Grozījumi Fizisko personu datu aizsardzības likumā

Saeimas dok.Nr.4572; likumprojekts Nr.1134

Juridiskās komisijas 2002.gada 23.maijā
iesniegts Saeimas izskatīšanai 2.lasījumā

 

Izdarīt Fizisko personu datu aizsardzības likumā (Latvijas Republikas Saeimas un Ministru Kabineta Ziņotājs, 2000, 9.nr.) šādus grozījumus:

1.2. pantā:

izslēgt 1.punktā vārdus

“Izmantojot personas datu apstrādes sistēmā esošos datus”;

papildināt 2.punktu ar vārdiem “atbilstoši sistēmas pārziņa sniegtajai informācijai saskaņā ar šā likuma 8.pantu”;

aizstāt 2.panta 5.punktā vārdus “attiecīgus kritērijus” ar vārdiem “attiecīgus personu identificējošus kritērijus”;

izteikt 9.un 10.punktu šādā redakcijā:

“9) sistēmas pārzinis — fiziskā vai juridiskā persona, kura nosaka personas datu apstrādes sistēmas mērķus un apstrādes līdzekļus;

10) trešā persona — jebkura fiziskā vai juridiskā persona, izņemot datu subjektu, sistēmas pārzini, personas datu operatoru un personas, kuras tieši pilnvarojis sistēmas pārzinis vai personas datu operators.”

2. Izteikt 3.pantu šādā redakcijā:

“3.pants. (1) Šis likums, ievērojot šajā pantā noteiktos izņēmumus, attiecas uz visu veidu personas datu apstrādi un jebkuru fizisko vai juridisko personu, ja:

1) sistēmas pārzinis ir reģistrēts Latvijas Republikā;

2) datu apstrāde tiek veikta ārpus Latvijas Republikas robežām teritorijās, kas pieder Latvijas Republikai saskaņā ar starptautiskajiem līgumiem;

3) Latvijas Republikas teritorijā atrodas aprīkojums, kas tiek izmantots personas datu apstrādei.

(2) Šā panta pirmās daļas 3.punktā minētajos gadījumos sistēmas pārzinis ieceļ pilnvaroto personu, kas ir atbildīga par šā likuma ievērošanu.

(3) Šis likums neattiecas uz fizisko personu veidotām informācijas sistēmām, kurās personas datu apstrādi veic personiskām vai mājas un ģimenes vajadzībām un kurās savāktie personas dati netiek izpausti citām personām.”

3. Izteikt 4.pantu šādā redakcijā:

“4.pants. To personas datu aizsardzību, kuri atzīti par valsts noslēpuma objektiem, reglamentē šis likums, ievērojot izņēmumus, kas noteikti likumā “Par valsts noslēpumu”.”

4. Izteikt 7.panta 2.un 3.punktu šādā redakcijā:

“2) datu apstrāde izriet no datu subjekta līgumsaistībām vai, ievērojot datu subjekta lūgumu, datu apstrāde nepieciešama, lai noslēgtu šādu līgumu;

3) datu apstrāde nepieciešama sistēmas pārzinim likumā noteikto pienākumu veikšanai;”.

5. Izteikt 8.pantu šādā redakcijā:

“8.pants. (1) Iegūstot personas datus no datu subjekta, sistēmas pārzinim ir pienākums sniegt datu subjektam šādu informāciju, ja vien tā jau nav datu subjekta rīcībā:

1) sistēmas pārziņa vai viņa pārstāvja nosaukums vai vārds un uzvārds, kā arī adrese;

2) paredzētais personas datu apstrādes mērķis un pamatojums.

(2) Pēc datu subjekta pieprasījuma sistēmas pārzinim ir pienākums sniegt arī šādu informāciju:

1) iespējamie personas datu saņēmēji;

2) datu subjekta tiesības piekļūt saviem personas datiem un izdarīt tajos labojumus;

3) vai atbildes sniegšana ir obligāta vai brīvprātīga, kā arī iespējamās sekas par atbildes nesniegšanu.

(3) Šā panta pirmā daļa netiek piemērota, ja likums ļauj veikt personas datu apstrādi, neatklājot tās mērķi.”.

6. Izteikt 9.pantu šādā redakcijā:

“9.pants. (1) Ja personas dati nav iegūti no datu subjekta, sistēmas pārzinim ir pienākums, ievācot vai pirmo reizi izpaužot šādus personas datus trešajām personām, sniegt datu subjektam šādu informāciju:

1) sistēmas pārziņa vai viņa pārstāvja nosaukums vai vārds un uzvārds, kā arī adrese;

2) paredzētais personas datu apstrādes mērķis.

(2) Pēc datu subjekta pieprasījuma sistēmas pārzinim ir pienākums sniegt arī šādu informāciju:

1) iespējamie personas datu saņēmēji;

2) personas datu kategorijas un datu ieguves avots;

3) datu subjekta tiesības piekļūt saviem personas datiem un izdarīt tajos labojumus.

(3) Šā panta otrā daļa netiek piemērota, ja:

1) likums paredz personas datu apstrādi, neinformējot par to datu subjektu;

2) apstrādājot personas datus zinātniskiem, vēsturiskiem vai statistiskiem pētījumiem vai Latvijas nacionālā arhīva fonda veidošanai, datu subjektu informēšana prasa nesamērīgas pūles vai ir neiespējama.”

7. 10.pantā

papildināt pirmās daļas 1.punktu pēc vārda “likumību” ar vārdiem “pēc labas ticības”;

izteikt pirmās daļas 2.punktu šādā redakcijā:

“2) personas datu apstrādi tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā;”;

papildināt pirmās daļas 4.punktu pē vārda “neprecīzi” ar vārdiem “saskaņā ar personas datu apstrādes mērķi.”;

papildināt pantu ar trešo daļu šādā redakcijā:

“(3) Šā panta pirmās daļas 3.un 4.punkts neattiecas uz personas datu apstrādi Latvijas nacionālā arhīva fonda veidošanai normatīvajos aktos noteiktajā kārtībā.”

8. 11.pantā:

izteikt 5.punktu šādā redakcijā:

“5) personas datu apstrāde ir nepieciešama ārstniecības vajadzībām, veselības aprūpes pakalpojumu sniegšanai vai to administrēšanai un ārstniecības līdzekļu izplatīšanai;”;

papildināt pantu ar 7., 8., 9.un 10.punktu šādā redakcijā:

“7) personas datu apstrāde ir nepieciešama sociālās palīdzības sniegšanai un to veic sociālās palīdzības pakalpojumu sniedzējs;

8) personas datu apstrāde ir nepieciešama Latvijas nacionālā arhīva fonda veidošanai un to veic valsts arhīvi un iestādes ar valsts arhīvu ģenerāldirektora apstiprinātām valsts glabātavas tiesībām;

9) personas datu apstrāde ir nepieciešama statistiskiem pētījumiem, ko veic Centrālā statistikas pārvalde;

10) apstrāde attiecas uz tādiem personas datiem, kurus datu subjekts pats ir publiskojis.”

9. Izteikt 12.pantu šādā redakcijā:

“12.pants. Personas datus, kuri attiecas uz noziedzīgiem nodarījumiem, sodāmību krimināllietās, tiesvedību krimināllietās un slēgtās tiesas sēdēs civillietās, drīkst apstrādāt tikai likumā noteiktas personas un likumā noteiktajos gadījumos.”

10. Papildināt likumu ar 13.1 pantu šādā redakcijā:

“13.1 pants. Personas identifikācijas (klasifikācijas) kodus drīkst apstrādāt, ja:

1) ir saņemta datu subjekta piekrišana;

2) identifikācijas (klasifikācijas) kodu apstrāde izriet no personas datu apstrādes mērķa;

3) identifikācijas (klasifikācijas) kodu apstrāde nepieciešama turpmākas datu subjekta anonimitātes nodrošināšanai;

4) ir saņemta Datu valsts inspekcijas rakstveida atļauja.”

11. Izteikt 14.panta otro daļu šādā redakcijā:

“(2) Personas datu operators viņam uzticētos personas datus drīkst apstrādāt tikai līgumā norādītajā apjomā, atbilstoši tajā paredzētajiem mērķiem un saskaņā ar sistēmas pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem.”

12. 15.pantā:

papildināt pirmo daļu pēc vārda “likumu” ar vārdiem “nacionālās drošības, aizsardzības un krimināltiesību jomā”;

papildināt trešās daļas 3.punktā aiz vārda “labojumi” ar vārdiem “dati dzēsti vai bloķēti”.

13. Papildināt 17.pantu pēc vārdiem “statistisku pētījumu vajadzībām” ar vārdiem “vai Latvijas nacionālā arhīva fonda veidošanai saskaņā ar normatīvajiem aktiem”.

14. Izteikt 18.pantu šādā redakcijā:

“18.pants. Ja datu subjekts apstrīd individuālu lēmumu, kas pieņemts, pamatojoties tikai uz automatizēti apstrādātiem datiem, un rada, groza, konstatē vai izbeidz tiesiskās attiecības, sistēmas pārzinim ir pienākums to pārskatīt. Sistēmas pārzinis var atteikties pārskatīt šādu lēmumu, ja tas pieņemts, pamatojoties uz likumu vai līgumu, kas noslēgts ar datu subjektu.”

15. Izteikt 21.panta otro daļu šādā redakcijā:

“(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi grāmatvedības un personāla uzskaites vajadzībām, ja personas dati netiek uzkrāti elektroniskā veidā, kā arī uz Civillikumā minēto konfesiju reliģisko organizāciju veidotām personas datu apstrādes sistēmām.”

16. 22.pantā:

izteikt otro daļu šādā redakcijā:

“(2) Datu valsts inspekcija izvērtē un nosaka personas datu apstrādes sistēmas, kuras veic pirmsreģistrācijas pārbaudi.”;

izteikt ceturto daļu šādā redakcijā:

“(4) Pirms izmaiņu izdarīšanas personas datu apstrādes sistēmā šīs izmaiņas reģistrē Datu valsts inspekcija, ja mainās:

1) sistēmas pārzinis vai personas datu operators;

2) personas datu apstrādes sistēmas atrašanās vieta;

3) personas datu veidi vai personas datu apstrādes mērķis;

4) informācijas resursu vai tehnisko resursu turētājs, kā arī atbildīgais par informācijas sistēmas drošību;

5) datu apstrādes sistēmas, ar kurām ir saistīta attiecīgā sistēma;

6) personas datu apstrādes veids;

7) personas datu veidi, kas tiks nodoti citām valstīm.”;

papildināt pantu ar piekto un sesto daļu šādā redakcijā:

“(5) ja mainās personas datu apstrādes sistēmas aizsardzības tehniskie un organizatoriskie līdzekļi, kas būtiski ietekmē sistēmas aizsardzību, informācija par to viena gada laikā jāiesniedz Datu valsts inspekcijai.

(6) par katru personas datu apstrādes sistēmu reģistrāciju vai šā panta ceturtajā daļā minēto izmaiņu reģistrāciju ņemama valsts nodeva Ministru kabineta noteiktajā kārtībā.”.

17. Izteikt 24.pantu šādā redakcijā:

“24.pants. Datu valsts inspekcija personas datu apstrādes sistēmu reģistrā iekļauj šā likuma 22.pantā minēto informāciju (izņemot tā paša panta 16.punktā minēto informāciju). Reģistrs ir valsts vienotās informācijas sistēmas (megasistēmas) sastāvdaļa.”

18. Izteikt 25.panta pirmo daļu šādā redakcijā:

“(1) Sistēmas pārziņa un personas datu operatora pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi.”

19. Papildināt 26.pantu ar otro daļu šādā redakcijā:

“(2) valsts un pašvaldību institūcijas katru gadu iesniedz Datu valsts inspekcijai personas datu apstrādes sistēmu iekšējā audita atzinumu (arī sistēmas riska analīzi) un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.”

20. 28.pantā:

izteikt pirmo daļu šādā redakcijā:

“(1) Personas datus var nodot citai valstij, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei.”;

izteikt otrās daļas ievaddaļu šādā redakcijā:

“(2) Izņēmumi šā panta pirmajā daļā minēto prasību pildīšanā ir pieļaujami, ja sistēmas pārzinis apņemas veikt uzraudzību pār attiecīgu aizsardzības pasākumu veikšanu un tiek ievērots vismaz viens no šādiem nosacījumiem:”;

izteikt otrās daļas 2.punktu šādā redakcijā:

“2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un sistēmas pārzini, personas dati nododami saskaņā ar datu subjekta līgumsaistībām vai arī, ievērojot datu subjekta lūgumu, datu nodošana nepieciešama, lai noslēgtu līgumu;”;

papildināt pantu ar trešo daļu šādā redakcijā:

“(3) Personas datu aizsardzības pakāpes novērtējumu saskaņā ar šā panta pirmo daļu veic Datu valsts inspekcija, apstiprinot to valstu sarakstu, kurām var nodot personas datus, ņemot vērā normatīvos aktus, kas ir spēkā attiecīgajā valstī.”

21. 29.pantā:

izteikt pirmo daļu šādā redakcijā:

“(1) Personas datu aizsardzības uzraudzību veic Datu valsts inspekcija, kas darbojas neatkarīgi un patstāvīgi, izpildot normatīvajos aktos noteiktās funkcijas, pieņem lēmumus un izdod administratīvos aktus saskaņā ar likumu. Datu valsts inspekcijas funkcijas, tiesības un pienākumus nosaka likums.”;

papildināt trešās daļas 4.punktu ar vārdiem “un sniegt atzinumus par valsts un pašvaldību institūciju veidojamo personas datu apstrādes sistēmu atbilstību normatīvo aktu prasībām.”;

izslēgt ceturtās daļas 2.punktā vārdu “pirmsreģistrācijas”;

papildināt ceturto daļu ar 5., 6.un 7.punktu šādā redakcijā:

“5) anulēt personas datu apstrādes reģistrācijas apliecību, ja,

pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi;

6) likumā noteiktajā kārtībā uzlikt administratīvos sodus par pārkāpumiem personas datu apstrādē;

7) veikt pārbaudi, lai noteiktu personas datu apstrādes atbilstību normatīvo aktu prasībām gadījumos, kad sistēmas pārzinim ar likumu aizliegts sniegt datu subjektam informāciju un saņemts attiecīgs iesniegums no datu subjekta.”

22. 30.pantā:

aizstāt pirmās daļas ievaddaļā vārdus “inspektoriem, uzrādot dienesta apliecību” ar vārdiem “Datu valsts inspekcijas darbiniekiem”;

papildināt pirmās daļas 5.punktu ar vārdiem “vai citus speciālistus;”;

papildināt pirmo daļu ar 7.punktu šādā redakcijā:

“7) sastādīt administratīvā pārkāpuma protokolu par fiziskās personas datu aizsardzības noteikumu pārkāpumiem.”

21. Pārejas noteikumos:

izteikt 2.punktu šādā redakcijā:

“2. Visas valsts un pašvaldību institūcijas, kas uzsākušas personas datu apstrādi pirms 2001.gada 1.janvāra, reģistrē personas datu apstrādes sistēmas Datu valsts inspekcijā līdz 2002.gada 1.janvārim. Citas fiziskās un juridiskās personas, kas uzsākušas personas datu apstrādi pirms 2001.gada 1.janvāra, reģistrē personas datu apstrādes sistēmas Datu valsts inspekcijā līdz 2002.gada 1.jūlijam. Nereģistrēto sistēmu darbība pēc šā termiņa izbeidzama.”;

papildināt pārejas noteikumus ar 3.punktu šādā redakcijā:

“3. Grozījumi 29.panta pirmajā daļā stājas spēkā 2004.gada 1.janvārī.”