Likumi: Šajā laidienā 3 Pēdējās nedēļas laikā 11 Visi
Saeima ir pieņēmusi un Valsts
prezidents izsludina šādu likumu:
Par fizisko personu datu apstrādi kriminālprocesā un administratīvā pārkāpuma procesā
I nodaļa
Vispārīgie noteikumi
1. pants. Likumā lietotie termini
Likumā ir lietoti šādi termini:
1) apstrādātājs — fiziskā vai juridiskā persona, valsts institūcija, atvasināta publiska persona vai tās institūcija, kura pārziņa uzdevumā atbilstoši normatīvajos aktos noteiktajam apstrādā personas datus;
2) biometriskie dati — personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskās personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm un ļauj veikt vai apstiprina šīs fiziskās personas viennozīmīgu identifikāciju;
3) datu subjekts — identificēta vai identificējama fiziskā persona;
4) ģenētiskie dati — personas dati, kas attiecas uz fiziskās personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par šīs fiziskās personas fizioloģiju vai veselību un izriet no šīs fiziskās personas bioloģiskā parauga analīzes;
5) kartotēka — jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai šis datu kopums ir centralizēts, decentralizēts vai izkliedēts;
6) kompetentā iestāde — valsts institūcija, atvasināta publiska persona vai tās institūcija, kuras kompetencē ir noziedzīgu nodarījumu vai administratīvo pārkāpumu novēršana, izmeklēšana vai atklāšana, kriminālsodu vai administratīvo sodu piemērošana vai izpilde vai citu ar administratīvā pārkāpuma procesu vai kriminālprocesu saistītu darbību veikšana;
7) pārzinis — juridiskā persona, valsts institūcija, atvasināta publiska persona vai tās institūcija, kas viena pati vai kopīgi ar citām iestādēm nosaka personas datu apstrādes nolūkus un līdzekļus;
8) kopīgi pārziņi — divi vai vairāki pārziņi, kas kopīgi nosaka personas datu apstrādes nolūkus un līdzekļus;
9) personas dati — jebkura informācija, kas attiecas uz datu subjektu;
10) personas datu aizsardzības pārkāpums — drošības pārkāpums, kura rezultāts ir nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;
11) personas datu apstrāde — jebkura ar personas datiem veikta darbība neatkarīgi no personas datu apstrādes veida, piemēram, vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
12) personas datu apstrādes ierobežošana — personas datu atzīmēšana, nošķiršana no citiem personas datiem vai citas līdzīgas darbības ar mērķi ierobežot konkrētu personas datu apstrādi nākotnē;
13) profilēšana — jebkāda veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana, lai izvērtētu konkrētus ar fizisko personu saistītus aspektus, it īpaši lai analizētu vai prognozētu šīs fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personiskās vēlmes, intereses, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;
14) pseidonimizācija — darbību kopums, kas nodrošina personas datu apstrādi tādā veidā, ka fiziskā persona nav identificējama bez papildu informācijas, kura glabājas atsevišķi un kurai tiek piemēroti atbilstoši tehniskie un organizatoriskie pasākumi, lai fizisko personu nevarētu identificēt bez šādas informācijas;
15) saņēmējs — fiziskā vai juridiskā persona, valsts institūcija, atvasināta publiska persona vai tās institūcija, kurai izpauž personas datus. Valsts institūcija, atvasināta publiska persona vai tās institūcija, kas saņem personas datus saistībā ar konkrētu izmeklēšanu kriminālprocesā vai administratīvā pārkāpuma procesā, nav uzskatāma par saņēmēju;
16) starptautiska organizācija — organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas izveidota ar divu vai vairāku valstu noslēgtu starptautisku līgumu vai uz tā pamata;
17) trešā valsts — valsts, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts;
18) veselības dati — personas dati, kas saistīti ar fiziskās personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu saņemšanu, un sniedz informāciju par tās veselības stāvokli.
2. pants. Likuma mērķis
Likuma mērķis ir aizsargāt fizisko personu pamattiesības, it īpaši tiesības uz privātās dzīves neaizskaramību, kad kompetentās iestādes apstrādā personas datus, lai:
1) novērstu, izmeklētu un atklātu noziedzīgus nodarījumus un administratīvos pārkāpumus;
2) piemērotu un izpildītu kriminālsodus un administratīvos sodus;
3) veiktu citas ar administratīvā pārkāpuma procesu vai kriminālprocesu saistītas darbības, tostarp piemērotu procesuālos piespiedu līdzekļus, nodrošinātu to personu uzraudzību, kuras nosacīti atbrīvotas no kriminālatbildības, procesa par noziedzīgi iegūtu mantu, procesa par medicīniska rakstura piespiedu līdzekļiem, procesa par audzinoša rakstura piespiedu līdzekļiem, procesa par piespiedu ietekmēšanas līdzekļiem juridiskajām personām, procesa par spēkā esošu nolēmumu jaunu izskatīšanu norisi un to ietvaros pieņemto lēmumu izpildi.
3. pants. Likuma darbības joma un piemērošanas izņēmumi
(1) Šo likumu piemēro personas datu apstrādei, ko veic kompetentā iestāde šā likuma 2. pantā minētajos nolūkos, ja apstrāde pilnībā vai daļēji veikta ar automatizētiem līdzekļiem vai apstrādājamie personas dati veido kartotēku vai paredzēti, lai veidotu daļu no kartotēkas.
(2) Šo likumu, ievērojot šā panta pirmo daļu, piemēro arī tādai personas datu apstrādei, ko veic prokuratūra, pildot Prokuratūras likumā noteiktās personu un valsts tiesību un likumīgo interešu aizsardzības funkcijas šā likuma 2. pantā noteiktā mērķa sasniegšanai.
(3) Šo likumu nepiemēro personas datu apstrādei, ko veic kompetentā iestāde citos, šā likuma 2. pantā neminētos nolūkos. Šādai personas datu apstrādei piemēro Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk — datu regula), ciktāl datu regula attiecas uz šādu personas datu apstrādi.
II nodaļa
Personas datu apstrādes vispārīgie noteikumi
4. pants. Personas datu apstrādes principi
(1) Personas datus:
1) apstrādā likumīgi un godprātīgi;
2) vāc konkrētos, skaidros un tiesiskos nolūkos un neapstrādā ar minētajiem nolūkiem nesaderīgā veidā;
3) apstrādā, lai tie būtu atbilstoši šā likuma 2. pantā noteiktajam personas datu apstrādes mērķim un nebūtu pārmērīgi, ņemot vērā to apstrādes nolūku;
4) apstrādā tā, lai tie būtu precīzi un aktuāli. Pārzinis nodrošina, ka neprecīzi personas dati, ņemot vērā to apstrādes nolūku, tiek laikus laboti vai dzēsti;
5) glabā veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā tas nepieciešams personas datu apstrādes nolūkos;
6) apstrādā, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus tā, lai nodrošinātu atbilstošu personas datu drošību, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu.
(2) Personas datu apstrādi sākotnēji neparedzētā nolūkā tas pats vai cits pārzinis var veikt, ja:
1) personas datu apstrāde tiek veikta šā likuma 2. pantā minētajos nolūkos, ir nepieciešama ārējos normatīvajos aktos noteikto uzdevumu izpildei un ir samērīga ar sākotnēji neparedzēto nolūku;
2) personas datu apstrāde ir uzskatāma par arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem šā likuma 2. pantā minētajos nolūkos un tiek nodrošinātas atbilstošas datu subjekta tiesības uz savu personas datu aizsardzību.
(3) Ja personas dati ietverti īslaicīgi, ilgstoši vai pastāvīgi glabājamos dokumentos, tie pilnībā vai daļēji dzēšami pēc dokumentu iznīcināšanas akta saskaņošanas ar Latvijas Nacionālo arhīvu ārējos normatīvajos aktos noteiktajā kārtībā. Īslaicīgi glabājamo dokumentu var iznīcināt (personas datus pilnībā vai daļēji dzēst) bez šāda saskaņojuma tikai tad, ja ar Latvijas Nacionālo arhīvu ir saskaņots attiecīgā dokumenta veida glabāšanas termiņš un tas ir beidzies.
(4) Pārzinis ir atbildīgs par personas datu apstrādes atbilstību šā panta prasībām, un tam jāspēj šo atbilstību uzskatāmi pierādīt.
5. pants. Personas datu apstrādes likumīgums
Personas datu apstrāde ir uzskatāma par likumīgu tikai tiktāl, ciktāl šī apstrāde ir nepieciešama tā uzdevuma izpildei, kuru kompetentā iestāde veic šā likuma 2. pantā minētajos nolūkos un kurš ir noteikts ar kompetentās iestādes darbību regulējošu ārējo normatīvo aktu.
6. pants. Personas datu nošķiršana un kvalitātes pārbaude
(1) Pārzinis, apstrādājot personas datus, skaidri nošķir dažādu datu subjektu kategoriju personas datus, kā arī personas datus, kas balstīti uz faktiem, no personas datiem, kas balstīti uz personiskiem vērtējumiem.
(2) Pārzinis nodrošina, ka personas datus, kas ir neprecīzi, nepilnīgi vai nav aktuāli, nenosūta vai nedara citādi pieejamus. Kompetentā iestāde pirms personas datu nosūtīšanas pārbauda, vai personas dati ir precīzi, pilnīgi, ticami un aktuāli. Nosūtot personas datus, pārzinis tiem pievieno nepieciešamo informāciju, kas kompetentajai iestādei ļauj izvērtēt personas datu precizitāti, pilnību, ticamību un aktualitāti.
(3) Ja ir nosūtīti nepareizi personas dati vai personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē saņēmēju. Šādā gadījumā personas datus labo vai dzēš vai ierobežo to izmantošanu saskaņā ar šā likuma 13. pantu.
7. pants. Īpaši personas datu apstrādes nosacījumi
(1) Kompetentā iestāde, nosūtot personas datus, informē saņēmēju par normatīvajos aktos noteiktajām personas datu apstrādes īpašajām prasībām, kas kompetentajai iestādei ir jāievēro, kā arī par saņēmēja pienākumu šīs prasības ievērot.
(2) Šā panta pirmās daļas noteikumi attiecas arī uz saņēmējiem citās Eiropas Savienības dalībvalstīs, Eiropas Ekonomikas zonas dalībvalstīs vai aģentūrās, birojos un struktūrās, kas izveidoti, ievērojot Līguma par Eiropas Savienības darbību V sadaļas ceturto un piekto daļu.
8. pants. Īpašu kategoriju personas datu apstrāde
Personas datu apstrāde, kas atklāj fiziskās personas rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī ģenētisko un biometrisko datu apstrāde, lai veiktu fiziskās personas viennozīmīgu identifikāciju, vai tādu datu apstrāde, kuri attiecas uz fiziskās personas veselību vai dzimumdzīvi, vai seksuālo orientāciju, ir atļauta tikai tad, ja šāda apstrāde ir noteikta attiecīgā likumā vai ir absolūti nepieciešama un ja uz šādu apstrādi attiecas datu subjekta tiesību garantijas un ir iestājies vismaz viens no šādiem nosacījumiem:
1) personas datu apstrāde nepieciešama, lai aizsargātu būtiskas datu subjekta vai citas fiziskās personas intereses;
2) tiek apstrādāti tādi personas dati, kurus datu subjekts pats ir publiskojis.
9. pants. Automatizēta individuālu lēmumu pieņemšana
(1) Kompetentajai iestādei aizliegts pieņemt tādus lēmumus, kas balstīti tikai uz automātisku apstrādi, tostarp uz profilēšanu, ja tie rada nelabvēlīgas tiesiskas sekas datu subjektam vai būtiski viņu ietekmē, izņemot gadījumus, kad šādu lēmumu pieņemšana ir paredzēta ārējā normatīvajā aktā, kurā ietvertas datu subjekta tiesību garantijas.
(2) Profilēšana, kas diskriminē fizisko personu, pamatojoties uz šā likuma 8. pantā minētajiem īpašu kategoriju personas datiem, ir aizliegta.
III nodaļa
Datu subjekta tiesības
10. pants. Datu subjekta tiesību īstenošanas kārtība
(1) Datu subjektam ir tiesības iesniegt pārzinim pieprasījumu attiecībā uz savu personas datu apstrādi un bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas dienas, saņemt no pārziņa atbildi, kurā norādīta turpmākā rīcība saistībā ar pieprasījumu. Ja datu subjekts nav norādījis citādi un tas ir tehniski iespējams, pārzinis atbildi sniedz tādā pašā veidā, kādā iesniegts pieprasījums.
(2) Datu subjekts šajā likumā tam noteiktās tiesības īsteno bez maksas. Pārzinim ir tiesības pieprasīt maksu par pieprasījuma izpildi atbilstoši normatīvajiem aktiem par informācijas sniegšanas maksas pakalpojumiem, ja datu subjekta pieprasījums ir pārmērīgi liels vai regulāri atkārtojas. Pārzinis informē datu subjektu par maksas pieprasīšanas iemesliem.
(3) Ja datu subjekta pieprasījums ir nepamatots, pārzinis atsaka tajā ietvertā lūguma izpildi. Pārzinis pamato, kāpēc pieprasījums uzskatāms par nepamatotu.
(4) Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz pieprasījumu, tas var pieprasīt papildu informāciju datu subjekta identitātes noskaidrošanai.
(5) Datu subjektam ir tiesības apstrīdēt un pārsūdzēt pārziņa vai apstrādātāja rīcību saistībā ar viņa pieprasījumu Administratīvā procesa likumā noteiktajā kārtībā, bet uzraudzības iestādes (turpmāk — Datu valsts inspekcija) rīcību — Fizisko personu datu apstrādes likumā noteiktajā kārtībā. Ja personas dati tiek apstrādāti operatīvās darbības, kriminālprocesa vai administratīvā pārkāpuma procesa ietvaros, sūdzības par personas datu apstrādi tiek izskatītas operatīvo darbību, kriminālprocesu vai administratīvā pārkāpuma procesu regulējošos normatīvajos aktos noteiktajā kārtībā.
11. pants. Datu subjekta informēšana
(1) Pārzinis datu subjektam dara pieejamu vismaz šādu informāciju:
1) pārziņa nosaukums un kontaktinformācija;
2) datu aizsardzības speciālista kontaktinformācija;
3) personas datu apstrādes nolūks;
4) informācija par tiesībām iesniegt sūdzību Datu valsts inspekcijai un Datu valsts inspekcijas kontaktinformācija;
5) informācija par tiesībām pieprasīt, lai pārzinis nodrošina datu subjektam piekļuvi viņa personas datiem, tos labo vai dzēš vai ierobežo datu subjekta personas datu apstrādi.
(2) Datu subjekta tiesību vai tiesisko interešu aizsardzībai pārzinis ārējos normatīvajos aktos noteiktajā kārtībā datu subjektam sniedz vismaz šādu informāciju:
1) personas datu apstrādes tiesiskais pamats;
2) personas datu glabāšanas termiņš vai, ja tas nav iespējams, kritēriji, kas izmantoti termiņa noteikšanai;
3) saņēmēju kategorijas, arī trešās valstīs vai starptautiskās organizācijās.
(3) Pārzinis informāciju par datu subjekta tiesībām sniedz kodolīgi, saprotami, viegli pieejamā veidā, skaidrā un vienkāršā valodā.
(4) Personas datu apstrādi, neinformējot datu subjektu, veic ārējos normatīvajos aktos noteiktajos gadījumos.
12. pants. Datu subjekta piekļuves tiesības
(1) Datu subjektam ir tiesības saprātīgā laikposmā, ne vēlāk kā mēneša laikā, saņemt no pārziņa informāciju par to, vai tiek apstrādāti viņa personas dati, kā arī iegūt šādu informāciju:
1) personas datu apstrādes nolūks un tiesiskais pamats;
2) apstrādāto personas datu kategorijas;
3) saņēmēji vai saņēmēju kategorijas;
4) personas datu glabāšanas termiņš vai, ja tas nav iespējams, kritēriji, kas izmantoti termiņa noteikšanai;
5) informācija par tiesībām pieprasīt, lai pārzinis labo vai dzēš datu subjekta personas datus vai ierobežo to apstrādi;
6) informācija par tiesībām iesniegt sūdzību Datu valsts inspekcijai un Datu valsts inspekcijas kontaktinformācija;
7) informācija par apstrādātajiem personas datiem un visa pieejamā informācija par to izcelsmi.
(2) Šā panta pirmo daļu nepiemēro, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēta citāda datu subjekta piekļuves tiesību īstenošanas kārtība. Šādā gadījumā pārzinis bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā, rakstveidā informē datu subjektu par atteikumu vai ierobežojumiem piekļūt viņa personas datiem un par atteikuma vai ierobežojumu iemesliem. Šādu informāciju var nesniegt, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēts, ka datu subjektu neinformē par atteikumu vai ierobežojumiem piekļūt viņa personas datiem un par atteikuma vai ierobežojumu iemesliem. Pārzinis informē datu subjektu par tiesībām iesniegt sūdzību Datu valsts inspekcijai vai vērsties tiesā.
(3) Pārzinis nodrošina Datu valsts inspekcijai iespēju pēc tās pieprasījuma iepazīties ar lēmumu, kas pieņemts, pamatojoties uz šā panta otro daļu, un informāciju, uz kuras pamata šis lēmums pieņemts.
13. pants. Tiesības pieprasīt personas datu labošanu, dzēšanu vai personas datu apstrādes ierobežošanu
(1) Datu subjektam ir tiesības pieprasīt, lai pārzinis bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas dienas, papildina vai izlabo viņa personas datus, kas ir neprecīzi vai nepilnīgi.
(2) Datu subjektam ir tiesības pieprasīt, lai pārzinis bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas dienas, dzēš viņa personas datus, ja personas datu apstrādē ir pārkāptas šā likuma 4., 5. vai 8. panta prasības.
(3) Pārzinis nedzēš personas datus, bet ierobežo to apstrādi šādos gadījumos:
1) datu subjekts apstrīd savu personas datu precizitāti, bet nevar noteikt, vai dati ir precīzi vai neprecīzi. Šādā gadījumā pārzinis informē datu subjektu pirms personas datu apstrādes ierobežojumu atcelšanas;
2) personas datus ir nepieciešams saglabāt kā pierādījumus.
(4) Pārzinis datu subjektu neinformē par atteikumu labot viņa personas datus, tos dzēst vai ierobežot to apstrādi un par atteikuma iemesliem, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēta personas datu apstrāde, neinformējot datu subjektu.
(5) Ja neprecīzie personas dati saņemti no kompetentās iestādes, pārzinis informē kompetento iestādi par personas datu labošanu.
(6) Ja pārzinis labo vai dzēš personas datus vai ierobežo to apstrādi, pārzinis par to paziņo saņēmējiem un saņēmēji attiecīgos personas datus labo, dzēš vai ierobežo to apstrādi.
14. pants. Datu subjekta tiesību īstenošana ar Datu valsts inspekcijas starpniecību
(1) Šā likuma 11. panta ceturtajā daļā, 12. panta otrajā daļā un 13. panta ceturtajā daļā minētajos gadījumos datu subjektam ir tiesības iesniegt Datu valsts inspekcijai pieprasījumu par viņa personas datu apstrādi vai par to apstrādes pārbaudi.
(2) Ja datu subjekts šā panta pirmajā daļā minēto pieprasījumu ir iesniedzis pārzinim, pārzinis septiņu darbdienu laikā no pieprasījuma saņemšanas dienas pārsūta to Datu valsts inspekcijai, informējot par to datu subjektu.
(3) Pēc nepieciešamo pārbaužu veikšanas Datu valsts inspekcija informē datu subjektu vismaz par to, ka ir veikusi visas nepieciešamās pārbaudes, kā arī par viņa tiesībām pārsūdzēt Datu valsts inspekcijas rīcību tiesā.
IV nodaļa
Pārzinis, apstrādātājs un datu aizsardzības speciālists
15. pants. Pārziņa vispārīgie pienākumi
(1) Ņemot vērā personas datu apstrādes raksturu, apjomu, kontekstu un nolūku, kā arī dažādus ar personas datu apstrādi saistītus riskus attiecībā uz datu subjekta tiesībām, pārzinis īsteno atbilstošus tehniskos un organizatoriskos pasākumus, tostarp pseidonimizāciju, izmanto loģiskās un fiziskās aizsardzības līdzekļus, lai nodrošinātu, ka personas datu apstrāde notiek saskaņā ar šā likuma prasībām un atbilst personas datu apstrādes principiem.
(2) Pārzinim ir pienākums regulāri pārskatīt un atjaunināt tehniskos un organizatoriskos pasākumus.
(3) Pārziņa darbinieki un citas pārziņa pakļautībā esošās personas apstrādā personas datus tikai atbilstoši normatīvajiem aktiem un saskaņā ar pārziņa norādījumiem.
(4) Kopīgie pārziņi rakstveidā vienojas par šā likuma prasību izpildei veicamajām darbībām, tostarp par datu subjekta tiesību īstenošanas kārtību, ciktāl tās jau neizriet no ārējiem normatīvajiem aktiem.
16. pants. Apstrādātājs un tam uzticētās darbības
(1) Pārzinis personas datu apstrādi var uzticēt apstrādātājam, kas sniedz pietiekamas garantijas tam, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi, kā arī nodrošināta datu subjekta tiesību aizsardzība.
(2) Pārzinis apstrādātājam uztic personas datu apstrādi, noslēdzot rakstveida vienošanos, kurā ietver informāciju par apstrādājamiem personas datiem, personas datu apstrādes ilgumu, raksturu un nolūku, personas datu un datu subjektu kategorijas, pārziņa pienākumus un tiesības, nosacījumus cita apstrādātāja piesaistīšanai, kā arī tādus noteikumus, ka apstrādātājs:
1) rīkojas tikai saskaņā ar pārziņa norādījumiem;
2) nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, apņēmušās ievērot konfidencialitāti;
3) izmantojot attiecīgus līdzekļus, palīdz pārzinim nodrošināt atbilstību šā likuma prasībām;
4) pēc personas datu apstrādes pabeigšanas dzēš vai nodod (pēc pārziņa izvēles) visus ar attiecīgo apstrādi saistītos personas datus. Apstrādātājs nedzēš personas datus, ja ārējos normatīvajos aktos noteikta to glabāšana;
5) sniedz pārzinim visu nepieciešamo informāciju, lai uzskatāmi pierādītu, ka apstrādātājs ievēro tam šajā pantā noteiktos pienākumus.
(3) Apstrādātājs, tā darbinieki un citas apstrādātāja pakļautībā esošās personas apstrādā personas datus tikai atbilstoši normatīvajiem aktiem un saskaņā ar pārziņa norādījumiem.
(4) Apstrādātājam ir atļauts piesaistīt citu apstrādātāju tikai ar pārziņa rakstveida piekrišanu. Ja pārzinis piekrīt cita, konkrēti neminēta apstrādātāja piesaistīšanai, apstrādātājs pirms cita apstrādātāja piesaistīšanas vai nomaiņas informē par to pārzini. Pārzinim ir tiesības iebilst pret konkrēto apstrādātāju.
(5) Ja apstrādātājs ir noteikts normatīvajā aktā un tajā nav ietverta šā panta otrajā daļā minētā informācija un noteikumi, pārzinis ar apstrādātāju par tiem vienojas rakstveidā.
17. pants. Informācijas izpaušanas aizliegums
Pārziņa vai apstrādātāja darbiniekiem un citām to pakļautībā esošajām personām ir aizliegts izpaust informāciju (izņemot publiski pieejamo informāciju), kas iegūta saistībā ar personas datu apstrādi. Šis aizliegums ir spēkā arī pēc dienesta vai darba tiesisko attiecību vai citu līgumā noteikto attiecību izbeigšanās.
18. pants. Apstrādes darbību reģistrēšana
(1) Pārzinis apkopo un uztur šādu informāciju par personas datu apstrādes darbībām, par kurām ir atbildīgs:
1) pārziņa vai visu kopīgo pārziņu nosaukums un kontaktinformācija;
2) datu aizsardzības speciālista vārds, uzvārds (juridiskajai personai — nosaukums un reģistrācijas numurs) un kontaktinformācija;
3) personas datu apstrādes nolūki;
4) personas datu apstrādes tiesiskais pamats;
5) to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijās;
6) datu subjektu kategorijas un to apraksts, tostarp kategorijas, kurās ietilpst personas datu sūtījumi uz trešo valsti vai starptautisku organizāciju;
7) informācija par profilēšanu, ja to izmanto;
8) ja iespējams — termiņš, kādā personas dati tiks dzēsti, norādot to attiecībā uz konkrētu personas datu kategoriju;
9) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību.
(2) Apstrādātājs izveido un uztur visu pārziņa vārdā veikto personas datu apstrādes darbību reģistru, ietverot tajā vismaz šādu informāciju:
1) apstrādātāja vai apstrādātāju, kā arī tā pārziņa vārds, uzvārds (juridiskajai personai — nosaukums un reģistrācijas numurs) un kontaktinformācija, kura vārdā apstrādātājs darbojas;
2) datu aizsardzības speciālista vārds, uzvārds un kontaktinformācija;
3) katra pārziņa vārdā apstrādāto personas datu kategorijas;
4) informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju;
5) vispārīgs to tehnisko un organizatorisko pasākumu apraksts, kuri nodrošina datu subjekta tiesību un tiesisko interešu riskam atbilstošu drošības līmeni.
(3) Šajā pantā minēto informāciju Datu valsts inspekcijai sniedz pēc pieprasījuma bez maksas.
19. pants. Auditācijas pierakstu veikšana
(1) Pārzinis nodrošina auditācijas pierakstu veikšanu vismaz par šādām darbībām automatizētās apstrādes sistēmās: vākšana, aplūkošana, pārveidošana, izpaušana, tostarp nosūtīšana, kombinēšana un dzēšana. Pierakstus par aplūkošanu un izpaušanu veido tā, lai būtu nodrošināta iespēja uzzināt attiecīgo darbību pamatojumu, datumu un laiku un, ciktāl tas iespējams, identificēt personu, kura aplūkoja vai izpauda personas datus, kā arī šo personas datu saņēmējus.
(2) Auditācijas pierakstus izmanto, lai pārbaudītu personas datu apstrādes likumīgumu, veiktu pašuzraudzību, nodrošinātu personas datu integritāti un drošību, kā arī kriminālprocesa, administratīvā pārkāpuma procesa, resoriskās pārbaudes, operatīvās darbības pasākumu, kriminālsodu, administratīvo sodu, audzinoša rakstura piespiedu līdzekļu, medicīniska rakstura piespiedu līdzekļu, procesuālo piespiedu līdzekļu piemērošanas un nosacīti no kriminālatbildības atbrīvoto personu uzraudzības procesa vajadzībām.
(3) Pārzinis un apstrādātājs auditācijas pierakstus pēc pieprasījuma bez maksas dara pieejamus Datu valsts inspekcijai.
20. pants. Sadarbība ar Datu valsts inspekciju
Pārzinis un apstrādātājs sadarbojas ar Datu valsts inspekciju tās uzdevumu izpildē un pēc Datu valsts inspekcijas pieprasījuma sniedz tai noteiktu uzdevumu izpildei nepieciešamo informāciju, lai tā varētu pārliecināties par personas datu apstrādes atbilstību šā likuma prasībām.
21. pants. Novērtējums par ietekmi uz datu aizsardzību
(1) Ja personas datu apstrādes veids, it īpaši izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt datu subjekta tiesību un tiesisko interešu riskus, pārzinis pirms personas datu apstrādes novērtē, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību.
(2) Novērtējumā ietver vismaz plānoto personas datu apstrādes darbību vispārīgu aprakstu, datu subjektu tiesību un tiesisko interešu risku novērtējumu, pasākumus, kas paredzēti minēto risku novēršanai, garantijas, drošības pasākumus un mehānismus, ar kuriem nodrošina personas datu aizsardzību un uzskatāmi pierāda, ka ir ievērots šis likums un ņemtas vērā datu subjektu un citu attiecīgo personu tiesības un tiesiskās intereses.
22. pants. Datu valsts inspekcijas viedokļa par personas datu apstrādi pieprasīšana
(1) Pārzinis vai apstrādātājs pirms to personas datu apstrādes, kurus ietvers informācijas sistēmā, apspriežas ar Datu valsts inspekciju jebkurā no šādiem gadījumiem:
1) novērtējumā par ietekmi uz datu aizsardzību konstatēts, ka personas datu apstrāde var radīt augstu datu subjekta tiesību un tiesisko interešu risku, ja pārzinis neveiks riska samazināšanas pasākumus;
2) personas datu apstrādes veids, it īpaši izmantojot jaunās tehnoloģijas, mehānismus vai procedūras, ir saistīts ar augstu datu subjektu tiesību un tiesisko interešu risku.
(2) Datu valsts inspekcija sešu nedēļu laikā pēc pieprasījuma saņemšanas sniedz viedokli par personas datu apstrādes ietekmi uz datu aizsardzību. Ņemot vērā paredzētās apstrādes sarežģītību, termiņu var pagarināt uz vienu mēnesi, par to attiecīgi informējot pārzini vai apstrādātāju.
(3) Datu valsts inspekcija var izveidot to personas datu apstrādes darbību sarakstu, pirms kuru veikšanas nepieciešama apspriešanās saskaņā ar šā panta pirmo daļu.
23. pants. Personas datu aizsardzības pārkāpuma paziņošana Datu valsts inspekcijai
(1) Ja noticis personas datu aizsardzības pārkāpums, pārzinis nekavējoties, ne vēlāk kā 72 stundu laikā pēc tam, kad pārkāpums tam kļuvis zināms, par to paziņo Datu valsts inspekcijai. Ja pārzinis nav ievērojis norādīto termiņu, tas, paziņojot Datu valsts inspekcijai par datu aizsardzības pārkāpumu, to informē arī par termiņa nokavējuma iemesliem.
(2) Apstrādātājs nekavējoties, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, par to ziņo pārzinim.
(3) Šā panta pirmajā daļā minētajā paziņojumā ietver vismaz šādu informāciju:
1) personas datu aizsardzības pārkāpuma raksturs, tostarp attiecīgo datu subjektu kategorijas un aptuvenais datu subjektu kategoriju skaits, kā arī attiecīgo personas datu kategorijas un aptuvenais to ierakstu skaits;
2) datu aizsardzības speciālista vai citas kontaktpersonas, kura var sniegt papildu informāciju, vārds, uzvārds un kontaktinformācija;
3) personas datu aizsardzības pārkāpuma iespējamās sekas;
4) pasākumi, ko pārzinis veicis, lai novērstu personas datu aizsardzības pārkāpumu un lai mazinātu pārkāpuma iespējamās nelabvēlīgās sekas.
(4) Ja šā panta trešajā daļā minēto informāciju nav iespējams sniegt vienlaikus ar paziņojumu par personas datu aizsardzības pārkāpumu, to sniedz atsevišķi, tiklīdz tā ir pieejama.
(5) Par personas datu aizsardzības pārkāpumu Datu valsts inspekcijai var neziņot, ja tas nerada datu subjekta tiesību un tiesisko interešu riskus.
(6) Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot ar tiem saistītos apstākļus, to sekas un pasākumus, kas veikti pārkāpumu novēršanai. Minēto informāciju pārzinis pēc pieprasījuma sniedz Datu valsts inspekcijai.
(7) Ja personas datu aizsardzības pārkāpums ir tāds, par ko jāziņo Datu valsts inspekcijai un kas attiecas uz personas datiem, kurus nosūtījis citas Eiropas Savienības dalībvalsts pārzinis vai kuri ir nosūtīti citas Eiropas Savienības dalībvalsts pārzinim, tad šā panta trešajā daļā minēto informāciju pārzinis bez nepamatotas kavēšanās paziņo attiecīgajam Eiropas Savienības dalībvalsts pārzinim.
24. pants. Paziņošana datu subjektam par personas datu aizsardzības pārkāpumu
(1) Ja datu aizsardzības pārkāpums var radīt augstu datu subjekta tiesību un tiesisko interešu risku, pārzinis nekavējoties pēc tam, kad pārkāpums tam kļuvis zināms, paziņo par to datu subjektam. Paziņojumā datu subjektam norāda personas datu aizsardzības pārkāpuma raksturu un ietver vismaz šā likuma 23. panta trešās daļas 2., 3. un 4. punktā minēto informāciju, kā arī informāciju par pasākumiem, kas veikti datu aizsardzības pārkāpuma novēršanai.
(2) Paziņojumu par personas datu aizsardzības pārkāpumu datu subjektam var nesniegt, ja ir izpildīts viens no šādiem nosacījumiem:
1) pārzinis ir veicis atbilstošus tehniskos un organizatoriskos aizsardzības pasākumus, it īpaši tādus, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt attiecīgajiem datiem, un minētie pasākumi ir piemēroti personas datiem, kurus skāris personas datu aizsardzības pārkāpums;
2) pārzinis ir veicis pasākumus, lai novērstu šā panta pirmajā daļā minēto augsto datu subjekta tiesību un tiesisko interešu risku;
3) datu subjekta informēšana prasītu nesamērīgi lielas pūles. Šādā gadījumā datu subjekta informēšanai izmanto publisku saziņu vai līdzīgu tikpat efektīvu pasākumu.
(3) Neatkarīgi no šā panta otrās daļas nosacījumiem Datu valsts inspekcija, ja pārzinis nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, var pieprasīt, lai pārzinis par to paziņo datu subjektam.
(4) Paziņošanu par personas datu aizsardzības pārkāpumu datu subjektam var atlikt, ierobežot vai paziņojumu var nesniegt, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēta personas datu apstrāde, neinformējot datu subjektu.
25. pants. Datu aizsardzības speciālista iecelšana
(1) Pārzinis ieceļ datu aizsardzības speciālistu. Viena un tā pati persona var būt par datu aizsardzības speciālistu arī pie vairākiem pārziņiem, ja tas ir lietderīgi un šī persona var efektīvi izpildīt visus datu aizsardzības speciālista uzdevumus.
(2) Pārzinis par datu aizsardzības speciālista iecelšanu paziņo Datu valsts inspekcijai, kā arī publicē savā tīmekļvietnē datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju.
26. pants. Datu aizsardzības speciālista uzdevumi
(1) Pārzinis datu aizsardzības speciālistu pienācīgi un laikus iesaista visu ar personas datu aizsardzību saistīto jautājumu risināšanā, izņemot tādu jautājumu risināšanā, kuri rodas tiesas spriešanas ietvaros.
(2) Datu aizsardzības speciālistam ir šādi uzdevumi:
1) informēt un konsultēt pārzini un tā nodarbinātās personas, kuras veic personas datu apstrādi, par to pienākumiem saskaņā ar šo likumu un citiem normatīvajiem aktiem par personas datu aizsardzību;
2) uzraudzīt pārziņa izstrādāto iekšējo normatīvo aktu atbilstību šim likumam un citiem normatīvajiem aktiem par personas datu aizsardzību, tostarp attiecībā uz pienākumu sadali, apstrādes darbībās iesaistīto personu informēšanu un apmācību, kā arī veikt citus ar personas datu aizsardzību saistītus uzraudzības pasākumus;
3) pēc pieprasījuma sniegt padomu par personas datu apstrādes novērtējumu un pārraudzīt datu apstrādi;
4) sadarboties ar Datu valsts inspekciju;
5) būt par Datu valsts inspekcijas kontaktpersonu visos jautājumos, kas saistīti ar personas datu apstrādi un aizsardzību;
6) citi pārziņa noteikti uzdevumi.
(3) Pārzinis sniedz atbalstu datu aizsardzības speciālistam viņam noteikto uzdevumu izpildē, nodrošinot nepieciešamos resursus un piekļuvi personas datiem un apstrādes darbībām, kā arī nodrošina datu aizsardzības speciālistam iespēju pilnveidot savas zināšanas personas datu apstrādes jomā.
(4) Attiecībā uz datu aizsardzības speciālista kompetenci, kvalifikāciju, iecelšanu un izslēgšanu no datu aizsardzības speciālistu saraksta ir piemērojamas datu regulā un Fizisko personu datu apstrādes likumā ietvertās normas par datu aizsardzības speciālistiem.
V nodaļa
Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām
27. pants. Personas datu nosūtīšanas vispārīgie principi
(1) Personas datus uz trešo valsti vai starptautisku organizāciju nosūta tikai tādā gadījumā, ja ir ievēroti visi šādi nosacījumi:
1) nosūtīšana ir nepieciešama šā likuma 2. pantā minētajos nolūkos;
2) personas datus nosūta tādam pārzinim trešā valstī vai starptautiskā organizācijā, kura kompetencē ir personas datu apstrāde šā likuma 2. pantā minētajos nolūkos;
3) Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, kas ir darījusi pieejamus vai nosūtījusi personas datus, saskaņā ar savas valsts tiesībām ir devusi iepriekšēju atļauju nosūtīšanai;
4) Eiropas Komisija ir pieņēmusi lēmumu par personas datu aizsardzības līmeņa pietiekamību attiecīgajā trešā valstī vai starptautiskā organizācijā, bet, ja šāds lēmums nav pieņemts, ir ievērotas šā likuma 28. vai 29. panta prasības.
(2) Personas datus var nosūtīt uz trešo valsti vai starptautisku organizāciju, nepiemērojot šā panta pirmās daļas 3. punktu, ja nav iespējams iegūt attiecīgās valsts piekrišanu personas datu nosūtīšanai, bet personas datu nosūtīšana ir nepieciešama, lai novērstu tiešu un nopietnu valsts sabiedriskās drošības apdraudējumu vai kādas Eiropas Savienības dalībvalsts būtisku interešu apdraudējumu. Šādā gadījumā nekavējoties informē tās valsts iestādi, kura ir atbildīga par piekrišanas došanu.
(3) Personas datus nosūta tālāk uz kādu citu trešo valsti vai starptautisku organizāciju, ja kompetentā iestāde, kura veikusi sākotnējo nosūtīšanu, vai kāda cita tās pašas Eiropas Savienības dalībvalsts kompetentā iestāde devusi atļauju tālākai nosūtīšanai pēc tam, kad ir apsvērusi visus būtiskos faktorus, tostarp noziedzīgā nodarījuma vai administratīvā pārkāpuma smagumu, mērķi, kādam personas dati sākotnēji tika nosūtīti, un personas datu aizsardzības līmeni trešā valstī vai starptautiskā organizācijā, uz kuru personas dati nosūtīti.
(4) Personas datus nosūta tā, lai nemazinātos ar šo likumu nodrošinātais fizisko personu datu aizsardzības līmenis.
28. pants. Personas datu nosūtīšana, piemērojot atbilstošas garantijas
(1) Ja Eiropas Komisija nav pieņēmusi lēmumu par personas datu aizsardzības līmeņa pietiekamību, pārzinis var nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, ja ir ievērots kāds no šādiem nosacījumiem:
1) pārzinim saistošā tiesību aktā vai līgumā ir paredzētas atbilstošas personas datu aizsardzības garantijas;
2) pārzinis ir izvērtējis visus ar personas datu nosūtīšanu saistītos apstākļus un secinājis, ka ir sniegtas atbilstošas personas datu aizsardzības garantijas.
(2) Ja personas datus nosūta, pamatojoties uz šā panta pirmās daļas 2. punktu, pārzinim ir pienākums:
1) dokumentēt šādu personas datu nosūtīšanu, norādot vismaz nosūtītos personas datus, nosūtīšanas pamatojumu, nosūtīšanas datumu un laiku, kā arī informāciju par kompetento iestādi, kura saņem personas datus. Attiecīgo dokumentāciju pārzinis pēc pieprasījuma sniedz Datu valsts inspekcijai;
2) informēt Datu valsts inspekciju par nosūtīto personas datu kategorijām.
(3) Ciktāl likums nenosaka citādi un netiek pārkāpti starptautiskie līgumi un Eiropas Savienības tieši piemērojamie normatīvie akti, kompetentās iestādes, neievērojot šā panta pirmās daļas 2. punktā minēto, var nosūtīt personas datus tādiem saņēmējiem, kuri trešās valstīs veic komercdarbību, ja ir ievēroti visi šādi nosacījumi:
1) personas datu nosūtīšana ir absolūti nepieciešama kāda kompetentās iestādes uzdevuma veikšanai šā likuma 2. pantā minētajos nolūkos;
2) datu subjekta tiesības nav svarīgākas par sabiedrības interesēm, kuru dēļ konkrētajā gadījumā nepieciešams nosūtīt personas datus;
3) personas datu nosūtīšana iestādei, kuras kompetencē ir datu apstrāde šā likuma 2. pantā minētajos nolūkos trešā valstī, ir neefektīva vai nepiemērota, it īpaši tādēļ, ka nav veicama laikus;
4) iestādi, kuras kompetencē ir datu apstrāde šā likuma 2. pantā minētajos nolūkos trešā valstī, informē bez nepamatotas kavēšanās, ja vien tas nav neefektīvi vai nepiemēroti;
5) kompetentā iestāde informē saņēmēju par to, kādam nolūkam vai nolūkiem tā drīkst apstrādāt personas datus, ja šāda datu apstrāde ir nepieciešama;
6) ir ievērotas citas šā likuma prasības.
(4) Šā panta trešajā daļā minētajā gadījumā kompetentā iestāde, kura nosūta personas datus, dokumentē to nosūtīšanu, norādot vismaz nosūtītos personas datus, nosūtīšanas pamatojumu, nosūtīšanas datumu un laiku, informāciju par kompetento iestādi, kura saņem personas datus, kā arī informē Datu valsts inspekciju par personas datu nosūtīšanu.
29. pants. Personas datu nosūtīšana īpašās situācijās
(1) Ja Eiropas Komisija nav pieņēmusi lēmumu par personas datu aizsardzības līmeņa pietiekamību vai netiek sniegtas atbilstošas personas datu aizsardzības garantijas, personas datus uz trešo valsti vai starptautisku organizāciju var nosūtīt, ja tas nepieciešams kādā no šādiem nolūkiem:
1) lai aizsargātu būtiskas datu subjekta vai citas personas tiesības un tiesiskās intereses;
2) lai aizsargātu datu subjekta tiesības un tiesiskās intereses, ja nosūtīšana ir paredzēta ārējā normatīvajā aktā;
3) lai novērstu tiešu un nopietnu kādas valsts sabiedriskās drošības apdraudējumu;
4) atsevišķā gadījumā — šā likuma 2. pantā minētā nolūkā vai likumīgu prasību celšanai, izpildei vai aizstāvēšanai saistībā ar šā likuma 2. pantā minētajiem nolūkiem.
(2) Personas datus, pamatojoties uz šā panta pirmās daļas 4. punktu, nenosūta uz trešo valsti vai starptautisku organizāciju, ja attiecīgā datu subjekta tiesības ir svarīgākas par sabiedrības interesēm.
(3) Pārzinim ir pienākums dokumentēt personas datu nosūtīšanu, norādot vismaz nosūtītos personas datus, nosūtīšanas pamatojumu, nosūtīšanas datumu un laiku, kā arī informāciju par kompetento iestādi, kura saņem personas datus. Pārzinis pēc pieprasījuma sniedz dokumentāciju Datu valsts inspekcijai.
VI nodaļa
Uzraudzības iestāde un uzraudzības ierobežojumi
30. pants. Uzraudzības iestāde
Personas datu apstrādes un šā likuma piemērošanas uzraudzību veic Datu valsts inspekcija. Datu valsts inspekcijas kompetenci, uzdevumus un statusu nosaka Fizisko personu datu apstrādes likums, ja vien šajā likumā nav noteikts citādi.
31. pants. Uzraudzības ierobežojumi
Datu valsts inspekcijas kompetencē nav uzraudzīt ar tiesas spriešanu saistītas personas datu apstrādes darbības, kā arī personas datu apstrādes darbības, kuras kompetentā iestāde veic operatīvās darbības ietvaros.
VII nodaļa
Administratīvie pārkāpumi personas datu apstrādes jomā un kompetence administratīvā pārkāpuma procesā
32. pants. Nelikumīgas darbības ar personas datiem un pārziņa pienākumu nepildīšana
(1) Par jebkurām nelikumīgām darbībām ar personas datiem kompetentās iestādes amatpersonai vai darbiniekam piemēro brīdinājumu vai naudas sodu līdz divsimt naudas soda vienībām.
(2) Par pārziņa pienākumu nepildīšanu, tai skaitā neatbilstošu (nepietiekamu) datu aizsardzības tehnisko un organizatorisko prasību ieviešanu, datu aizsardzības speciālista nenorīkošanu kompetentās iestādes amatpersonai piemēro brīdinājumu vai naudas sodu līdz divsimt naudas soda vienībām.
33. pants. Kompetence administratīvā pārkāpuma procesā
Administratīvā pārkāpuma procesu saskaņā ar šā likuma 32. pantā minētajiem pārkāpumiem veic Datu valsts inspekcija.
Pārejas noteikumi
1. Izņēmuma gadījumos, kas saistīti ar nesamērīgi lielām pūlēm, līdz 2016. gada 6. maijam izveidoto automatizēto sistēmu atbilstību šā likuma 19. panta pirmajai daļai pārzinis var nodrošināt līdz 2023. gada 6. maijam.
2. Likuma VII nodaļa stājas spēkā vienlaikus ar Administratīvās atbildības likumu.
Informatīva atsauce uz Eiropas Savienības direktīvu
Likumā iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa direktīvas (ES) 2016/680 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI.
Likums Saeimā pieņemts 2019. gada 8. jūlijā.
Valsts prezidents E. Levits
Rīgā 2019. gada 22. jūlijā