27., 28., 29., 30., 31., 32., 34. un 36. pantā, ievērojot datu regulas 23. pantu.
(2) Civilprocesa likumā noteiktajā kārtībā prasība par aizskāruma novēršanu, ja aizskārums radies datu regulas prasību pārkāpuma rezultātā, ceļama ne vēlāk kā piecus gadus pēc aizskāruma rašanās dienas, bet, ja aizskārums ir ilgstošs, — no aizskāruma pārtraukšanas dienas.
27. pants. Datu subjekta piekļuves tiesību ierobežojums
(1) Datu subjektam nav tiesību saņemt datu regulas 15. pantā norādīto informāciju, ja šo informāciju aizliegts izpaust saskaņā ar normatīvajiem aktiem nacionālās drošības, valsts aizsardzības, sabiedrības drošības un krimināltiesību jomā, kā arī tādēļ, lai nodrošinātu sabiedrības finansiālās intereses nodokļu aizsardzības, noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas jomā vai finanšu tirgus dalībnieku uzraudzību un to garantiju sistēmu darbību, noregulējuma piemērošanu un makroekonomisko analīzi.
(2) Atbilstoši datu regulas 15. pantam datu subjektam sniedzamajā informācijā aizliegts iekļaut norādi par valsts institūcijām, kuras ir kriminālprocesa virzītāji vai operatīvās darbības subjekti, un citām institūcijām, par kurām šādu ziņu izpaušana ir aizliegta ar likumu.
(3) Datu subjekts var saņemt informāciju par tā datu saņēmējiem vai saņēmēju kategorijām, kam dati ir izpausti pēdējo divu gadu laikā.
28. pants. Datu apstrāde oficiālajā publikācijā
(1) Datu regulas 16., 17., 18., 19., 20. un 21. pantu nepiemēro, ja datu apstrāde tiek veikta saskaņā ar normatīvajiem aktiem oficiālās publikācijas nodrošināšanai.
(2) Oficiālajā izdevumā publicētos datus oficiālā izdevuma izdevējs dzēš, pamatojoties uz:
1) inspekcijas lēmumu;
2) pārziņa pamatotu lēmumu, kas apliecina, ka šo datu publicēšana oficiālajā izdevumā neatbilst datu regulas noteikumiem.
(3) Inspekcija var pieņemt lēmumu par oficiālajā izdevumā publicēto datu dzēšanu, ja datu subjekta tiesību uz privāto dzīvi aizskārums ir lielāks nekā sabiedrības ieguvums no oficiālās publikācijas nemainīguma.
29. pants. Datu apstrāde statistikas nolūkos
Ja datus apstrādā statistikas nolūkos, datu regulas 15., 16., 18. un 21. pantā noteiktās datu subjekta tiesības netiek piemērotas, ciktāl tās var neļaut vai būtiski traucēt konkrēto nolūku sasniegšanu un atkāpes ir vajadzīgas šo nolūku sasniegšanai.
30. pants. Datu apstrāde arhivēšanas nolūkos sabiedrības interesēs
(1) Ja datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, lai veidotu, uzkrātu, izvērtētu, saglabātu un izmantotu nacionālo dokumentāro mantojumu, datu regulas 15. un 16. pantā noteiktās tiesības datu subjekts īsteno atbilstoši arhīva jomu regulējošiem normatīvajiem aktiem.
(2) Ja datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, lai veidotu, uzkrātu, izvērtētu, saglabātu un izmantotu nacionālo dokumentāro mantojumu, datu regulas 18., 19., 20. un 21. pantā noteiktās datu subjekta tiesības netiek piemērotas, ciktāl tās var neļaut vai būtiski traucēt konkrēto nolūku sasniegšanu un atkāpes ir vajadzīgas šo nolūku sasniegšanai.
31. pants. Datu apstrāde zinātniskās vai vēstures pētniecības nolūkos
Ja datus apstrādā zinātniskās vai vēstures pētniecības nolūkos sabiedrības interesēs, datu regulas 15., 16., 18. un 21. pantā noteiktās datu subjekta tiesības netiek piemērotas, ciktāl tās var neļaut vai būtiski traucēt konkrēto nolūku sasniegšanu un atkāpes ir vajadzīgas šo nolūku sasniegšanai.
32. pants. Datu apstrāde saistībā ar vārda un informācijas brīvību
(1) Personai ir tiesības apstrādāt datus akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām atbilstoši normatīvajos aktos noteiktajam, kā arī apstrādāt datus žurnālistikas vajadzībām, ja tas tiek darīts ar mērķi publicēt informāciju, kas skar sabiedrības intereses.
(2) Apstrādājot datus žurnālistikas vajadzībām, datu regulas noteikumi (izņemot 5. pantu) netiek piemēroti, ja ir konstatējami visi šādi nosacījumi:
1) datu apstrādi veic, lai īstenotu tiesības uz vārda un informācijas brīvību, ievērojot personas tiesības uz privāto dzīvi, un netiek skartas tādas datu subjekta intereses, kurām nepieciešama aizsardzība un kuras ir svarīgākas par sabiedrības interesēm;
2) datu apstrādi veic ar mērķi publicēt informāciju, kas skar sabiedrības intereses;
3) datu regulas noteikumu ievērošana nav savietojama vai liedz īstenot tiesības uz vārda un informācijas brīvību.
(3) Apstrādājot datus akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām, datu regulas noteikumi (izņemot 5. pantu) netiek piemēroti, ja ir konstatējami visi šādi nosacījumi:
1) datu apstrādi veic, ievērojot personas tiesības uz privāto dzīvi, un netiek skartas tādas datu subjekta intereses, kurām nepieciešama aizsardzība un kuras ir svarīgākas par sabiedrības interesēm;
2) datu regulas noteikumu ievērošana nav savietojama vai liedz īstenot tiesības uz vārda un informācijas brīvību.
33. pants. Nosacījumi bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem
Ja atbilstoši datu regulas 8. pantam informācijas sabiedrības pakalpojumu tiešai sniegšanai ir nepieciešama datu subjekta piekrišana, bet datu subjekts ir bērns, viņa piekrišana ir uzskatāma par pamatu datu apstrādei un viņa datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs vai ja attiecībā uz bērnu, kurš vēl nav sasniedzis 13 gadu vecumu, piekrišanu ir devis viņa vecāks vai likumiskais aizbildnis.
34. pants. Datu apstrāde krimināltiesību jomā
Datu apstrāde sākotnēji neparedzētiem mērķiem krimināltiesību jomā ir pieļaujama:
1) saskaņā ar normatīvajiem aktiem, ar kuriem tiek ieviesta Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa direktīva (ES) 2016/680 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes pamatlēmumu 2008/977/TI;
2) lai datus izmantotu administratīvajā vai civilajā tiesvedībā, kā arī ar likumu pilnvarotu valsts institūciju amatpersonu darbībā, ja tā ir saistīta ar noziedzīgu nodarījumu novēršanu, atklāšanu, izmeklēšanu vai kriminālvajāšanu, kriminālsodu izpildi, procesu par noziedzīgi iegūtu mantu, medicīniska rakstura un audzinoša rakstura piespiedu līdzekļiem vai piespiedu ietekmēšanas līdzekļiem juridiskajām personām vai spēkā esošu nolēmumu jaunas izskatīšanas norisi un izpildi;
3) lai novērstu tūlītēju būtisku sabiedriskās drošības apdraudējumu;
4) ja datu subjekts devis piekrišanu datu apstrādei.
35. pants. Datu subjekta tiesības attiecībā uz datu apstrādi Eirojustā un Eiropolā
(1) Datu subjektam ir tiesības iesniegt inspekcijai pieprasījumu par savu datu apstrādi vai par savu datu apstrādes pārbaudi Eirojustā vai Eiropolā.
(2) Inspekcija pēc šā panta pirmajā daļā minētā pieprasījuma saņemšanas nekavējoties, bet ne vēlāk kā mēneša laikā no tā saņemšanas dienas pārsūta pieprasījumu attiecīgi Eirojustam vai Eiropolam izskatīšanai un informē par to datu subjektu.
36. pants. Videonovērošanas nosacījumi
(1) Šā likuma un datu regulas prasības neattiecas uz datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces ceļu satiksmē, personiskajām vai mājsaimniecības vajadzībām. Ceļu satiksmē iegūtos ierakstus aizliegts izpaust citām personām un institūcijām, izņemot gadījumus, kad ir konstatējams kāds no datu regulā noteiktajiem datu apstrādes pamatiem.
(2) Šā likuma un datu regulas prasības neattiecas uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām. Par datu apstrādi personiskajām vai mājsaimniecības vajadzībām netiek uzskatīta publiskās telpas novērošana plašā mērogā vai gadījumi, kad tiek izmantoti tehniskie palīglīdzekļi informācijas strukturēšanai.
(3) Ja pārzinis izmanto informatīvo zīmi, lai informētu datu subjektus par videonovērošanu, minētajā zīmē norāda vismaz pārziņa nosaukumu, kontaktinformāciju, datu apstrādes mērķi, kā arī iekļauj norādi par iespēju iegūt citu datu regulas 13. pantā norādīto informāciju.
37. pants. Auditācijas pieraksti
(1) Šā panta izpratnē auditācijas pieraksti ir analīzei pieejami reģistrēti dati par noteiktiem notikumiem informācijas sistēmā (piemēram, dati par piekļuvi informācijas sistēmai, datu ievadi, grozīšanu, dzēšanu un nosūtīšanu).
(2) Ja pārzinim ir noteikts pienākums nodrošināt sistēmas auditācijas pierakstu uzglabāšanu, tie ir uzglabājami ne ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ja normatīvie akti vai apstrādes raksturs nenosaka citādi.
(3) Pārzinim ir tiesības nesniegt datu subjektam datu regulas 15. pantā minēto informāciju, ja tā rīcībā vairs nav auditācijas pierakstu, kuros pieejama datu subjekta pieprasītā informācija.
(4) Pārzinim nav pienākuma saglabāt auditācijas pierakstos informāciju tikai tādēļ, lai apmierinātu datu subjekta pieprasījumu.
Pārejas noteikumi
1. Ar šā likuma spēkā stāšanos spēku zaudē Fizisko personu datu aizsardzības likums (Latvijas Republikas Saeimas un Ministru Kabineta Ziņotājs, 2000, 9. nr.; 2002, 23. nr.; 2007, 3., 8. nr.; 2008, 7. nr.; 2009, 14. nr.; Latvijas Vēstnesis, 2010, 78. nr.; 2012, 104. nr.; 2014, 38. nr.).
2. Līdz brīdim, kad stājas spēkā likums, ar kuru Latvijā tiek ieviestas Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa direktīvas (ES) 2016/680 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes pamatlēmumu 2008/977/TI prasības, bet ne vēlāk kā līdz 2019. gada 1. jūlijam attiecībā uz fizisko personu datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, ir piemērojams Fizisko personu datu aizsardzības likuma 2. pants, 3. panta pirmā un ceturtā daļa, 4. pants, 6., 7., 8. un 9. pants, 10. panta pirmā, otrā, trešā un ceturtā daļa, 11. panta 3., 6., 10. un 11. punkts, 12., 13. un 14. pants, 15. panta pirmā un otrā daļa, trešās daļas 1., 2., 3., 4. un 6. punkts, ceturtā un piektā daļa, 16. un 20. pants, 21.1 panta pirmā, trešā un ceturtā daļa, 21.2 panta pirmā daļa, 25. panta pirmā daļa, 27. pants, 28. panta pirmā daļa, otrās daļas 3. un 4. punkts, 29. panta pirmā daļa, trešās daļas 1., 2. un 4. punkts, ceturtās daļas 1., 2., 3., 6., 7. un 8. punkts, 30. panta pirmā daļa un 31. pants.
3. Līdz šā likuma spēkā stāšanās dienai ieceltais Datu valsts inspekcijas direktors pilda inspekcijas direktora funkcijas līdz brīdim, kad šā likuma 6. pantā noteiktajā kārtībā amatā tiek iecelts jauns inspekcijas direktors, bet ne ilgāk kā līdz 2019. gada 31. decembrim.
4. Personas, kuru dati ir iekļauti Datu valsts inspekcijas datu aizsardzības speciālistu reģistrā pirms šā likuma spēkā stāšanās dienas un kuras nav no šā reģistra izslēgtas, iekļauj datu aizsardzības speciālistu sarakstā, ja tās sešu mēnešu laikā no šā likuma spēkā stāšanās dienas iesniedz attiecīgu rakstveida lūgumu inspekcijas direktoram.
5. Ministru kabinets līdz 2021. gada 30. jūnijam izvērtē šajā likumā ietvertā regulējuma par datu aizsardzības speciālista kvalifikācijas eksāmena lietderību un iesniedz Saeimai izvērtējumu par iespēju atteikties no šā eksāmena.
Likums stājas spēkā nākamajā dienā pēc tā izsludināšanas.
Likums Saeimā pieņemts 2018. gada 21. jūnijā.
Valsts prezidents R. Vējonis
Rīgā 2018. gada 4. jūlijā