Saeima ir pieņēmusi
un Valsts prezidents izsludina šādu likumu:
Fizisko personu datu aizsardzības likums
I nodaļa
Vispārīgie noteikumi
1.pants.
Šā likuma mērķis ir aizsargāt fizisko personu pamattiesības un brīvības, it īpaši privātās dzīves neaizskaramību, attiecībā uz fiziskās personas datu (turpmāk — personas dati) apstrādi.
2.pants.
Likumā ir lietoti šādi termini:1) datu subjekts — fiziskā persona, kuru var tieši vai netieši identificēt, izmantojot personas datu apstrādes sistēmā esošos datus;
2) datu subjekta piekrišana — datu subjekta brīvi, nepārprotami izteikts gribas apliecinājums, ar kuru datu subjekts atļauj apstrādāt savus personas datus;
3) personas dati — jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu;
4) personas datu apstrāde — jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu;
5) personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus kritērijus;
6) personas datu operators — sistēmas pārziņa pilnvarota persona, kas veic personas datu apstrādi sistēmas pārziņa uzdevumā;
7) personas datu saņēmējs — fiziskā vai juridiskā persona, kurai tiek izpausti personas dati;
8) sensitīvi personas dati — personas dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi;
9) sistēmas pārzinis — fiziskā vai juridiskā persona, kas vada personas datu apstrādes sistēmu, nosaka tās mērķus un apstrādes līdzekļus;
10) trešā persona — jebkura fiziskā vai juridiskā persona, izņemot datu subjektu, sistēmas pārzini, sistēmas operatoru un personas, kuras tieši pilnvarojis sistēmas pārzinis vai personas datu operators.
3.pants.
(1) Šis likums attiecas uz visu veidu personas datu apstrādi un jebkuru fizisko vai juridisko personu, kas ir iesaistīta personas datu apstrādē, izņemot šā panta otrajā un trešajā daļā minētos gadījumus.(2) Šis likums neattiecas uz fizisko personu veidotām informācijas sistēmām, kurās personas datu apstrāde tiek veikta personiskām vai mājas un ģimenes vajadzībām un kurās savāktie personas dati netiek izpausti citām personām.
(3) Šis likums neattiecas uz personas datu apstrādi, ko veic publiskās institūcijas nacionālās drošības un krimināltiesību jomā.
4.pants.
To personas datu aizsardzību, kuri ir atzīti par valsts noslēpuma objektiem, reglamentē likums "Par valsts noslēpumu".
5.pants.
(1) Šā likuma 7., 8., 9. un 11.pants netiek piemērots, ja personas dati ir apstrādāti žurnālistiskām, mākslinieciskām vai literārām vajadzībām un ja likumā nav noteikts citādi.(2) Šā panta pirmās daļas noteikumus piemēro, ievērojot personas tiesības uz privātās dzīves neaizskaramību un vārda brīvību.
II nodaļa
Vispārīgie personas datu apstrādes principi
6.pants.
Ikvienai fiziskajai personai ir tiesības uz savu personas datu aizsardzību.
7.pants.
Personas datu apstrāde ir atļauta tikai tad, ja likumā nav noteikts citādi un ja ir vismaz viens no šādiem nosacījumiem:1) ir datu subjekta piekrišana;
2) datu apstrāde izriet no datu subjekta līgumsaistībām;
3) datu apstrāde nepieciešama sistēmas pārzinim viņa likumīgo pienākumu veikšanai;
4) datu apstrāde nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses, tajā skaitā dzīvību un veselību;
5) datu apstrāde nepieciešama, lai nodrošinātu sabiedrības interešu ievērošanu vai realizētu publiskās varas uzdevumus, kuru veikšanai personas dati ir nodoti sistēmas pārzinim vai pārraidīti trešajai personai;
6) datu apstrāde ir nepieciešama, lai, ievērojot datu subjekta pamattiesības un brīvības, realizētu sistēmas pārziņa vai tās trešās personas likumiskās intereses, kurai personas dati atklāti.
8.pants.
(1) Iegūstot personas datus no datu subjekta, sistēmas pārzinim ir pienākums sniegt datu subjektam šādu informāciju, ja vien tā jau nav datu subjekta rīcībā:1) sistēmas pārziņa nosaukums vai vārds un uzvārds, kā arī adrese;
2) paredzētais personas datu apstrādes mērķis un pamatojums;
3) iespējamie personas datu saņēmēji;
4) datu subjekta tiesības piekļūt saviem personas datiem un iespēja izdarīt tajos labojumus;
5) vai atbildes sniegšana ir obligāta vai brīvprātīga, kā arī iespējamās sekas par atbildes nesniegšanu.
(2) Šā panta pirmā daļa netiek piemērota, ja likums ļauj veikt personas datu apstrādi, neatklājot tās mērķi.
9.pants.
(1) Ja personas dati nav iegūti no datu subjekta, sistēmas pārzinim ir pienākums pirms datu izpaušanas trešajām personām sniegt datu subjektam šādu informāciju:1) sistēmas pārziņa nosaukums vai vārds un uzvārds, kā arī adrese;
2) paredzētais personas datu apstrādes mērķis;
3) iespējamie personas datu saņēmēji;
4) personas datu ieguves avots;
5) datu subjekta tiesības piekļūt saviem personas datiem un iespēja izdarīt tajos labojumus.
(2) Šā panta pirmā daļa netiek piemērota, ja:
1) likums paredz personas datu apstrādi, neinformējot par to datu subjektu;
2) apstrādājot personas datus zinātniskiem, vēsturiskiem vai statistiskiem pētījumiem, datu subjekta informēšana prasa nesamērīgas pūles vai ir neiespējama.
10.pants.
(1) Lai aizsargātu datu subjekta intereses, sistēmas pārzinis nodrošina:1) personas datu apstrādes likumību;
2) personas datu vākšanu atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā;
3) tādu personas datu glabāšanas veidu, kas datu subjektu ļauj identificēt attiecīgā laikposmā, kurš nepārsniedz paredzētajam datu apstrādes mērķim noteikto laikposmu;
4) personas datu pareizību un to savlaicīgu atjaunošanu, labošanu vai dzēšanu, ja personas dati ir nepilnīgi vai neprecīzi.
(2) Personas datu apstrāde sākotnēji neparedzētiem mērķiem ir pieļaujama, ja tā nepārkāpj datu subjekta tiesības un tiek veikta zinātnisku vai statistisku pētījumu vajadzībām tikai atbilstoši šā likuma 9.pantā un 10.panta pirmajā daļā minētajiem nosacījumiem.
11.pants.
Sensitīvo personas datu apstrāde ir aizliegta, izņemot gadījumus, kad:1) datu subjekts ir devis rakstveida piekrišanu savu sensitīvo datu apstrādei;
2) speciāla personas datu apstrāde, neprasot datu subjekta piekrišanu, ir paredzēta normatīvajos aktos, kas regulē darba tiesiskās attiecības, un šie normatīvie akti garantē personas datu aizsardzību;
3) personas datu apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas dzīvību un veselību, un datu subjekts tiesiski vai fiziski nav spējīgs dot savu piekrišanu;
4) personas datu apstrāde ir nepieciešama, lai sasniegtu likumīgus nekomerciālus sabiedrisko organizāciju un to apvienību mērķus, ja šī datu apstrāde ir saistīta tikai ar šo organizāciju vai to apvienību biedriem un personas dati netiek nodoti trešajām personām;
5) personas datu apstrāde ir nepieciešama ārstniecības vajadzībām un to veic ārstniecības persona vai ārstniecības iestāde, nodrošinot atbilstošu personas datu aizsardzību;
6) apstrāde attiecas uz tādiem personas datiem, kuri ir nepieciešami fiziskās vai juridiskās personas likumīgo tiesību un interešu aizsardzībai tiesā.
12.pants.
Ja personas dati attiecas uz disciplināriem un administratīviem pārkāpumiem vai spriedumiem civillietās, šo datu apstrādi ir tiesīgas veikt vienīgi valsts vai pašvaldību institūciju pilnvarotas amatpersonas.
13.pants.
(1) Sistēmas pārzinim ir pienākums likumā noteiktajos gadījumos izpaust personas datus valsts un pašvaldību amatpersonām. Sistēmas pārzinis izpauž personas datus tikai tām valsts un pašvaldību amatpersonām, kuras pirms datu izpaušanas ir identificējis.(2) Personas datus var izpaust, pamatojoties uz rakstveida iesniegumu vai vienošanos, norādot datu izmantošanas mērķi, ja likumā nav noteikts citādi. Personas datu pieprasījumā norādāma informācija, kas ļauj identificēt datu pieprasītāju un datu subjektu, kā arī pieprasāmo personas datu apjoms.
(3) Saņemtos personas datus drīkst izmantot tikai paredzētajiem mērķiem.
14.pants.
(1) Personas datu apstrādi sistēmas pārzinis var uzticēt personas datu operatoram, noslēdzot rakstveida līgumu.(2) Personas datu operators viņam uzticētos personas datus drīkst apstrādāt tikai līgumā norādītajā apjomā un atbilstoši tajā paredzētajiem mērķiem.
(3) Personas datu operators pirms personas datu apstrādes sākšanas veic sistēmas pārziņa norādītos drošības pasākumus personas datu apstrādes sistēmas aizsardzībai atbilstoši šā likuma prasībām.
III nodaļa
Datu subjekta tiesības
15.pants.
(1) Papildus šā likuma 8. un 9.pantā minētajām tiesībām datu subjektam ir tiesības iegūt visu informāciju, kas par viņu savākta jebkurā personas datu apstrādes sistēmā, ja vien šo informāciju izpaust nav aizliegts ar likumu.(2) Datu subjektam ir tiesības iegūt informāciju par tām fiziskajām vai juridiskajām personām, kuras noteiktā laikposmā no sistēmas pārziņa ir saņēmušas informāciju par šo datu subjektu. Datu subjektam sniedzamajā informācijā aizliegts iekļaut valsts institūcijas, kuras ir kriminālprocesa virzītāji, operatīvās darbības subjekti, vai citas institūcijas, par kurām likums aizliedz šādas ziņas izpaust.
(3) Datu subjektam ir tiesības pieprasīt arī šādu informāciju:
1) sistēmas pārziņa nosaukums vai vārds un uzvārds, kā arī adrese;
2) personas datu apstrādes mērķis, apjoms un veids;
3) datums, kad datu subjekta personas datos pēdējo reizi izdarīti labojumi;
4) personas datu ieguves avots, ja vien likums neaizliedz šīs ziņas izpaust;
5) automatizētās apstrādes sistēmās izmantotās apstrādes metodes, par kuru piemērošanu tiek pieņemti individuāli automatizēti lēmumi.
(4) Datu subjektam ir tiesības mēneša laikā no attiecīga pieprasījuma iesniegšanas dienas (ne biežāk kā divas reizes gadā) bez maksas saņemt rakstveidā šajā pantā minēto informāciju.
16.pants.
(1) Datu subjektam ir tiesības pieprasīt, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai iznīcina tos, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai arī tie vairs nav nepieciešami vākšanas mērķim. Ja datu subjekts var pamatot, ka personas datu apstrādes sistēmā iekļautie personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai arī tie vairs nav nepieciešami vākšanas mērķim, sistēmas pārziņa pienākums ir nekavējoties novērst šo nepilnību vai pārkāpumu un par to paziņot trešajām personām, kas iepriekš ir saņēmušas apstrādātos datus.(2) Ja informācija tikusi atsaukta, sistēmas pārzinis nodrošina, lai būtu pieejama gan jaunā, gan atsauktā informācija, kā arī lai uzziņas saņēmējs minēto informāciju saņemtu vienlaikus.
17.pants.
Šā likuma 15. un 16.pantu nepiemēro, ja apstrādātie dati tiek izmantoti tikai zinātnisku un statistisku pētījumu vajadzībām un, pamatojoties uz tiem, attiecībā uz datu subjektu netiek veiktas nekādas darbības un netiek pieņemti nekādi lēmumi.
18.pants.
Persona var nepakļauties individuālam lēmumam, kas pieņemts, pamatojoties tikai uz automatizēti apstrādātiem datiem. Personu var pakļaut iepriekš minētajam lēmumam, ja tas pieņemts saskaņā ar likumu vai līgumu, kas noslēgts ar datu subjektu.
19.pants.
Datu subjektam ir tiesības iebilst pret savu personas datu apstrādi, ja tie tiks izmantoti komerciālām vajadzībām.
20.pants.
Datu subjektam ir tiesības pārsūdzēt Datu valsts inspekcijā sistēmas pārziņa atteikumu sniegt šā likuma 15.pantā minēto informāciju vai veikt šā likuma 16.pantā minētās darbības.IV nodaļa
Personas datu apstrādes sistēmas reģistrēšana un aizsardzība
21.pants.
(1) Visas valsts un pašvaldību institūcijas, citas fiziskās un juridiskās personas, kas veic vai vēlas uzsākt personas datu apstrādi un veido personas datu apstrādes sistēmas, reģistrē tās šajā likumā noteiktajā kārtībā, ja likumā nav noteikts citādi.(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi, ko sabiedriskās drošības, noziedzības apkarošanas vai valsts drošības un aizsardzības jomā veic speciāli ar likumu pilnvarotas institūcijas.
22.pants.
(1) Šā likuma 21.pantā minētās institūcijas un personas, kas vēlas uzsākt personas datu apstrādi un izveidot personas datu apstrādes sistēmu, iesniedz Datu valsts inspekcijai reģistrācijas pieteikumu, kurā ir iekļauta šāda informācija:1) institūcijas vai personas (sistēmas pārziņa) nosaukums (vārds, uzvārds), reģistrācijas kods, adrese un tālruņa numurs;
2) sistēmas pārziņa pilnvarotās personas vārds, uzvārds, personas kods, adrese un tālruņa numurs;
3) personas datu apstrādes sistēmas darbības tiesiskais pamats;
4) kādus personas datus ietvers sistēma, kādiem mērķiem tā paredzēta un kāds būs personas datu apstrādes apjoms;
5) datu subjektu kategorijas;
6) personas datu saņēmēju kategorijas;
7) paredzētais personas datu apstrādes veids;
8) plānotais personas datu iegūšanas veids un to kvalitātes kontroles mehānisms;
9) citas datu apstrādes sistēmas, ar kurām būs saistīta reģistrējamā sistēma;
10) kādus personas datus no reģistrējamās sistēmas varēs iegūt saistītās sistēmas un kādus datus reģistrējamā sistēma varēs iegūt no saistītajām sistēmām;
11) veids, kādā reģistrējamās sistēmas dati tiks nodoti citai sistēmai;
12) fiziskās personas identifikācijas kodi, kādi tiks lietoti reģistrējamā sistēmā;
13) veids, kādā notiks informācijas apmaiņa ar datu subjektu;
14) kārtība, kādā datu subjekts ir tiesīgs saņemt informāciju par sevi, kā arī citu šā likuma 8. un 9.pantā minēto informāciju;
15) personas datu papildināšanas un atjaunošanas kārtība;
16) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību;
17) kādi personas dati tiks nodoti citām valstīm.
(2) Datu valsts inspekcija pirms personas datu apstrādes sistēmas reģistrācijas veic šīs sistēmas personas datu apstrādes pārbaudi.
(3) Reģistrējot personas datu apstrādes sistēmu, Datu valsts inspekcija izsniedz sistēmas pārzinim vai viņa pilnvarotajai personai personas datu apstrādes sistēmas reģistrācijas apliecību.
(4) Pirms izmaiņu izdarīšanas šā panta pirmajā daļā minētajā informācijā tās ir reģistrējamas Datu valsts inspekcijā.
23.pants.
Datu valsts inspekcija var atteikties reģistrēt personas datu apstrādes sistēmu, ja:1) nav iesniegta visa šā likuma 22.pantā norādītā informācija;
2) pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi.
24.pants.
(1) Datu valsts inspekcija personas datu apstrādes sistēmu reģistrā iekļauj šā likuma 22.pantā minēto informāciju. Reģistrs ir publiski pieejams.(2) Informāciju par reģistrētajām personas datu apstrādes sistēmām publicē normatīvajos aktos noteiktajā kārtībā.
25.pants.
(1) Sistēmas pārziņa pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu nelikumīgu to apstrādi.(2) Sistēmas pārzinis kontrolē personas datu apstrādes sistēmā ievadīto personas datu veidu un ievadīšanas laiku un ir atbildīgs par to personu rīcību, kuras veic personas datu apstrādi.
26.pants.
Personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības nosaka Ministru kabinets.
27.pants.
(1) Fiziskās personas, kuras tiek iesaistītas personas datu apstrādē, rakstveidā apņemas saglabāt un nelikumīgi neizpaust personas datus. Šo personu pienākums ir neizpaust personas datus arī pēc darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās.(2) Sistēmas pārziņa pienākums ir veikt šā panta pirmajā daļā minēto personu uzskaiti.
(3) Apstrādājot personas datus, personas datu operatoram jāievēro sistēmas pārziņa norādījumi.
28.pants.
(1) Personas datus var nodot citai valstij, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei, un ir saņemta Datu valsts inspekcijas rakstveida piekrišana.(2) Izņēmumi šā panta pirmajā daļā minēto prasību pildīšanā ir pieļaujami, ja tiek ievērots vismaz viens no šādiem nosacījumiem:
1) datu subjekts ir piekritis datu nodošanai citai valstij;
2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un sistēmas pārzini, vai arī personas dati nododami saskaņā ar datu subjekta līgumsaistībām;
3) datu nodošana ir nepieciešama un noteiktā kārtībā pieprasīta saskaņā ar svarīgām valsts un sabiedriskajām interesēm vai ir nepieciešama tiesvedībā;
4) datu nodošana ir nepieciešama, lai aizsargātu datu subjekta dzīvību un veselību;
5) datu nodošana attiecas uz publiskiem vai publiski pieejamā reģistrā uzkrātiem personas datiem.
29.pants.
(1) Personas datu aizsardzības uzraudzību veic Datu valsts inspekcija, kas atrodas Tieslietu ministrijas pārraudzībā. Datu valsts inspekciju vada direktors, kuru ieceļ amatā un atbrīvo no amata Ministru kabinets pēc tieslietu ministra priekšlikuma.(2) Datu valsts inspekcija darbojas saskaņā ar nolikumu, kuru apstiprina Ministru kabinets. Datu valsts inspekcija katru gadu sniedz Ministru kabinetam ziņojumu par savu darbību un publicē to laikrakstā "Latvijas Vēstnesis".
(3) Datu valsts inspekcijas pienākumi personas datu aizsardzības jomā ir šādi:
1) nodrošināt valstī personas datu apstrādes atbilstību šā likuma prasībām;
2) pieņemt lēmumus un izskatīt sūdzības, kas saistītas ar personas datu aizsardzību;
3) reģistrēt personas datu apstrādes sistēmas;
4) ierosināt un veikt darbības, kas vērstas uz efektīvāku personas datu aizsardzību;
5) kopīgi ar Latvijas Valsts arhīvu ģenerāldirekciju lemt par personas datu apstrādes sistēmas nodošanu valsts arhīviem glabāšanā.
(4) Datu valsts inspekcijas tiesības personas datu aizsardzības jomā ir šādas:
1) normatīvajos aktos noteiktajā kārtībā bez maksas saņemt no fiziskajām un juridiskajām personām inspekcijas uzdevumu veikšanai nepieciešamo informāciju;
2) veikt personas datu apstrādes sistēmas pirmsreģistrācijas pārbaudi;
3) pieprasīt datu bloķēšanu, kļūdainu vai nelikumīgi iegūtu datu izdzēšanu vai iznīcināšanu, noteikt pastāvīgu vai pagaidu aizliegumu datu apstrādei;
4) iesniegt tiesā prasību par šā likuma pārkāpumiem.
30.pants.
(1) Lai izpildītu šā likuma 29.panta trešajā daļā minētos pienākumus, Datu valsts inspekcijas direktoram un viņa pilnvarotajiem inspektoriem, uzrādot dienesta apliecību, ir tiesības:1) brīvi apmeklēt jebkuras nedzīvojamās telpas, kurās atrodas personas datu apstrādes sistēmas, un sistēmas pārziņa pārstāvja klātbūtnē veikt nepieciešamo pārbaudi vai citus pasākumus, lai noteiktu personas datu apstrādes procesa atbilstību likumam;
2) pieprasīt rakstveida vai mutvārdu paskaidrojumu no jebkuras fiziskās vai juridiskās personas, kas saistīta ar personas datu apstrādi;
3) pieprasīt, lai tiek uzrādīti dokumenti un sniegta cita informācija, kas attiecas uz pārbaudāmo personas datu apstrādes sistēmu;
4) pieprasīt personas datu apstrādes sistēmas, jebkuras tās iekārtas vai informācijas nesēja pārbaudi un noteikt ekspertīzi pārbaudāmo jautājumu izpētei;
5) ja nepieciešams, savu pienākumu izpildes nodrošināšanai pieaicināt tiesībaizsardzības iestāžu darbiniekus;
6) ja nepieciešams, sagatavot un iesniegt tiesībaizsardzības iestādēm materiālus vainīgo personu saukšanai pie atbildības.
(2) Reģistrēšanā un pārbaudēs iesaistītie Datu valsts inspekcijas darbinieki nodrošina reģistrācijas un pārbaužu gaitā iegūtās informācijas neizpaušanu, izņemot publiski pieejamo informāciju. Šis aizliegums ir spēkā arī pēc tam, kad darbinieks beidzis pildīt amata pienākumus.
31.pants.
Datu valsts inspekcijas lēmumus var pārsūdzēt tiesā.
32.pants.
Ja, pārkāpjot šo likumu, personai nodarīts kaitējums vai radīti zaudējumi, tai ir tiesības saņemt atbilstīgu atlīdzinājumu.Pārejas noteikumi
1. Šā likuma IV nodaļa "Personas datu apstrādes sistēmas reģistrēšana un aizsardzība" stājas spēkā 2001.gada 1.janvārī.
2. Šā likuma 21.pantā minētās institūcijas un personas, kuras darbību uzsākušas pirms šā likuma stāšanās spēkā, reģistrējas Datu valsts inspekcijā līdz 2002.gada 1.janvārim. Nereģistrēto sistēmu darbība pēc šā termiņa izbeidzama.
Likums Saeimā pieņemts 2000.gada 23.martā.
Valsts prezidente V.Vīķe–Freiberga
Rīgā 2000.gada 6.aprīlī