1.pants. Šī likuma mērķis ir nodrošināt jebkuras fiziskās personas tiesību un brīvību aizsardzību, kas saistīta ar fiziskās personas datu (turpmāk - personas dati) apstrādi.

2.pants. Likumā lietotie termini:

1) personas dati - jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu;

2) datu subjekts - fiziskā persona, kura var tikt tieši vai netieši identificēta, izmantojot datu apstrādes sistēmā esošos datus;

3) sensitīvi personas dati - personas dati, kas norāda personas rasi, politisko, reliģisko un citu pārliecību, piederību pie politiskās partijas, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselības stāvokli, ģenētisko kodu, kaitīgiem ieradumiem vai seksuālo dzīvi;

4) publiski personas dati - personas dati, kurus datu subjekts pats vai ar citas personas starpniecību ir publiski izpaudis vai atļāvis izpaust, vai dati, kuru publiskumu nosaka likums;

5) personas datu apstrāde - jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, vai datu dzēšana;

6) sistēma - uz jebkura datu nesēja izvietota, strukturizēta personas datu kopa, kura ir pieejama, ievērojot attiecīgus kritērijus, un kuras apstrādei nepieciešama iekārta, programmatūra un apmācīts personāls;

7) sistēmas pārzinis - fiziskā vai juridiskā persona, kas vada personas datu apstrādes sistēmu, nosaka tās mērķus un apstrādes līdzekļus;

8) personas datu operators - sistēmas pārziņa pilnvarota persona, kas veic personas datu apstrādi sistēmas pārziņa uzdevumā;

9) saņēmējs - fiziskā vai juridiskā persona, kurai tiek izpausti personas dati.

3.pants. (1) Šis likums attiecas uz visu veidu personas datu apstrādi un jebkuru juridisko vai fizisko personu, kas ir iesaistīta personas datu apstrādē, izņemot šī panta otrajā daļā norādītos gadījumus.

(2) Šis likums neattiecas uz fizisko vai juridisko personu vai to apvienību iekšējām informācijas sistēmām, kurās personas datu apstrādi veic personiskām vai iekšējām vajadzībām un savāktie personas dati netiek izpausti citām personām.

4.pants. To personas datu aizsardzību, kuri ir atzīti par valsts noslēpuma objektiem, reglamentē likums "Par valsts noslēpumu".

5.pants. Ikvienai fiziskajai personai ir tiesības uz savu personas datu aizsardzību.

6.pants. (1) Personas datu apstrāde ir atļauta šādos gadījumos:

1) datu subjekts ir devis piekrišanu personas datu apstrādei vai datu apstrāde izriet no datu subjekta līgumsaistībām;

2) personas datu apstrāde ir noteikta ar likumu.

(2) Ja personas datu apstrāde nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses, un šī panta pirmajā daļā minētos nosacījumus nav iespējams ievērot, šo interešu aizsardzībai datu apstrādi var veikt bez datu subjekta iepriekšējas piekrišanas, ja likumos nav noteikta citāda kārtība.

7.pants. (1) Vācot personas datus, sistēmas pārzinim ir pienākums sniegt datu subjektam šādu informāciju, ja vien tā jau nav datu subjekta rīcībā:

1) sistēmas pārziņa nosaukums vai vārds, uzvārds un adrese;

2) paredzētais personas datu apstrādes mērķis;

3) iespējamie personas datu saņēmēji;

4) datu subjekta tiesības piekļūt saviem personas datiem un iespēja izdarīt tajos labojumus;

5) norādes par atbilžu obligātumu un informācijas vākšanas pamatojums.

2. Šī panta pirmā daļa netiek piemērota, ja likums ļauj veikt personas datu apstrādi, neatklājot to vākšanas mērķi.

8.pants. (1) Ja personas dati ir iegūti bez datu subjekta ziņas vai piekrišanas, sistēmas pārzinim ir pienākums pirms datu izpaušanas jebkurai citai fiziskajai vai juridiskajai personai sniegt datu subjektam šādu informāciju:

1) sistēmas pārziņa nosaukums vai vārds, uzvārds un adrese;

2) paredzētais personas datu apstrādes mērķis;

3) iespējamie personas datu saņēmēji;

4) personas datu ieguves avots;

5) datu subjekta tiesības piekļūt saviem personas datiem un iespēja izdarīt tajos labojumus.

(2) Šī panta pirmā daļa netiek piemērota, ja:

1) likums paredz personas datu vākšanu, neinformējot par to datu subjektu;

2) personas dati ir publiski;

3) personas dati nepieciešami zinātniskiem vai statistiskiem pētījumiem un šādu datu apstrāde nepārkāpj datu subjekta tiesības un brīvības;

4) datu subjekta informēšana prasa nesamērīgas pūles vai ir neiespējama.

9.pants. (1) Lai aizsargātu datu subjekta intereses, sistēmas pārzinis nodrošina:

1) personas datu apstrādes likumību;

2) personas datu vākšanu atbilstoši paredzētajam mērķim;

3) personas datu glabāšanas veidu, kas datu subjektu ļauj identificēt attiecīgā laikposmā, kurš nepārsniedz paredzētajam datu apstrādes mērķim noteikto laikposmu;

4) personas datu pareizību un to savlaicīgu atjaunošanu, labošanu vai dzēšanu, ja personas dati ir nepilnīgi vai neprecīzi.

(2) Personas datu apstrāde sākotnēji neparedzētiem mērķiem ir pieļaujama, ja tā nepārkāpj datu subjekta tiesības un tiek veikta zinātnisku vai statistisku pētījumu vajadzībām atbilstoši šī likuma 8.pantā un 9.panta pirmajā daļā noteiktajiem nosacījumiem.

10.pants. (1) Sensitīvo personas datu apstrāde ir aizliegta, izņemot, ja:

1) datu subjekts ir devis rakstisku piekrišanu savu sensitīvo datu apstrādei;

2) speciāla personas datu apstrāde, neprasot datu subjekta piekrišanu, ir paredzēta normatīvajos aktos, kas regulē darba tiesiskās attiecības, un tie garantē personas datu aizsardzību;

3) personas datu apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas dzīvību un veselību, un datu subjekts tiesiski vai fiziski nav spējīgs dot savu piekrišanu;

4) personas datu apstrāde ir nepieciešama, lai sasniegtu likumīgus sabiedrisko organizāciju un to apvienību mērķus, ja tā ir saistīta tikai ar šo organizāciju vai to apvienību locekļiem, un tiek garantēta personas datu aizsardzība;

5) personas datu apstrāde ir nepieciešama profilaktiskās medicīnas vai ārstēšanas vajadzībām, un to veic ārstniecības persona vai veselības aprūpes dienests, nodrošinot atbilstošu personas datu aizsardzību;

6) apstrāde attiecas uz tādiem personas datiem, kuri ir nepieciešami fiziskās vai juridiskās personas likumīgo tiesību un interešu aizsardzībai tiesā.

11.pants. (1) Sistēmas pārzinim ir pienākums likumā noteiktajos gadījumos personas datus izpaust valsts un pašvaldību institūciju amatpersonām, kuras sistēmas pārzinis pirms minēto datu izpaušanas ir identificējis.

(2) Papildus šī panta pirmajā daļā minēto institūciju amatpersonām personas datus var izpaust arī citām fiziskajām un juridiskajām personām, kuras pamato informācijas nepieciešamību, ja, personas datus izpaužot:

1) netiek atklāta informācija, kas ir valsts noslēpums;

2) netiek apdraudēta sabiedriskā drošība vai kārtība, cilvēku dzīvība, veselība vai īpašums;

3) netiek pārkāptas citas būtiskas datu subjekta vai citu personu tiesības.

(3) Personas dati var tikt izpausti, pamatojoties uz rakstisku iesniegumu vai vienošanos, norādot to izmantošanas mērķi, ja ar likumu nav noteikta citāda kārtība. Personas datu pieprasījumā norādāma informācija, kas ļauj identificēt datu pieprasītāju un datu subjektu, kā arī pieprasāmo personas datu apjoms.

(4) Saņemtos personas datus drīkst izmantot tikai paredzētajiem mērķiem.

12.pants. (1) Personas datu apstrādi sistēmas pārzinis var uzticēt citai fiziskajai vai juridiskajai personai (personas datu operatoram), noslēdzot rakstisku līgumu.

(2) Personas datu operators viņam uzticētos personas datus drīkst apstrādāt tikai līgumā norādītajā apjomā un atbilstoši tajā paredzētajiem mērķiem.

(3) Personas datu operatoram pirms personas datu apstrādes sākšanas jāveic sistēmas pārziņa norādītie drošības pasākumi sistēmas aizsardzībai atbilstoši šī likuma prasībām.

4. Sistēmas pārzinis ir atbildīgs par drošības pasākumu ievērošanu.

13.pants. (1) Papildus šī likuma 7. un 8.pantā norādītajām datu subjekta tiesībām datu subjektam ir tiesības iegūt bez maksas visu informāciju, kas par viņu savākta jebkurā personas datu apstrādes sistēmā, ja vien šo informāciju izpaust nav aizliegts ar likumu.

(2) Datu subjektam ir tiesības iegūt to fizisko vai juridisko personu sarakstu, kuras noteiktā laikposmā no sistēmas pārziņa ir saņēmušas informāciju par datu subjektu, ja vien šīs ziņas izpaust nav aizliegts ar likumu. Šajā sarakstā nav iekļaujamas valsts iestādes, kas ir kriminālprocesa virzītāji vai operatīvās darbības subjekti un attiecīgajā laikposmā saņēmušas informāciju par datu subjektu.

(3) Datu subjektam ir tiesības bez maksas pieprasīt arī šādu informāciju:

1) sistēmas pārziņa nosaukums vai vārds, uzvārds un adrese;

2) personas datu apstrādes mērķis, apjoms un veids;

3) datums, kad datu subjekta personas datos pēdējo reizi izdarīti labojumi;

4) personas datu ieguves avots, ja vien šīs ziņas izpaust nav aizliegts ar likumu.

(4) Datu subjektam ir tiesības bez maksas (ne biežāk kā divas reizes gadā) saņemt rakstiski šī panta pirmajā, otrajā un trešajā daļā norādīto informāciju mēneša laikā no datu subjekta pieprasījuma iesniegšanas dienas.

14.pants. (1) Datu subjektam ir tiesības pieprasīt, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai iznīcina tos, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai arī tie vairs nav nepieciešami vākšanas mērķim. Ja datu subjekts var pamatot, ka sistēmā iekļautie personas dati ir nepilnīgi, novecojuši, nepatiesi vai pretlikumīgi iegūti vai arī tie vairs nav nepieciešami vākšanas mērķim, sistēmas pārziņa pienākums ir nekavējoties novērst šo nepilnību vai pārkāpumu.

(2) Ja informācija tikusi atsaukta, sistēmas pārzinim jānodrošina gan jaunās, gan atsauktās informācijas pieejamība, kā arī lai izziņas saņēmējs minēto informāciju saņemtu vienlaikus.

15.pants. Datu subjektam ir tiesības pārsūdzēt Valsts datu inspekcijā sistēmas pārziņa atteikumu sniegt šī likuma 13.pantā minēto informāciju vai veikt šī likuma 14.pantā minētās darbības.

16.pants. (1) Visām valsts un pašvaldību institūcijām, citām juridiskajām un fiziskajām personām, kas veic vai vēlas uzsākt personas datu apstrādi un veido personas datu apstrādes sistēmas, jāreģistrē tās šajā likumā noteiktajā kārtībā, ja ar likumu nav noteikta citāda kārtība.

(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi, ko sabiedriskās drošības, noziedzības apkarošanas vai valsts drošības un aizsardzības jomā veic speciāli ar likumu pilnvarotas institūcijas.

17.pants. (1) Šī likuma 16.pantā minētās institūcijas un personas, kas vēlas uzsākt personas datu apstrādi un izveidot personas datu apstrādes sistēmu, iesniedz Valsts datu inspekcijā reģistrācijas pieteikumu, kurā ir iekļauta šāda informācija:

1) institūcijas vai personas (sistēmas pārziņa) nosaukums (vārds, uzvārds), reģistrācijas kods, adrese un tālruņa numurs;

2) sistēmas pārziņa pilnvarotās personas vārds, uzvārds, personas kods, adrese un tālruņa numurs;

3) personas datu apstrādes sistēmas darbības tiesiskais pamats;

4) informācija par to, kādus personas datus ietvers sistēma, kādiem mērķiem tā paredzēta un kāds būs informācijas apstrādes apjoms;

5) paredzētais informācijas apstrādes veids;

6) plānotais personas datu iegūšanas veids un to kvalitātes kontroles mehānisms;

7) citas datu apstrādes sistēmas, ar kurām būs saistīta reģistrējamā sistēma;

8) personas dati, kādus no reģistrējamās sistēmas varēs iegūt saistītās sistēmas, kā arī dati, kādus reģistrējamā sistēma varēs iegūt no saistītajām sistēmām;

9) veids, kādā reģistrējamās sistēmas dati var tikt nodoti citai sistēmai;

10) fiziskās personas identifikācijas kodi, kādus lietos reģistrējamā sistēma;

11) veids, kādā notiks informācijas apmaiņa ar datu subjektu;

12) kārtība, kādā datu subjekts ir tiesīgs saņemt informāciju par sevi, kā arī citu šī likuma 8., 9. un 11.pantā norādīto informāciju;

13) personas datu papildināšanas un atjaunošanas kārtība;

14) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību.

(2) Ja šī panta pirmajā daļā minētajā informācijā ir izmaiņas, sistēmas pārzinis 30 dienu laikā rakstiski par to informē Valsts datu inspekciju.

(3) Reģistrējot personas datu apstrādes sistēmu, sistēmas pārziņa pilnvarotā persona saņem datu apstrādes sistēmas reģistrācijas apliecību.

18.pants. (1) Valsts datu inspekcija var atteikt reģistrēt datu apstrādes sistēmu, ja:

1) nav iesniegta visa šī likuma 17.pantā norādītā informācija;

2) nav ievēroti šajā likumā noteiktie personas datu apstrādes principi un kārtība.

(2) Valsts datu inspekcijas reģistrācijas atteikumu var pārsūdzēt tiesā likumā noteiktajā kārtībā.

19.pants. (1) Valsts datu inspekcijas personas datu apstrādes sistēmu reģistrā iekļauj šī likuma 17.pantā norādīto informāciju. Reģistrs ir publiski pieejams.

(2) Informāciju par reģistrētajām sistēmām publicē normatīvajos aktos noteiktajā kārtībā.

20.pants. (1) Sistēmas pārziņa pienākums ir lietot nepieciešamos tehnis-kos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu neatļautu to izmantošanu, nodošanu, bojāšanu vai dzēšanu.

(2) Sistēmas pārzinis kontrolē sistēmā ievadīto personas datu veidu un ievadīšanas laiku un ir atbildīgs par to personu rīcību, kuras veic personas datu apstrādi.

21.pants. Sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības nosaka Ministru kabinets.

22.pants. (1) Fiziskās personas, kuras tiek iesaistītas personas datu apstrādē, rakstiski apņemas saglabāt un nelikumīgi neizpaust personas datus. Šo personu pienākums ir neizpaust personas datus arī pēc darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās.

(2) Sistēmas pārziņa pienākums ir veikt šī panta pirmajā daļā minēto personu uzskaiti.

(3) Apstrādājot personas datus, personas datu operatoram jāievēro sistēmas pārziņa norādījumi.

23.pants. (1) Personas datus var nodot uz citu valsti, ja šī valsts nodrošina datu aizsardzības pakāpi, kas nav zemāka par Latvijā spēkā esošo datu aizsardzības pakāpi, un ir saņemta Valsts datu inspekcijas rakstiska piekrišana.

(2) Izņēmumi šī panta pirmajā daļā noteikto prasību ievērošanā ir iespējami, ja tiek ievērots vismaz viens no šādiem nosacījumiem:

1) datu subjekts ir devis piekrišanu datu nodošanai uz citu valsti;

2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un sistēmas pārzini, vai arī personas dati jānodod saskaņā ar datu subjekta līgumsaistībām;

3) datu nodošana ir nepieciešama un noteiktā kārtībā pieprasīta saskaņā ar svarīgām valsts un sabiedriskajām interesēm vai ir nepieciešama tiesvedībā;

4) datu nodošana ir nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses;

5) datu nodošana attiecas uz tiem personas datiem, kuri ir publiski vai ir uzkrāti publiski pieejamā reģistrā.

24.pants. (1) Personas datu aizsardzības uzraudzību veic Valsts datu inspekcija, kas atrodas Tieslietu ministrijas pārraudzībā. Valsts datu inspekciju vada direktors.

(2) Valsts datu inspekcijas pienākumi personas datu aizsardzības jomā:

1) nodrošināt valstī datu apstrādes atbilstību šī likuma prasībām;

2) pieņemt lēmumus un izskatīt sūdzības, kas saistītas ar personas datu aizsardzību;

3) reģistrēt sistēmas;

4) ierosināt un veikt darbības, kas vērstas uz efektīvāku personas datu aizsardzību.

(3) Valsts datu inspekcijas tiesības personas datu aizsardzības jomā:

1) normatīvajos aktos noteiktajā kārtībā bez maksas saņemt no fiziskajām un juridiskajām personām inspekcijas uzdevumu veikšanai nepieciešamo informāciju;

2) veikt sistēmas pirmsreģistrācijas pārbaudi;

3) pieprasīt datu bloķēšanu, izdzēšanu vai iznīcināšanu, noteikt pastāvīgu vai pagaidu aizliegumu datu apstrādei;

4) iesniegt tiesā prasību par personas datu aizsardzības likuma pārkāpumiem.

25.pants. (1) Lai izpildītu šī likuma 24.panta otrajā daļā minētos pienākumus, Valsts datu inspekcijas direktoram un viņa pilnvarotiem inspektoriem, uzrādot dienesta apliecību, ir tiesības:

1) bez iepriekšēja brīdinājuma iekļūt jebkurās nedzīvojamās telpās, kurās atrodas sistēmas, un sistēmas pārziņa pārstāvja klātbūtnē veikt nepieciešamo pārbaudi vai citus pasākumus, lai noteiktu personas datu apstrādes procesa atbilstību likumam;

2) pieprasīt rakstisku vai mutisku paskaidrojumu no jebkuras fiziskās vai juridiskās personas, kas ir saistīta ar personas datu apstrādi;

3) pieprasīt uzrādīt dokumentus un saņemt citu informāciju, kas attiecas uz kontrolējamo sistēmu;

4) pieprasīt sistēmas, jebkuras tās iekārtas vai informācijas nesēja pārbaudi un noteikt ekspertīzi nepieciešamo jautājumu izpētei;

5) ja nepieciešams, savu pienākumu izpildes nodrošināšanai pieaicināt tiesībaizsardzības iestāžu darbiniekus;

6) ja nepieciešams, sagatavot un iesniegt tiesībaizsardzības iestādēm ma-teriālus vainīgo personu saukšanai pie atbildības.

(2) Reģistrēšanā un inspicēšanā iesaistītie Valsts datu inspekcijas darbinieki nodrošina reģistrācijas un inspicēšanas gaitā iegūtās informācijas neizpaušanu, izņemot publiski pieejamu informāciju. Šis aizliegums ir spēkā arī pēc amata pienākumu pildīšanas izbeigšanas.

Šī likuma 16.pantā minētajām institūcijām un personām, kuras darbību sākušas pirms šī likuma stāšanās spēkā, jāreģistrējas Valsts datu inspekcijā sešu mēnešu laikā no šī likuma spēkā stāšanās dienas. Nereģistrēto sistēmu darbība pēc šī termiņa notecēšanas jāizbeidz.