Zaudējis spēku - Prasības audita atzinumam par personas datu apstrādi valsts un pašvaldību institūcijās

Veids Noteikumi
Publicēts 2009-11-17
Statuss Zaudējis spēku
Izdevējs Ministru kabinets
Avots likumi.lv
Grozījumu vēsture JSON API

Ministru kabineta noteikumi Nr.1322Rīgā 2009.gada 17.novembrī (prot. Nr.81 20.§)

Izdoti saskaņā ar Fizisko personu datu aizsardzības likuma 26.panta otro daļu

1. Noteikumi nosaka prasības audita atzinumam par personas datu apstrādi (turpmāk – atzinums), ko valsts un pašvaldības institūcijas (turpmāk – institūcija) reizi divos gados iesniedz Datu valsts inspekcijā.
2. Atzinums sastāv no ievaddaļas, personas datu apstrādes riska analīzes un personas datu apstrādes atbilstības izvērtējuma atbilstoši personu datu apstrādi regulējošiem normatīvajiem aktiem (turpmāk – atbilstības izvērtējums).
3. Atzinuma ievaddaļā iekļauj šādu informāciju:

3.1. institūcijas nosaukumu, reģistrācijas numuru, adresi un tālruņa numuru, kā arī personas, kura auditēja, vārdu, uzvārdu, amatu un kontaktinformāciju (adrese, tālruņa numurs, elektroniskā pasta adrese);

3.2. laikposmu, par kuru ir auditēta personas datu apstrāde;

3.3. ziņas par visu institūcijas veikto personas datu apstrādi atsevišķi katram personas datu apstrādes mērķim.

4. Personas datu apstrādes riska analīzē norāda personas datu apstrādes darbību ietekmējošus riska faktorus atbilstoši noteiktajiem riskiem atsevišķi katram personas datu apstrādes mērķim.
5. Atbilstības izvērtējumu sastāda atbilstoši šo noteikumu pielikumam atsevišķi katram personas datu apstrādes mērķim.
6. Persona, kura auditē, par konstatētajiem faktiem sniedz pamatotus secinājumus un ieteikumus.
7. Persona, kura auditē, audita ieteikumiem nosaka šādas prioritātes:

7.1. augsta – kļūdas vai neatbilstības norāda uz augstu risku, ka personas datu apstrādē ir būtiskas nepilnības;

7.2. vidēja – kļūdas vai neatbilstības norāda uz vidēju risku, ka personas datu apstrādē ir nepilnības;

7.3. zema – kļūdas vai nepilnības ir mazāk svarīgas, taču šo jautājumu risinājums varētu uzlabot personas datu apstrādi.

8. Ja nepieciešams, atzinumā iekļauj institūcijas atbildi uz sniegtajiem ieteikumiem.
9. Atzinumu paraksta persona, kura auditēja personas datu apstrādi.

Ministru prezidents V.DombrovskisTieslietu ministra vietā – veselības ministre B.Rozentāle

PielikumsMinistru kabineta2009.gada 17.novembra noteikumiem Nr.1322

Atbilstības izvērtējums

Personas datu apstrādes mērķis
Prasības personas datu apstrādei Atzīmēt ar "x"
--- ---
1. Personas datu apstrāde atbilstoši paredzētajam mērķim un tikai saskaņā ar to 1. Personas datu apstrāde atbilstoši paredzētajam mērķim un tikai saskaņā ar to
1.1. visi apstrādātie personas dati nepieciešami, lai sasniegtu iepriekš noteikto personas datu apstrādes mērķi jā nē daļēji
1.2. personas datu apstrāde veikta tikai sākotnēji paredzētiem mērķiem jā nē daļēji
2. Personas datu pareizība 2. Personas datu pareizība
Ja personas dati saskaņā ar personas datu apstrādes mērķi ir nepilnīgi vai neprecīzi, tiek veikta personas datu pareizības pārbaude un savlaicīga personas datu atjaunošana, labošana vai dzēšana jā nē daļēji
3. Personas datu glabāšana 3. Personas datu glabāšana
3.1. tiek izvērtēta personas datu atbilstība sākotnēji noteiktajam personas datu apstrādes mērķim un konstatēts, ka personas datu apstrādes mērķim vairs nav nepieciešama konkrētu personas datu apstrāde jā nē daļēji
3.2. ja personas datu apstrādes mērķim vairs nav nepieciešama konkrētu personas datu apstrāde, personas dati tiek savlaicīgi pārbaudīti, dzēsti un iznīcināti jā nē daļēji
4. Personas datu apstrāde saskaņā ar datu subjekta tiesībām 4. Personas datu apstrāde saskaņā ar datu subjekta tiesībām
4.1. iegūstot personas datus no datu subjekta, datu subjektu informē par pārziņa nosaukumu, paredzēto personas datu apstrādes mērķi, iespējamiem personas datu saņēmējiem, datu subjekta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus, kā arī par atbildes sniegšanas obligātumu vai brīvprātīgumu un iespējamām sekām, ja atbilde netiek sniegta jā nē daļēji
4.2. ja personas dati nav iegūti no datu subjekta, datu subjektu informē par pārziņa nosaukumu, paredzēto personas datu apstrādes mērķi, iespējamiem personas datu saņēmējiem, personas datu kategorijām un datu ieguves avotu, datu subjekta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus jā nē daļēji
4.3. tiek nodrošinātas datu subjekta tiesības iegūt visu informāciju, kas par viņu savākta un tiek apstrādāta jā nē daļēji
4.4. ja pārzinis ir atteicies datu subjektam sniegt informāciju, kas par viņu savākta un tiek apstrādāta, šāds atteikums atbilst normatīvo aktu prasībām jā nē daļēji
4.5. tiek veikta datu subjekta tiesību izpilde, ja datu subjekts pieprasa, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai tos iznīcina, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai tie vairs nav nepieciešami datu vākšanas mērķim jā nē daļēji
5. Personas datu drošība 5. Personas datu drošība
5.1. izstrādāti un ieviesti iekšējie personas datu apstrādes aizsardzības noteikumi un tie atbilst normatīvo aktu prasībām jā nē daļēji
5.2. fiziskās personas, kuras iesaistītas personas datu apstrādē, ir parakstījušas apņemšanos saglabāt un nelikumīgi neizpaust personas datus jā nē
5.3. tiek veikta to fizisko personu uzskaite, kuras tiek iesaistītas personas datu apstrādē jā nē daļēji
5.4. tiek nodrošināta tikai pilnvarotu personu piekļūšana personas datu apstrādē un aizsardzībā izmantojamiem tehniskajiem resursiem jā nē daļēji
5.5. informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un apstrādā attiecīgi pilnvarotas personas jā nē daļēji
5.6. personas datus vāc, ieraksta, ierakstītos datus sakārto, saglabā, kopē, pārraksta, pārveido, labo, dzēš, iznīcina, arhivē, veic rezerves kopēšanu, bloķē attiecīgi pilnvarotas personas, kā arī tiek nodrošināta iespēja noteikt personas datus, kuri bijuši apstrādāti bez attiecīga pilnvarojuma, minēto datu apstrādes laiku un personu, kas veikusi datu apstrādi jā nē daļēji
5.7. nododot personas datus, tiek saglabāta informācija par personas datiem, kas tikuši nodoti, personas datu nodošanas laiku, personu, kas nodevusi personas datus, un personu, kas saņēmusi personas datus jā nē daļēji
5.8. saņemot personas datus, tiek saglabāta informācija par saņemtajiem personas datiem, par personas datu saņemšanas laiku, personu, kas nodevusi personas datus, un personu, kas saņēmusi personas datus jā nē daļēji
5.9. pārzinis informē personas, kuras apstrādā personas datus, par personas datu apstrādes aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām jā nē daļēji
5.10. pārzinis ir noteicis un nodrošinājis pasākumus, kas veicami tehnisko resursu aizsardzībai pret ārkārtas apstākļiem (piemēram, ugunsgrēks, plūdi) jā nē daļēji
5.11. pārzinis ir noteicis atbildīgās personas par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību, attiecīgo personu tiesības un pienākumus, un minētās personas ir informētas par to tiesībām un pienākumiem jā nē daļēji
5.12. pārzinis ir noteicis personas datu lietotāju tiesības, pienākumus, ierobežojumus, atbildību, un personas datu lietotāji par to ir informēti jā nē daļēji
6. Personas datu nodošana citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts 6. Personas datu nodošana citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts
6.1. ja personas dati tiek nodoti citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, pārzinis ir novērtējis personas datu aizsardzības pakāpes un ir saņemts rakstisks Datu valsts inspekcijas apliecinājums, ka tā piekrīt personas datu nodošanai jā nē daļēji
6.2. pārzinis un personas datu saņēmējs ir noslēguši līgumu par personas datu nodošanu jā nē
6.3. pārziņa un personas datu saņēmēja noslēgtais līgums par personas datu nodošanu atbilst normatīvo aktu prasībām jā nē daļēji
7. Personas datu operatora pakalpojumu izmantošana 7. Personas datu operatora pakalpojumu izmantošana
7.1. personas datu operators viņam uzticētos personas datus apstrādā tikai līgumā norādītajā apmērā jā nē daļēji
7.2. personas datu operators viņam uzticētos personas datus apstrādā atbilstoši līgumā paredzētajiem mērķiem jā nē daļēji
7.3. personas datu operators viņam uzticētos personas datus apstrādā saskaņā ar pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem jā nē daļēji
8. Personas datu apstrādes reģistrācija 8. Personas datu apstrādes reģistrācija
8.1. personas datu apstrāde ir reģistrēta Datu valsts inspekcijā jā nē
8.2. ja personas datu apstrādē ir bijušas izmaiņas, pārzinis ir iesniedzis attiecīgus reģistrācijas grozījumus Datu valsts inspekcijā jā nē
9. Iepriekšējā audita par personas datu apstrādi ieteikumu izpilde 9. Iepriekšējā audita par personas datu apstrādi ieteikumu izpilde
Iepriekšējā audita par personas datu apstrādi ieteikumi ir izpildīti jā nē daļēji
Persona, kura veica auditu
--- ---

Tieslietu ministra vietā – veselības ministre B.Rozentāle

Šis dokuments neaizstāj oficiālo publikāciju izdevumā Latvijas Vēstnesis. Mēs neuzņemamies atbildību par iespējamām neprecizitātēm, kas radušās oriģināla pārveidošanā šajā formātā.