Par fizisko personu datu apstrādi kriminālprocesā un administratīvā pārkāpuma procesā

Saeima ir pieņēmusi un Valstsprezidents izsludina šādu likumu:

I nodaļaVispārīgie noteikumi

1. pants. Likumā lietotie termini

Likumā ir lietoti šādi termini:

1) apstrādātājs — fiziskā vai juridiskā persona, valsts institūcija, atvasināta publiska persona vai tās institūcija, kura pārziņa uzdevumā atbilstoši normatīvajos aktos noteiktajam apstrādā personas datus;

2) biometriskie dati — personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskās personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm un ļauj veikt vai apstiprina šīs fiziskās personas viennozīmīgu identifikāciju;

3) datu subjekts — identificēta vai identificējama fiziskā persona;

4) ģenētiskie dati — personas dati, kas attiecas uz fiziskās personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par šīs fiziskās personas fizioloģiju vai veselību un izriet no šīs fiziskās personas bioloģiskā parauga analīzes;

5) kartotēka — jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai šis datu kopums ir centralizēts, decentralizēts vai izkliedēts;

6) kompetentā iestāde — valsts institūcija, atvasināta publiska persona vai tās institūcija, kuras kompetencē ir noziedzīgu nodarījumu vai administratīvo pārkāpumu novēršana, izmeklēšana vai atklāšana, kriminālsodu vai administratīvo sodu piemērošana vai izpilde vai citu ar administratīvā pārkāpuma procesu vai kriminālprocesu saistītu darbību veikšana;

7) pārzinis — juridiskā persona, valsts institūcija, atvasināta publiska persona vai tās institūcija, kas viena pati vai kopīgi ar citām iestādēm nosaka personas datu apstrādes nolūkus un līdzekļus;

8) kopīgi pārziņi — divi vai vairāki pārziņi, kas kopīgi nosaka personas datu apstrādes nolūkus un līdzekļus;

9) personas dati — jebkura informācija, kas attiecas uz datu subjektu;

10) personas datu aizsardzības pārkāpums — drošības pārkāpums, kura rezultāts ir nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

11) personas datu apstrāde — jebkura ar personas datiem veikta darbība neatkarīgi no personas datu apstrādes veida, piemēram, vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

12) personas datu apstrādes ierobežošana — personas datu atzīmēšana, nošķiršana no citiem personas datiem vai citas līdzīgas darbības ar mērķi ierobežot konkrētu personas datu apstrādi nākotnē;

13) profilēšana — jebkāda veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana, lai izvērtētu konkrētus ar fizisko personu saistītus aspektus, it īpaši lai analizētu vai prognozētu šīs fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personiskās vēlmes, intereses, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

14) pseidonimizācija — darbību kopums, kas nodrošina personas datu apstrādi tādā veidā, ka fiziskā persona nav identificējama bez papildu informācijas, kura glabājas atsevišķi un kurai tiek piemēroti atbilstoši tehniskie un organizatoriskie pasākumi, lai fizisko personu nevarētu identificēt bez šādas informācijas;

15) saņēmējs — fiziskā vai juridiskā persona, valsts institūcija, atvasināta publiska persona vai tās institūcija, kurai izpauž personas datus. Valsts institūcija, atvasināta publiska persona vai tās institūcija, kas saņem personas datus saistībā ar konkrētu izmeklēšanu kriminālprocesā vai administratīvā pārkāpuma procesā, nav uzskatāma par saņēmēju;

16) starptautiska organizācija — organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas izveidota ar divu vai vairāku valstu noslēgtu starptautisku līgumu vai uz tā pamata;

17) trešā valsts — valsts, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts;

18) veselības dati — personas dati, kas saistīti ar fiziskās personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu saņemšanu, un sniedz informāciju par tās veselības stāvokli.

2. pants. Likuma mērķis

Likuma mērķis ir aizsargāt fizisko personu pamattiesības, it īpaši tiesības uz privātās dzīves neaizskaramību, kad kompetentās iestādes apstrādā personas datus, lai:

1) novērstu, izmeklētu un atklātu noziedzīgus nodarījumus un administratīvos pārkāpumus;

2) piemērotu un izpildītu kriminālsodus un administratīvos sodus;

3) veiktu citas ar administratīvā pārkāpuma procesu vai kriminālprocesu saistītas darbības, tostarp piemērotu procesuālos piespiedu līdzekļus, nodrošinātu to personu uzraudzību, kuras nosacīti atbrīvotas no kriminālatbildības, procesa par noziedzīgi iegūtu mantu, procesa par medicīniska rakstura piespiedu līdzekļiem, procesa par audzinoša rakstura piespiedu līdzekļiem, procesa par piespiedu ietekmēšanas līdzekļiem juridiskajām personām, procesa par spēkā esošu nolēmumu jaunu izskatīšanu norisi un to ietvaros pieņemto lēmumu izpildi.

3. pants. Likuma darbības joma un piemērošanas izņēmumi

(1) Šo likumu piemēro personas datu apstrādei, ko veic kompetentā iestāde šā likuma 2. pantā minētajos nolūkos, ja apstrāde pilnībā vai daļēji veikta ar automatizētiem līdzekļiem vai apstrādājamie personas dati veido kartotēku vai paredzēti, lai veidotu daļu no kartotēkas.

(2) Šo likumu, ievērojot šā panta pirmo daļu, piemēro arī tādai personas datu apstrādei, ko veic prokuratūra, pildot Prokuratūras likumā noteiktās personu un valsts tiesību un likumīgo interešu aizsardzības funkcijas šā likuma 2. pantā noteiktā mērķa sasniegšanai.

(3) Šo likumu nepiemēro personas datu apstrādei, ko veic kompetentā iestāde citos, šā likuma 2. pantā neminētos nolūkos. Šādai personas datu apstrādei piemēro Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk — datu regula), ciktāl datu regula attiecas uz šādu personas datu apstrādi.

II nodaļaPersonas datu apstrādes vispārīgie noteikumi

4. pants. Personas datu apstrādes principi

(1) Personas datus:

1) apstrādā likumīgi un godprātīgi;

2) vāc konkrētos, skaidros un tiesiskos nolūkos un neapstrādā ar minētajiem nolūkiem nesaderīgā veidā;

3) apstrādā, lai tie būtu atbilstoši šā likuma 2. pantā noteiktajam personas datu apstrādes mērķim un nebūtu pārmērīgi, ņemot vērā to apstrādes nolūku;

4) apstrādā tā, lai tie būtu precīzi un aktuāli. Pārzinis nodrošina, ka neprecīzi personas dati, ņemot vērā to apstrādes nolūku, tiek laikus laboti vai dzēsti;

5) glabā veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā tas nepieciešams personas datu apstrādes nolūkos;

6) apstrādā, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus tā, lai nodrošinātu atbilstošu personas datu drošību, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu.

(2) Personas datu apstrādi sākotnēji neparedzētā nolūkā tas pats vai cits pārzinis var veikt, ja:

1) personas datu apstrāde tiek veikta šā likuma 2. pantā minētajos nolūkos, ir nepieciešama ārējos normatīvajos aktos noteikto uzdevumu izpildei un ir samērīga ar sākotnēji neparedzēto nolūku;

2) personas datu apstrāde ir uzskatāma par arhivēšanu sabiedrības interesēs, izmantošanu zinātniskiem, statistikas vai vēsturiskiem mērķiem šā likuma 2. pantā minētajos nolūkos un tiek nodrošinātas atbilstošas datu subjekta tiesības uz savu personas datu aizsardzību.

(3) Ja personas dati ietverti īslaicīgi, ilgstoši vai pastāvīgi glabājamos dokumentos, tie pilnībā vai daļēji dzēšami pēc dokumentu iznīcināšanas akta saskaņošanas ar Latvijas Nacionālo arhīvu ārējos normatīvajos aktos noteiktajā kārtībā. Īslaicīgi glabājamo dokumentu var iznīcināt (personas datus pilnībā vai daļēji dzēst) bez šāda saskaņojuma tikai tad, ja ar Latvijas Nacionālo arhīvu ir saskaņots attiecīgā dokumenta veida glabāšanas termiņš un tas ir beidzies.

(4) Pārzinis ir atbildīgs par personas datu apstrādes atbilstību šā panta prasībām, un tam jāspēj šo atbilstību uzskatāmi pierādīt.

5. pants. Personas datu apstrādes likumīgums

Personas datu apstrāde ir uzskatāma par likumīgu tikai tiktāl, ciktāl šī apstrāde ir nepieciešama tā uzdevuma izpildei, kuru kompetentā iestāde veic šā likuma 2. pantā minētajos nolūkos un kurš ir noteikts ar kompetentās iestādes darbību regulējošu ārējo normatīvo aktu.

6. pants. Personas datu nošķiršana un kvalitātes pārbaude

(1) Pārzinis, apstrādājot personas datus, skaidri nošķir dažādu datu subjektu kategoriju personas datus, kā arī personas datus, kas balstīti uz faktiem, no personas datiem, kas balstīti uz personiskiem vērtējumiem.

(2) Pārzinis nodrošina, ka personas datus, kas ir neprecīzi, nepilnīgi vai nav aktuāli, nenosūta vai nedara citādi pieejamus. Kompetentā iestāde pirms personas datu nosūtīšanas pārbauda, vai personas dati ir precīzi, pilnīgi, ticami un aktuāli. Nosūtot personas datus, pārzinis tiem pievieno nepieciešamo informāciju, kas kompetentajai iestādei ļauj izvērtēt personas datu precizitāti, pilnību, ticamību un aktualitāti.

(3) Ja ir nosūtīti nepareizi personas dati vai personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē saņēmēju. Šādā gadījumā personas datus labo vai dzēš vai ierobežo to izmantošanu saskaņā ar šā likuma 13. pantu.

7. pants. Īpaši personas datu apstrādes nosacījumi

(1) Kompetentā iestāde, nosūtot personas datus, informē saņēmēju par normatīvajos aktos noteiktajām personas datu apstrādes īpašajām prasībām, kas kompetentajai iestādei ir jāievēro, kā arī par saņēmēja pienākumu šīs prasības ievērot.

(2) Šā panta pirmās daļas noteikumi attiecas arī uz saņēmējiem citās Eiropas Savienības dalībvalstīs, Eiropas Ekonomikas zonas dalībvalstīs vai aģentūrās, birojos un struktūrās, kas izveidoti, ievērojot Līguma par Eiropas Savienības darbību V sadaļas ceturto un piekto daļu.

8. pants. Īpašu kategoriju personas datu apstrāde

Personas datu apstrāde, kas atklāj fiziskās personas rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī ģenētisko un biometrisko datu apstrāde, lai veiktu fiziskās personas viennozīmīgu identifikāciju, vai tādu datu apstrāde, kuri attiecas uz fiziskās personas veselību vai dzimumdzīvi, vai seksuālo orientāciju, ir atļauta tikai tad, ja šāda apstrāde ir noteikta attiecīgā likumā vai ir absolūti nepieciešama un ja uz šādu apstrādi attiecas datu subjekta tiesību garantijas un ir iestājies vismaz viens no šādiem nosacījumiem:

1) personas datu apstrāde nepieciešama, lai aizsargātu būtiskas datu subjekta vai citas fiziskās personas intereses;

2) tiek apstrādāti tādi personas dati, kurus datu subjekts pats ir publiskojis.

9. pants. Automatizēta individuālu lēmumu pieņemšana

(1) Kompetentajai iestādei aizliegts pieņemt tādus lēmumus, kas balstīti tikai uz automātisku apstrādi, tostarp uz profilēšanu, ja tie rada nelabvēlīgas tiesiskas sekas datu subjektam vai būtiski viņu ietekmē, izņemot gadījumus, kad šādu lēmumu pieņemšana ir paredzēta ārējā normatīvajā aktā, kurā ietvertas datu subjekta tiesību garantijas.

(2) Profilēšana, kas diskriminē fizisko personu, pamatojoties uz šā likuma 8. pantā minētajiem īpašu kategoriju personas datiem, ir aizliegta.

III nodaļaDatu subjekta tiesības

10. pants. Datu subjekta tiesību īstenošanas kārtība

(1) Datu subjektam ir tiesības iesniegt pārzinim pieprasījumu attiecībā uz savu personas datu apstrādi un bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas dienas, saņemt no pārziņa atbildi, kurā norādīta turpmākā rīcība saistībā ar pieprasījumu. Ja datu subjekts nav norādījis citādi un tas ir tehniski iespējams, pārzinis atbildi sniedz tādā pašā veidā, kādā iesniegts pieprasījums.

(2) Datu subjekts šajā likumā tam noteiktās tiesības īsteno bez maksas. Pārzinim ir tiesības pieprasīt maksu par pieprasījuma izpildi atbilstoši normatīvajiem aktiem par informācijas sniegšanas maksas pakalpojumiem, ja datu subjekta pieprasījums ir pārmērīgi liels vai regulāri atkārtojas. Pārzinis informē datu subjektu par maksas pieprasīšanas iemesliem.

(3) Ja datu subjekta pieprasījums ir nepamatots, pārzinis atsaka tajā ietvertā lūguma izpildi. Pārzinis pamato, kāpēc pieprasījums uzskatāms par nepamatotu.

(4) Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz pieprasījumu, tas var pieprasīt papildu informāciju datu subjekta identitātes noskaidrošanai.

(5) Datu subjektam ir tiesības apstrīdēt un pārsūdzēt pārziņa vai apstrādātāja rīcību saistībā ar viņa pieprasījumu Administratīvā procesa likumā noteiktajā kārtībā, bet uzraudzības iestādes (turpmāk — Datu valsts inspekcija) rīcību — Fizisko personu datu apstrādes likumā noteiktajā kārtībā. Ja personas dati tiek apstrādāti operatīvās darbības, kriminālprocesa vai administratīvā pārkāpuma procesa ietvaros, sūdzības par personas datu apstrādi tiek izskatītas operatīvo darbību, kriminālprocesu vai administratīvā pārkāpuma procesu regulējošos normatīvajos aktos noteiktajā kārtībā.

11. pants. Datu subjekta informēšana

(1) Pārzinis datu subjektam dara pieejamu vismaz šādu informāciju:

1) pārziņa nosaukums un kontaktinformācija;

2) datu aizsardzības speciālista kontaktinformācija;

3) personas datu apstrādes nolūks;

4) informācija par tiesībām iesniegt sūdzību Datu valsts inspekcijai un Datu valsts inspekcijas kontaktinformācija;

5) informācija par tiesībām pieprasīt, lai pārzinis nodrošina datu subjektam piekļuvi viņa personas datiem, tos labo vai dzēš vai ierobežo datu subjekta personas datu apstrādi.

(2) Datu subjekta tiesību vai tiesisko interešu aizsardzībai pārzinis ārējos normatīvajos aktos noteiktajā kārtībā datu subjektam sniedz vismaz šādu informāciju:

1) personas datu apstrādes tiesiskais pamats;

2) personas datu glabāšanas termiņš vai, ja tas nav iespējams, kritēriji, kas izmantoti termiņa noteikšanai;

3) saņēmēju kategorijas, arī trešās valstīs vai starptautiskās organizācijās.

(3) Pārzinis informāciju par datu subjekta tiesībām sniedz kodolīgi, saprotami, viegli pieejamā veidā, skaidrā un vienkāršā valodā.

(4) Personas datu apstrādi, neinformējot datu subjektu, veic ārējos normatīvajos aktos noteiktajos gadījumos.

12. pants. Datu subjekta piekļuves tiesības

(1) Datu subjektam ir tiesības saprātīgā laikposmā, ne vēlāk kā mēneša laikā, saņemt no pārziņa informāciju par to, vai tiek apstrādāti viņa personas dati, kā arī iegūt šādu informāciju:

1) personas datu apstrādes nolūks un tiesiskais pamats;

2) apstrādāto personas datu kategorijas;

3) saņēmēji vai saņēmēju kategorijas;

4) personas datu glabāšanas termiņš vai, ja tas nav iespējams, kritēriji, kas izmantoti termiņa noteikšanai;

5) informācija par tiesībām pieprasīt, lai pārzinis labo vai dzēš datu subjekta personas datus vai ierobežo to apstrādi;

6) informācija par tiesībām iesniegt sūdzību Datu valsts inspekcijai un Datu valsts inspekcijas kontaktinformācija;

7) informācija par apstrādātajiem personas datiem un visa pieejamā informācija par to izcelsmi.

(2) Šā panta pirmo daļu nepiemēro, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēta citāda datu subjekta piekļuves tiesību īstenošanas kārtība. Šādā gadījumā pārzinis bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā, rakstveidā informē datu subjektu par atteikumu vai ierobežojumiem piekļūt viņa personas datiem un par atteikuma vai ierobežojumu iemesliem. Šādu informāciju var nesniegt, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēts, ka datu subjektu neinformē par atteikumu vai ierobežojumiem piekļūt viņa personas datiem un par atteikuma vai ierobežojumu iemesliem. Pārzinis informē datu subjektu par tiesībām iesniegt sūdzību Datu valsts inspekcijai vai vērsties tiesā.

(3) Pārzinis nodrošina Datu valsts inspekcijai iespēju pēc tās pieprasījuma iepazīties ar lēmumu, kas pieņemts, pamatojoties uz šā panta otro daļu, un informāciju, uz kuras pamata šis lēmums pieņemts.

13. pants. Tiesības pieprasīt personas datu labošanu, dzēšanu vai personas datu apstrādes ierobežošanu

(1) Datu subjektam ir tiesības pieprasīt, lai pārzinis bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas dienas, papildina vai izlabo viņa personas datus, kas ir neprecīzi vai nepilnīgi.

(2) Datu subjektam ir tiesības pieprasīt, lai pārzinis bez nepamatotas kavēšanās, ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas dienas, dzēš viņa personas datus, ja personas datu apstrādē ir pārkāptas šā likuma 4., 5. vai 8. panta prasības.

(3) Pārzinis nedzēš personas datus, bet ierobežo to apstrādi šādos gadījumos:

1) datu subjekts apstrīd savu personas datu precizitāti, bet nevar noteikt, vai dati ir precīzi vai neprecīzi. Šādā gadījumā pārzinis informē datu subjektu pirms personas datu apstrādes ierobežojumu atcelšanas;

2) personas datus ir nepieciešams saglabāt kā pierādījumus.

(4) Pārzinis datu subjektu neinformē par atteikumu labot viņa personas datus, tos dzēst vai ierobežot to apstrādi un par atteikuma iemesliem, ja likumā, kas regulē konkrēto personas datu apstrādi, ir paredzēta personas datu apstrāde, neinformējot datu subjektu.

(5) Ja neprecīzie personas dati saņemti no kompetentās iestādes, pārzinis informē kompetento iestādi par personas datu labošanu.

(6) Ja pārzinis labo vai dzēš personas datus vai ierobežo to apstrādi, pārzinis par to paziņo saņēmējiem un saņēmēji attiecīgos personas datus labo, dzēš vai ierobežo to apstrādi.

14. pants. Datu subjekta tiesību īstenošana ar Datu valsts inspekcijas starpniecību

(1) Šā likuma 11. panta ceturtajā daļā, 12. panta otrajā daļā un 13. panta ceturtajā daļā minētajos gadījumos datu subjektam ir tiesības iesniegt Datu valsts inspekcijai pieprasījumu par viņa personas datu apstrādi vai par to apstrādes pārbaudi.

(2) Ja datu subjekts šā panta pirmajā daļā minēto pieprasījumu ir iesniedzis pārzinim, pārzinis septiņu darbdienu laikā no pieprasījuma saņemšanas dienas pārsūta to Datu valsts inspekcijai, informējot par to datu subjektu.

(3) Pēc nepieciešamo pārbaužu veikšanas Datu valsts inspekcija informē datu subjektu vismaz par to, ka ir veikusi visas nepieciešamās pārbaudes, kā arī par viņa tiesībām pārsūdzēt Datu valsts inspekcijas rīcību tiesā.

IV nodaļaPārzinis, apstrādātājs un datu aizsardzības speciālists

15. pants. Pārziņa vispārīgie pienākumi

(1) Ņemot vērā personas datu apstrādes raksturu, apjomu, kontekstu un nolūku, kā arī dažādus ar personas datu apstrādi saistītus riskus attiecībā uz datu subjekta tiesībām, pārzinis īsteno atbilstošus tehniskos un organizatoriskos pasākumus, tostarp pseidonimizāciju, izmanto loģiskās un fiziskās aizsardzības līdzekļus, lai nodrošinātu, ka personas datu apstrāde notiek saskaņā ar šā likuma prasībām un atbilst personas datu apstrādes principiem.

(2) Pārzinim ir pienākums regulāri pārskatīt un atjaunināt tehniskos un organizatoriskos pasākumus.

(3) Pārziņa darbinieki un citas pārziņa pakļautībā esošās personas apstrādā personas datus tikai atbilstoši normatīvajiem aktiem un saskaņā ar pārziņa norādījumiem.