1.

Spēkā esošā redakcija

2.

Otrajā lasījumā pieņemtā redakcija

3. Pr.

nr.

4.

Priekšlikumi trešajam lasījumam

(35)

5.

Komisijas atzinums

6.

Komisijas atbalstītā redakcija

Izdarīt Fizisko personu datu aizsardzības likumā (Latvijas Republikas Saeimas un Ministru Kabineta Ziņotājs, 2000, 9.nr.; 2002, 23.nr.) šādus grozījumus:

Redakcionāli precizēts

Izdarīt Fizisko personu datu aizsardzības likumā (Latvijas Republikas Saeimas un Ministru Kabineta Ziņotājs, 2000, 9.nr.; 2002, 23.nr.; 2007, 3.nr.) šādus grozījumus:

1. Aizstāt visā likumā vārdus "sistēmas pārzinis" (attiecīgā locījumā) ar vārdu "pārzinis" (attiecīgā locījumā).

1. Aizstāt visā likumā vārdus "sistēmas pārzinis" (attiecīgā locījumā) ar vārdu "pārzinis" (attiecīgā locījumā).

2.pants. Likumā ir lietoti šādi termini:

1) datu subjekts — fiziskā persona, kuru var tieši vai netieši identificēt;

2) datu subjekta piekrišana — datu subjekta brīvi, nepārprotami izteikts gribas apliecinājums, ar kuru datu subjekts atļauj apstrādāt savus personas datus, atbilstoši sistēmas pārziņa sniegtajai informācijai saskaņā ar šā likuma 8.pantu;

3) personas dati — jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu;

4) personas datu apstrāde — jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu;

5) personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošus kritērijus;

6) personas datu operators — sistēmas pārziņa pilnvarota persona, kas veic personas datu apstrādi sistēmas pārziņa uzdevumā;

7) personas datu saņēmējs — fiziskā vai juridiskā persona, kurai tiek izpausti personas dati;

8) sensitīvi personas dati — personas dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi;

9) sistēmas pārzinis — fiziskā vai juridiskā persona, kura nosaka personas datu apstrādes sistēmas mērķus un apstrādes līdzekļus;

10) trešā persona — jebkura fiziskā vai juridiskā persona, izņemot datu subjektu, sistēmas pārzini, personas datu operatoru un personas, kuras tieši pilnvarojis sistēmas pārzinis vai personas datu operators.

2.  2.pantā:

izteikt 9.punktu šādā redakcijā:

"9) pārzinis – fiziskā vai juridiskā persona, valsts vai pašvaldību institūcija, kura nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu;";

papildināt pantu ar 11.punktu šādā redakcijā:

"11) personas identifikācijas kods –numurs, kas tiek piešķirts datu subjekta identifikācijai."

2.  2.pantā:

izteikt 9.punktu šādā redakcijā:

"9) pārzinis – fiziskā vai juridiskā persona, valsts vai pašvaldību institūcija, kura nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu;";

papildināt pantu ar 11.punktu šādā redakcijā:

"11) personas identifikācijas kods –numurs, kas tiek piešķirts datu subjekta identifikācijai."

3.pants. (1) Šis likums, ievērojot šajā pantā noteiktos izņēmumus, attiecas uz visu veidu personas datu apstrādi un jebkuru fizisko vai juridisko personu, ja:

1) sistēmas pārzinis ir reģistrēts Latvijas Republikā;

2) datu apstrāde tiek veikta ārpus Latvijas Republikas robežām teritorijās, kas pieder Latvijas Republikai saskaņā ar starptautiskajiem līgumiem;

3) Latvijas Republikas teritorijā atrodas aprīkojums, kas tiek izmantots personas datu apstrādei.

(2) Šā panta pirmās daļas 3.punktā minētajos gadījumos sistēmas pārzinis ieceļ pilnvaroto personu, kas ir atbildīga par šā likuma ievērošanu.

(3) Šis likums neattiecas uz fizisko personu veidotām informācijas sistēmām, kurās personas datu apstrādi veic personiskām vai mājas un ģimenes vajadzībām un kurās savāktie personas dati netiek izpausti citām personām.

3.  3.pantā:

izteikt pirmās daļas 3.punktu šādā redakcijā:

"3) Latvijas Republikā atrodas aprīkojums, kas tiek izmantots personas datu apstrādei, izņemot gadījumus, kad aprīkojums tiek izmantots tikai personas datu pārraidei caur Latvijas Republikas teritoriju."; 

izteikt trešo daļu šādā redakcijā: 

"(3) Šis likums neattiecas uz personas datu apstrādi, ko fiziskās personas veic personiskām vai mājas un ģimenes vajadzībām, turklāt personas dati netiek izpausti trešajām personām."

3.  3.pantā:

izteikt pirmās daļas 3.punktu šādā redakcijā:

"3) Latvijas Republikā atrodas aprīkojums, kas tiek izmantots personas datu apstrādei, izņemot gadījumus, kad aprīkojums tiek izmantots tikai personas datu pārraidei caur Latvijas Republikas teritoriju."; 

izteikt trešo daļu šādā redakcijā: 

"(3) Šis likums neattiecas uz personas datu apstrādi, ko fiziskās personas veic personiskām vai mājas un ģimenes vajadzībām, turklāt personas dati netiek izpausti trešajām personām."

5.pants. (1) Šā likuma 7., 8., 9. un 11.pants netiek piemērots, ja personas dati ir apstrādāti žurnālistiskām, mākslinieciskām vai literārām vajadzībām un ja likumā nav noteikts citādi.

(2) Šā panta pirmās daļas noteikumus piemēro, ievērojot personas tiesības uz privātās dzīves neaizskaramību un vārda brīvību.

4. Papildināt 5.panta pirmo daļu pēc vārda "žurnālistiskām" ar vārdiem "vajadzībām saskaņā ar likumu "Par presi un citiem masu informācijas līdzekļiem"". 

4. Papildināt 5.panta pirmo daļu pēc vārda "žurnālistiskām" ar vārdiem "vajadzībām saskaņā ar likumu "Par presi un citiem masu informācijas līdzekļiem"". 

9.pants. (1) Ja personas dati nav iegūti no datu subjekta, sistēmas pārzinim ir pienākums, ievācot vai pirmo reizi izpaužot šādus personas datus trešajām personām, sniegt datu subjektam šādu informāciju:

1) sistēmas pārziņa un personas datu operatora nosaukums vai vārds un uzvārds, kā arī adrese;

2) paredzētais personas datu apstrādes mērķis.

(2) Pēc datu subjekta pieprasījuma sistēmas pārzinim ir pienākums sniegt arī šādu informāciju:

1) iespējamie personas datu saņēmēji;

2) personas datu kategorijas un datu ieguves avots;

3) datu subjekta tiesības piekļūt saviem personas datiem un izdarīt tajos labojumus.

(3) Šā panta otrā daļa netiek piemērota, ja:

1) likums paredz personas datu apstrādi, neinformējot par to datu subjektu;

2) apstrādājot personas datus zinātniskiem, vēsturiskiem vai statistiskiem pētījumiem vai Latvijas nacionālā arhīva fonda veidošanai, datu subjektu informēšana prasa nesamērīgas pūles vai ir neiespējama.

5. Izteikt 9.panta trešās daļas ievaddaļu šādā redakcijā:

"(3) Šā panta pirmā un otrā daļa netiek piemērota, ja:".

5. Izteikt 9.panta trešās daļas ievaddaļu šādā redakcijā:

"(3) Šā panta pirmā un otrā daļa netiek piemērota, ja:".

11.pants. Sensitīvo personas datu apstrāde ir aizliegta, izņemot gadījumus, kad:

1) datu subjekts ir devis rakstveida piekrišanu savu sensitīvo datu apstrādei;

2) speciāla personas datu apstrāde, neprasot datu subjekta piekrišanu, ir paredzēta normatīvajos aktos, kas regulē darba tiesiskās attiecības, un šie normatīvie akti garantē personas datu aizsardzību;

3) personas datu apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas dzīvību un veselību, un datu subjekts tiesiski vai fiziski nav spējīgs dot savu piekrišanu;

4) personas datu apstrāde ir nepieciešama, lai sasniegtu likumīgus nekomerciālus sabiedrisko organizāciju un to apvienību mērķus, ja šī datu apstrāde ir saistīta tikai ar šo organizāciju vai to apvienību biedriem un personas dati netiek nodoti trešajām personām;

5) personas datu apstrāde ir nepieciešama ārstniecības vajadzībām, veselības aprūpes pakalpojumu sniegšanai vai to administrēšanai un ārstniecības līdzekļu izplatīšanai;

6) apstrāde attiecas uz tādiem personas datiem, kuri ir nepieciešami fiziskās vai juridiskās personas likumīgo tiesību un interešu aizsardzībai tiesā;

7) personas datu apstrāde ir nepieciešama sociālās palīdzības sniegšanai un to veic sociālās palīdzības pakalpojumu sniedzējs;

8) personas datu apstrāde ir nepieciešama Latvijas nacionālā arhīva fonda veidošanai un to veic valsts arhīvi un iestādes ar valsts arhīvu ģenerāldirektora apstiprinātām valsts glabātavas tiesībām;

9) personas datu apstrāde ir nepieciešama statistiskiem pētījumiem, ko veic Centrālā statistikas pārvalde;

10) apstrāde attiecas uz tādiem personas datiem, kurus datu subjekts pats ir publiskojis.

6. 11.pantā:

aizstāt 5.punktā vārdus "ārstniecības līdzekļu izplatīšanai" ar vārdiem "zāļu un medicīnisko ierīču izplatīšanai vai to administrēšanai";

papildināt pantu ar 11.punktu šādā redakcijā:

"11) personas datu apstrāde ir nepieciešama, pildot valsts pārvaldes funkcijas vai veidojot likumā noteiktas valsts informācijas sistēmas."

6. 11.pantā:

aizstāt 5.punktā vārdus "ārstniecības līdzekļu izplatīšanai" ar vārdiem "zāļu un medicīnisko ierīču izplatīšanai vai to administrēšanai";

papildināt pantu ar 11.punktu šādā redakcijā:

"11) personas datu apstrāde ir nepieciešama, pildot valsts pārvaldes funkcijas vai veidojot likumā noteiktās valsts informācijas sistēmas."

12.pants. Personas datus, kuri attiecas uz noziedzīgiem nodarījumiem, sodāmību krimināllietās, tiesvedību krimināllietās un slēgtās tiesas sēdēs civillietās, drīkst apstrādāt tikai likumā noteiktas personas un likumā noteiktajos gadījumos.

7. Papildināt 12.pantu pēc vārdiem "slēgtās tiesas sēdēs civillietās" ar vārdiem "kā arī administratīvā procesa lietās". 

1.

Juridiskais birojs

Izteikt 12.pantu (likumprojekta 7.pants) šādā redakcijā:

“12.pants. Personas datus, kuri attiecas uz noziedzīgiem nodarījumiem, sodāmību krimināllietās un administratīvo pārkāpumu lietās, kā arī tiesas nolēmumu vai tiesas lietas materiāliem, drīkst apstrādāt tikai likumā noteiktas personas un likumā noteiktajos gadījumos.”

Atbalstīts

Redakcionāli precizēts

7. Izteikt 12.pantu šādā redakcijā:

"12.pants. Personas datus, kuri attiecas uz noziedzīgiem nodarījumiem, sodāmību krimināllietās un administratīvo pārkāpumu lietās, kā arī uz tiesas nolēmumu vai tiesas lietas materiāliem, drīkst apstrādāt tikai likumā noteiktās personas un likumā noteiktajos gadījumos."

13.¹ pants. Personas identifikācijas (klasifikācijas) kodus drīkst apstrādāt, ja:

1) ir saņemta datu subjekta piekrišana;

2) identifikācijas (klasifikācijas) kodu apstrāde izriet no personas datu apstrādes mērķa;

3) identifikācijas (klasifikācijas) kodu apstrāde nepieciešama turpmākas datu subjekta anonimitātes nodrošināšanai;

4) ir saņemta Datu valsts inspekcijas rakstveida atļauja.

8. Izteikt 13.¹ pantu šādā redakcijā:

"13.¹ pants. Personas identifikācijas kodus drīkst apstrādāt vienā no šādiem gadījumiem:

1) ir saņemta datu subjekta piekrišana;

2) identifikācijas kodu apstrāde izriet no personas datu apstrādes mērķa;

3) identifikācijas kodu apstrāde nepieciešama turpmākas datu subjekta anonimitātes nodrošināšanai;

4) ir saņemta Datu valsts inspekcijas rakstveida atļauja."

8. Izteikt 13.¹ pantu šādā redakcijā:

"13.¹ pants. Personas identifikācijas kodus drīkst apstrādāt vienā no šādiem gadījumiem:

1) ir saņemta datu subjekta piekrišana;

2) identifikācijas kodu apstrāde izriet no personas datu apstrādes mērķa;

3) identifikācijas kodu apstrāde nepieciešama turpmākas datu subjekta anonimitātes nodrošināšanai;

4) ir saņemta Datu valsts inspekcijas rakstveida atļauja."

16.pants. (1) Datu subjektam ir tiesības pieprasīt, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai iznīcina tos, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai arī tie vairs nav nepieciešami vākšanas mērķim. Ja datu subjekts var pamatot, ka personas datu apstrādes sistēmā iekļautie personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai arī tie vairs nav nepieciešami vākšanas mērķim, sistēmas pārziņa pienākums ir nekavējoties novērst šo nepilnību vai pārkāpumu un par to paziņot trešajām personām, kas iepriekš ir saņēmušas apstrādātos datus.

(2) Ja informācija tikusi atsaukta, sistēmas pārzinis nodrošina, lai būtu pieejama gan jaunā, gan atsauktā informācija, kā arī lai uzziņas saņēmējs minēto informāciju saņemtu vienlaikus.

9. Izslēgt 16.panta otro daļu.

2.

 Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Izslēgt likuma 16.panta pirmajā daļā vārdus „personas datu apstrādes sistēmā iekļautie”.

atbalstīts

9. 16. pantā:

izslēgt pirmajā daļā vārdus "personas datu apstrādes sistēmā iekļautie";

izslēgt otro daļu.

19.pants. Datu subjektam ir tiesības iebilst pret savu personas datu apstrādi, ja tie tiks izmantoti komerciālām vajadzībām.

10. Izteikt 19.pantu šādā redakcijā: 

"19.pants. Datu subjekts var aizliegt savu personas datu apstrādi komerciāliem mērķiem, šā likuma 7.panta 6.punktā minētajos gadījumos, izmantošanai informācijas sabiedrības pakalpojumos, tirgus un sabiedriskā viedokļa pētījumos, ģenealoģiskajos pētījumos, izņemot gadījumus, kad likumos ir noteikts citādi." 

10. Izteikt 19.pantu šādā redakcijā: 

"19.pants. Datu subjekts var aizliegt savu personas datu apstrādi komerciāliem mērķiem, šā likuma 7.panta 6.punktā minētajos gadījumos, izmantošanai informācijas sabiedrības pakalpojumos, tirgus un sabiedriskā viedokļa pētījumos, ģenealoģiskajos pētījumos, izņemot gadījumus, kad likumos ir noteikts citādi." 

IV nodaļa

Personas datu apstrādes sistēmas reģistrēšana un aizsardzība

11. Izslēgt IV nodaļas nosaukumā vārdu "sistēmas".

11. Izslēgt IV nodaļas nosaukumā vārdu "sistēmas".

21.pants. (1) Visas valsts un pašvaldību institūcijas, citas fiziskās un juridiskās personas, kas veic vai vēlas uzsākt personas datu apstrādi un veido personas datu apstrādes sistēmas, reģistrē tās šajā likumā noteiktajā kārtībā, ja likumā nav noteikts citādi.

(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi grāmatvedības un personāla uzskaites vajadzībām, ja personas dati netiek uzkrāti elektroniskā veidā, kā arī uz Civillikumā minēto konfesiju reliģisko organizāciju veidotām personas datu apstrādes sistēmām.

12. Izteikt 21.pantu šādā redakcijā:

"21.pants. (1) Visas valsts un pašvaldību institūcijas, citas fiziskās un juridiskās personas, kas veic vai vēlas uzsākt personas datu apstrādi, reģistrē to šajā likumā noteiktajā kārtībā.

(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi:

1) grāmatvedības un personāla uzskaites mērķiem;

2) valsts vai pašvaldību informācijas sistēmās, kurās savāktie personas dati ir publiski pieejami;

3) žurnālistiskiem mērķiem saskaņā ar likumu "Par presi un citiem masu informācijas līdzekļiem";

4) arhivēšanas mērķiem saskaņā ar likumu "Par arhīviem";

5) ja to veic reliģiskās organizācijas;

6) ja pārzinis likumā noteiktajā kārtībā ir reģistrējis personas datu aizsardzības speciālistu."

12. Izteikt 21.pantu šādā redakcijā:

"21.pants. (1) Visas valsts un pašvaldību institūcijas, citas fiziskās un juridiskās personas, kas veic vai vēlas uzsākt personas datu apstrādi, reģistrē to šajā likumā noteiktajā kārtībā.

(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi:

1) grāmatvedības un personāla uzskaites mērķiem;

2) valsts vai pašvaldību informācijas sistēmās, kurās savāktie personas dati ir publiski pieejami;

3) žurnālistiskiem mērķiem saskaņā ar likumu "Par presi un citiem masu informācijas līdzekļiem";

4) arhivēšanas mērķiem saskaņā ar likumu "Par arhīviem";

5) ja to veic reliģiskās organizācijas;

6) ja pārzinis likumā noteiktajā kārtībā ir reģistrējis personas datu aizsardzības speciālistu."

13. Papildināt likumu ar 21.¹ un 21.² pantu šādā redakcijā: 

"21.¹ pants. (1) Pārzinis var nereģistrēt personas datu apstrādi, ja viņš norīko personas datu aizsardzības speciālistu. Personas datu aizsardzības speciālists nav personas datu operators.

(2) Par personas datu aizsardzības speciālistu norīko fizisko personu, kurai ir augstākā izglītība tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā un kura ir apmācīta Ministru kabineta noteiktajā kārtībā.

(3) Pārzinis piešķir personas datu aizsardzības speciālistam nepieciešamos līdzekļus, informāciju un laiku (darba laika ietvaros), lai viņš varētu veikt savus pienākumus.

(4) Pārzinis reģistrē personas datu aizsardzības speciālistu Datu valsts inspekcijā. Ja personas datu aizsardzības speciālists veic sistēmu auditu, tam nav nepieciešams papildus akreditēties Datu valsts inspekcijā saskaņā ar likumu.

(5) Personas datu aizsardzības speciālistu reģistrs ir publiski pieejams. Par personas datu aizsardzības speciālistu reģistrā norāda šādu informāciju:

1) personas vārds, uzvārds, kontaktinformācija (adrese, tālruņa numurs, elektroniskā pasta adrese);

2) termiņš, uz kādu persona ir norīkota;

3)  personas datu apstrādes vietu un zinās par iespējām saņemt šā likuma 22.panta pirmajā daļā minēto informāciju.

(6) Datu valsts inspekcija atliek personas datu aizsardzības speciālista reģistrāciju, ja nav sniegta visa šā panta piektajā daļā minētā informācija.

(7) Datu valsts inspekcija nereģistrē personas datu aizsardzības speciālistu, ja:

1) viņš neatbilst šajā likumā izvirzītajām prasībām;

2) iestājies kāds no šā likuma 22.panta sestajā daļā minētajiem gadījumiem.

(8) Datu valsts inspekcija izslēdz personas datu aizsardzības speciālistu no reģistra šādos gadījumos:

1) ja ir saņemts pārziņa iesniegums;

2) ja mēneša laikā pēc personas datu aizsardzības speciālista reģistrācijas pārzinis nav iesniedzis iesniegumu par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra.

(9) Datu valsts inspekcija lēmumu par personas datu aizsardzības speciālista reģistrāciju pieņem 15 dienu laikā pēc visas šā panta piektajā daļā minētās informācijas iesniegšanas Datu valsts inspekcijai.

(10) Datu valsts inspekcija var izslēgt personas datu aizsardzības speciālistu no reģistra un pieprasīt personas datu apstrādes reģistrāciju saskaņā ar šā likuma 22.pantu, ja Datu valsts inspekcija personas datu aizsardzības speciālista pārziņā esošo personas datu apstrādē konstatē šā likuma pārkāpumus.

21.² pants. (1) Personas datu aizsardzības speciālists organizē, kontrolē un uzrauga pārziņa veiktās personas datu apstrādes atbilstību likuma prasībām. Valsts un pašvaldību institūcijās pārzinis var uzdot personas datu aizsardzības speciālistam veikt auditu.

(2) Personas datu aizsardzības speciālists veido reģistru, kurā iekļauj šā likuma 22.panta pirmajā daļā minēto informāciju (izņemot tā paša panta pirmās daļas 10. un 11.punktā minēto informāciju), ko bez maksas sniedz datu subjektam vai Datu valsts inspekcijai pēc to pieprasījuma.

(3) Personas datu aizsardzības speciālista pienākums ir saglabāt un bez tiesiska pamata neizpaust personas datus arī pēc darba tiesisko attiecību izbeigšanas.

(4) Personas datu aizsardzības speciālists katru gadu sagatavo gada pārskatu par savu darbību un iesniedz to pārzinim."

3.

4.

5.

6.

7.

8.

9.

Juridiskais birojs

 Izteikt 21.¹ panta trešo daļu (likumprojekta 13.pants) šādā redakcijā:

“(3) Pārzinis piešķir personas datu aizsardzības speciālistam nepieciešamos līdzekļus, nodrošina ar nepieciešamo informāciju un darba laika ietvaros paredz laiku, lai viņš varētu veikt savus pienākumus.”

Juridiskais birojs

 Aizstāt 21.¹ panta ceturtajā daļā (likumprojekta 13.pants) vārdu “sistēmu” ar vārdu “personas datu apstrādes”.

Juridiskais birojs

 Izslēgt 21.¹ panta ceturtajā daļā (likumprojekta 13.pants) vārdu “saskaņā ar likumu”.

Juridiskais birojs

 Aizstāt 21.¹ panta piektās daļas 3.punktā (likumprojekta 13.pants) vārdu “zinās” ar vārdu “ziņas”.

Juridiskais birojs

 Izteikt 21.¹ panta astotās daļas 1. punktu (likumprojekta 13.pants) šādā redakcijā:

“1) ja ir saņemts pārziņa iesniegums par izslēgšanu no personu datu apstrādes reģistra;”.

Juridiskais birojs

7. Papildināt 21.¹ panta astotās daļas 2. punkta (likumprojekta 13.pants) tekstu pēc vārdiem “iesniedzis iesniegumu” ar vārdu “arī”.

Juridiskais birojs

Papildināt 21.² panta trešo daļu pēc vārdiem “pēc darba tiesisko” ar vārdu “vai dienesta”.

Atbalstīts

Redakcionāli precizēts

atbalstīts

atbalstīts

atbalstīts

atbalstīts

atbalstīts

atbalstīts

13. Papildināt likumu ar 21.¹ un 21.² pantu šādā redakcijā: 

"21.¹ pants. (1) Pārzinis var nereģistrēt personas datu apstrādi, ja viņš norīko personas datu aizsardzības speciālistu. Personas datu aizsardzības speciālists nav personas datu operators.

(2) Par personas datu aizsardzības speciālistu norīko fizisko personu, kurai ir augstākā izglītība tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā un kura ir apmācīta Ministru kabineta noteiktajā kārtībā.

(3) Pārzinis piešķir personas datu aizsardzības speciālistam nepieciešamos līdzekļus, nodrošina nepieciešamo informāciju un darba laika ietvaros paredz laiku, lai viņš varētu veikt arī da tu aizsardzības speciālista  pienākumus.

(4) Pārzinis reģistrē personas datu aizsardzības speciālistu Datu valsts inspekcijā. Ja personas datu aizsardzības speciālists veic personas datu apstrādes auditu, viņam nav nepieciešams papildus akreditēties Datu valsts inspekcijā.

(5) Personas datu aizsardzības speciālistu reģistrs ir publiski pieejams. Par personas datu aizsardzības speciālistu reģistrā norāda šādu informāciju:

1) personas vārds, uzvārds, kontaktinformācija (adrese, tālruņa numurs, elektroniskā pasta adrese);

2) termiņš, uz kādu persona ir norīkota;

3)  personas datu apstrādes vietu un ziņas par iespējām saņemt šā likuma 22.panta pirmajā daļā minēto informāciju.

(6) Datu valsts inspekcija atliek personas datu aizsardzības speciālista reģistrāciju, ja nav sniegta visa šā panta piektajā daļā minētā informācija.

(7) Datu valsts inspekcija nereģistrē personas datu aizsardzības speciālistu, ja:

1) viņš neatbilst šajā likumā izvirzītajām prasībām;

2) iestājies kāds no šā likuma 22.panta sestajā daļā minētajiem gadījumiem.

(8) Datu valsts inspekcija izslēdz personas datu aizsardzības speciālistu no reģistra šādos gadījumos:

1) ja ir saņemts pārziņa iesniegums par izslēgšanu no personas datu apstrādes reģistra;

2) ja mēneša laikā pēc personas datu aizsardzības speciālista reģistrācijas pārzinis nav iesniedzis iesniegumu arī par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra.

(9) Datu valsts inspekcija lēmumu par personas datu aizsardzības speciālista reģistrāciju pieņem 15 dienu laikā pēc visas šā panta piektajā daļā minētās informācijas iesniegšanas Datu valsts inspekcijai.

(10) Datu valsts inspekcija var izslēgt personas datu aizsardzības speciālistu no reģistra un pieprasīt personas datu apstrādes reģistrāciju saskaņā ar šā likuma 22.pantu, ja Datu valsts inspekcija personas datu aizsardzības speciālista pārziņā esošo personas datu apstrādē konstatē šā likuma pārkāpumus.

21.² pants. (1) Personas datu aizsardzības speciālists organizē, kontrolē un uzrauga pārziņa veiktās personas datu apstrādes atbilstību likuma prasībām. Valsts un pašvaldību institūcijās pārzinis var uzdot personas datu aizsardzības speciālistam veikt auditu.

(2) Personas datu aizsardzības speciālists veido reģistru, kurā iekļauj šā likuma 22.panta pirmajā daļā minēto informāciju (izņemot tā paša panta pirmās daļas 10. un 11.punktā minēto informāciju), ko bez maksas sniedz datu subjektam vai Datu valsts inspekcijai pēc to pieprasījuma.

(3) Personas datu aizsardzības speciālista pienākums ir saglabāt un bez tiesiska pamata neizpaust personas datus arī pēc darba tiesisko vai dienesta attiecību izbeigšanas.

(4) Personas datu aizsardzības speciālists katru gadu sagatavo gada pārskatu par savu darbību un iesniedz to pārzinim."

22.pants. (1) Šā likuma 21.pantā minētās institūcijas un personas, kas vēlas uzsākt personas datu apstrādi un izveidot personas datu apstrādes sistēmu, iesniedz Datu valsts inspekcijai reģistrācijas pieteikumu, kurā ir iekļauta šāda informācija:

1) institūcijas vai personas (sistēmas pārziņa) nosaukums (vārds, uzvārds), reģistrācijas kods, adrese un tālruņa numurs;

2) sistēmas pārziņa pilnvarotās personas vārds, uzvārds, personas kods, adrese un tālruņa numurs;

3) personas datu apstrādes sistēmas darbības tiesiskais pamats;

4) kādus personas datus ietvers sistēma, kādiem mērķiem tā paredzēta un kāds būs personas datu apstrādes apjoms;

5) datu subjektu kategorijas;

6) personas datu saņēmēju kategorijas;

7) paredzētais personas datu apstrādes veids;

8) plānotais personas datu iegūšanas veids un to kvalitātes kontroles mehānisms;

9) citas datu apstrādes sistēmas, ar kurām būs saistīta reģistrējamā sistēma;

10) kādus personas datus no reģistrējamās sistēmas varēs iegūt saistītās sistēmas un kādus datus reģistrējamā sistēma varēs iegūt no saistītajām sistēmām;

11) veids, kādā reģistrējamās sistēmas dati tiks nodoti citai sistēmai;

12) fiziskās personas identifikācijas kodi, kādi tiks lietoti reģistrējamā sistēmā;

13) veids, kādā notiks informācijas apmaiņa ar datu subjektu;

14) kārtība, kādā datu subjekts ir tiesīgs saņemt informāciju par sevi, kā arī citu šā likuma 8. un 9.pantā minēto informāciju;

15) personas datu papildināšanas un atjaunošanas kārtība;

16) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību;

17) kādi personas dati tiks nodoti citām valstīm.

(2) Datu valsts inspekcija izvērtē un nosaka personas datu apstrādes sistēmas, kurās jāveic pirmsreģistrācijas pārbaude.

(3) Reģistrējot personas datu apstrādes sistēmu, Datu valsts inspekcija izsniedz sistēmas pārzinim vai viņa pilnvarotajai personai personas datu apstrādes sistēmas reģistrācijas apliecību.

(4) Pirms izmaiņu izdarīšanas personas datu apstrādes sistēmā šīs izmaiņas reģistrē Datu valsts inspekcija, ja mainās:

1) sistēmas pārzinis vai personas datu operators;

2) personas datu apstrādes sistēmas atrašanās vieta;

3) personas datu veidi vai personas datu apstrādes mērķis;

4) informācijas resursu vai tehnisko resursu turētājs, kā arī atbildīgais par informācijas sistēmas drošību;

5) datu apstrādes sistēmas, ar kurām ir saistīta attiecīgā sistēma;

6) personas datu apstrādes veids;

7) personas datu veidi, kas tiks nodoti citām valstīm.

(5) Ja mainās personas datu apstrādes sistēmas aizsardzības tehniskie un organizatoriskie līdzekļi, kas būtiski ietekmē sistēmas aizsardzību, informācija par to viena gada laikā jāiesniedz Datu valsts inspekcijai.

(6) Par katru personas datu apstrādes sistēmas reģistrāciju vai šā panta ceturtajā daļā minēto izmaiņu reģistrāciju ņemama valsts nodeva Ministru kabineta noteiktajā kārtībā un apmērā.

14. Izteikt 22. un 23.pantu šādā redakcijā:

 "22.pants. (1) Šā likuma 21.pantā minētās institūcijas un personas, kas vēlas uzsākt personas datu apstrādi, iesniedz Datu valsts inspekcijai reģistrācijas iesniegumu, kurā ir iekļauta šāda informācija:

1) pārziņa nosaukums (vārds, uzvārds), reģistrācijas kods, adrese un tālruņa numurs;

2) pārziņa pilnvarotās personas vārds, uzvārds, personas kods, adrese un tālruņa numurs;

3) personas datu apstrādes tiesiskais pamats;

4) personas datu veidi un personas datu apstrādes mērķi;

5) datu subjektu kategorijas;

6) personas datu saņēmēju kategorijas;

7) paredzētais personas datu apstrādes veids;

8) plānotais personas datu iegūšanas veids;

9) personas datu apstrādes vieta;

10) informācijas resursu vai tehnisko resursu turētājs, kā arī atbildīgais par informācijas sistēmas drošību;

11) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību;

12) kādi personas dati tiks nodoti citām valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis.

(2) Datu valsts inspekcija izvērtē personas datu apstrādes sistēmas un nosaka, kuras no tām var radīt riskus datu subjektu tiesībām un brīvībām, kā arī veic pirmsreģistrācijas pārbaudes.

(3) Reģistrējot personas datu apstrādi, Datu valsts inspekcija izsniedz pārzinim vai viņa pilnvarotai personai personas datu apstrādes reģistrācijas apliecību.

(4) Pirms izmaiņu izdarīšanas personas datu apstrādē šīs izmaiņas reģistrē Datu valsts inspekcijā, izņemot šā likuma 22.panta pirmās daļas 11.punktā minēto informāciju.

(5) Ja mainās personas datu apstrādes tehniskie un organizatoriskie pasākumi, kas būtiski ietekmē personas datu apstrādes aizsardzību, informācija par to gada laikā jāiesniedz Datu valsts inspekcijai.

(6) Ja pārzini izslēdz no personas datu apstrādes reģistra, viņa pienākums ir iesniegumu par izslēgšanu iesniegt šādos gadījumos:

1) pēc pārziņa reorganizācijas mainās pārzinis, kas ir juridiskā persona;

2) pārziņa darbība tiek izbeigta.

(7) Datu valsts inspekcija pieņem lēmumu par pārziņa izslēgšanu no personas datu apstrādes reģistra bez iesnieguma, kā arī anulē personas datu apstrādes reģistrācijas apliecību, ja:

1) pārzinis nav novērsis pārkāpumus Datu valsts inspekcijas norādītajā termiņā;

2) pārzinis mēneša laikā pēc izmaiņu izdarīšanas personas datu apstrādē nav iesniedzis iesniegumu par izmaiņu reģistrāciju vai nav iesniedzis iesniegumu par izslēgšanu no personas datu apstrādes reģistra šā panta sestajā daļā minētajos gadījumos.

(8) Ministru kabinets nosaka šādu iesniegumu veidlapu paraugus:

1)      personas datu apstrādes reģistrācijas iesniegums;

2)      iesniegums par izmaiņu izdarīšanu personas datu apstrādē;

3)      personas datu aizsardzības speciālista reģistrācijas iesniegums;

4) iesniegums par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra;

5) iesniegums par personas datu aizsardzības speciālista izslēgšanu no Datu valsts inspekcijas reģistra.

(9) Par katru personas datu apstrādes reģistrāciju vai šā panta ceturtajā daļā minēto izmaiņu reģistrāciju maksājama valsts nodeva Ministru kabineta noteiktajā kārtībā un apmērā.

10.

11.

12.

13.

14.

15.

16.

Juridiskais birojs

 Izteikt 22.panta pirmās daļas 1.punktu šādā redakcijā:

“1) pārziņa vārds, uzvārds, personas kods (juridiskai personai – nosaukums un reģistrācijas numurs), adrese un tālruņa numurs;”

Juridiskais birojs

 Izteikt 22.panta pirmās daļas 2.punktu šādā redakcijā:

“2) personas datu operatora, ja tāds ir, vārds, uzvārds, personas kods (juridiskai personai – nosaukums un reģistrācijas numurs), adrese un tālruņa numurs;”

Juridiskais birojs

 Izteikt 22.panta otro daļu (likumprojekta 14.pants) šādā redakcijā:

“(2) Datu valsts inspekcija identificē to personas datu apstrādi, kur iespējami riski datu subjektu tiesībām un brīvībām. Šādai personas datu apstrādei nosaka pirmsreģistrācijas pārbaudi”.

Juridiskais birojs

 Izslēgt 22.panta ceturtajā daļā (likumprojekta 14.pants) vārdus un skaitļus “likuma 22.”

Juridiskais birojs

 Izteikt 22.panta sesto daļu (likumprojekta 14.pants) šādā redakcijā:

“(6) Ja mainās pārzinis vai tā darbība tiek izbeigta, viņš iesniedz Datu valsts inspekcijā iesniegumu par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra.”

 Juridiskais birojs

Izslēgt 22.panta septītajā daļā (likumprojekta 14.pants) vārdus “bez iesnieguma”.

Juridiskais birojs

 Izteikt 22.panta septītās daļas 2.punktu šādā redakcijā:

“2) pārzinis mēneša laikā pēc izmaiņu izdarīšanas personas datu apstrādē nav iesniedzis iesniegumu par izmaiņu izdarīšanu personas datu apstrādē vai nav iesniedzis šā panta sestajā daļā minēto iesniegumu.”

atbalstīts

atbalstīts

atbalstīts

atbalstīts

atbalstīts

atbalstīts

atbalstīts

14. Izteikt 22. un 23.pantu šādā redakcijā:

 "22.pants. (1) Šā likuma 21.pantā minētās institūcijas un personas, kas vēlas uzsākt personas datu apstrādi, iesniedz Datu valsts inspekcijai reģistrācijas iesniegumu, kurā ir iekļauta šāda informācija:

1) pārziņa vārds, uzvārds, personas kods (juridiskajai personai – nosaukums un reģistrācijas numurs), adrese un tālruņa numurs;

2) personas datu operatora (ja tāds ir) vārds, uzvārds, personas kods (juridiskajai personai – nosaukums un reģistrācijas numurs), adrese un tālruņa numurs;

3) personas datu apstrādes tiesiskais pamats;

4) personas datu veidi un personas datu apstrādes mērķi;

5) datu subjektu kategorijas;

6) personas datu saņēmēju kategorijas;

7) paredzētais personas datu apstrādes veids;

8) plānotais personas datu iegūšanas veids;

9) personas datu apstrādes vieta;

10) informācijas resursu vai tehnisko resursu turētājs, kā arī atbildīgais par informācijas sistēmas drošību;

11) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību;

12) kādi personas dati tiks nodoti citām valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis.

(2) Datu valsts inspekcija identificē to personas datu apstrādi, kur iespējami riski datu subjektu tiesībām un brīvībām. Šādai personas datu apstrādei nosaka pirmsreģistrācijas pārbaudi.

 (3) Reģistrējot personas datu apstrādi, Datu valsts inspekcija izsniedz pārzinim vai viņa pilnvarotai personai personas datu apstrādes reģistrācijas apliecību.

(4) Pirms izmaiņu izdarīšanas personas datu apstrādē šīs izmaiņas reģistrē Datu valsts inspekcijā, izņemot šā panta pirmās daļas 11.punktā minēto informāciju.

(5) Ja mainās personas datu apstrādes tehniskie un organizatoriskie pasākumi, kas būtiski ietekmē personas datu apstrādes aizsardzību, informācija par to gada laikā jāiesniedz Datu valsts inspekcijai.

(6) Ja mainās pārzinis vai pārziņa darbība tiek izbeigta, viņš iesniedz Datu valsts inspekcijai iesniegumu par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra.

 (7) Datu valsts inspekcija pieņem lēmumu par pārziņa izslēgšanu no personas datu apstrādes reģistra, kā arī anulē personas datu apstrādes reģistrācijas apliecību, ja:

1) pārzinis nav novērsis pārkāpumus Datu valsts inspekcijas norādītajā termiņā;

2) pārzinis mēneša laikā pēc izmaiņu izdarīšanas personas datu apstrādē nav iesniedzis iesniegumu par izmaiņu izdarīšanu personas datu apstrādē vai nav iesniedzis šā panta sestajā daļā minēto iesniegumu.

(8) Ministru kabinets nosaka šādu iesniegumu veidlapu paraugus:

1)      personas datu apstrādes reģistrācijas iesniegums;

2)      iesniegums par izmaiņu izdarīšanu personas datu apstrādē;

3)      personas datu aizsardzības speciālista reģistrācijas iesniegums;

4) iesniegums par personas datu apstrādes izslēgšanu no personas datu apstrādes reģistra;

5) iesniegums par personas datu aizsardzības speciālista izslēgšanu no Datu valsts inspekcijas reģistra.

(9) Par katru personas datu apstrādes reģistrāciju vai šā panta ceturtajā daļā minēto izmaiņu reģistrāciju maksājama valsts nodeva Ministru kabineta noteiktajā kārtībā un apmērā.

23.pants. Datu valsts inspekcija var atteikties reģistrēt personas datu apstrādes sistēmu, ja:

1) nav iesniegta visa šā likuma 22.pantā norādītā informācija;

2) pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi.

23.pants. (1) Datu valsts inspekcija atliek personas datu apstrādes reģistrā­ciju vai lēmuma pieņemšanu par izmaiņu izdarīšanu personas datu apstrādē, ja:

1) personas datu apstrādes reģistrācijas iesniegumā konstatēti trūkumi;

2) nav sniegta visa šā likuma 22.panta pirmajā daļā norādītā informācija;

3) nav samaksāta valsts nodeva.

(2) Datu valsts inspekcija nereģistrē personas datu apstrādi vai pieņem lēmumu par atteikumu izdarīt izmaiņas personas datu apstrādē, ja:

1) Datu valsts inspekcijas konstatētie un paziņotie trūkumi nav novērsti 30 dienu laikā;

2) personas datu apstrādes reģistrācijas iesniegumu vai iesniegumu par izmaiņu izdarīšanu personas datu apstrādē iesniegusi persona, kura nav uzskatāma par pārzini šā likuma izpratnē;

3) pārbaudot personas datu apstrādi, konstatēti normatīvo aktu pārkāpumi personas datu aizsardzības jomā.

(3) Iesniedzot dokumentus atkārtoti pēc šajā likumā norādītā termiņa dokumentos konstatēto trūkumu novēršanai, šajā likumā paredzētā valsts nodeva jāmaksā atkārtoti.

(4) Šā panta otrās daļas 2.punktā minētajos gadījumos valsts nodevu atmaksā saskaņā ar Datu valsts inspekcijas lēmumu." 

23.pants. (1) Datu valsts inspekcija atliek personas datu apstrādes reģistrā­ciju vai lēmuma pieņemšanu par izmaiņu izdarīšanu personas datu apstrādē, ja:

1) personas datu apstrādes reģistrācijas iesniegumā konstatēti trūkumi;

2) nav sniegta visa šā likuma 22.panta pirmajā daļā norādītā informācija;

3) nav samaksāta valsts nodeva.

(2) Datu valsts inspekcija nereģistrē personas datu apstrādi vai pieņem lēmumu par atteikumu izdarīt izmaiņas personas datu apstrādē, ja:

1) Datu valsts inspekcijas konstatētie un paziņotie trūkumi nav novērsti 30 dienu laikā;

2) personas datu apstrādes reģistrācijas iesniegumu vai iesniegumu par izmaiņu izdarīšanu personas datu apstrādē iesniegusi persona, kura nav uzskatāma par pārzini šā likuma izpratnē;

3) pārbaudot personas datu apstrādi, konstatēti normatīvo aktu pārkāpumi personas datu aizsardzības jomā.

(3) Iesniedzot dokumentus atkārtoti pēc šajā likumā norādītā termiņa dokumentos konstatēto trūkumu novēršanai, šajā likumā paredzētā valsts nodeva jāmaksā atkārtoti.

(4) Šā panta otrās daļas 2.punktā minētajos gadījumos valsts nodevu atmaksā saskaņā ar Datu valsts inspekcijas lēmumu." 

24.pants. (1) Datu valsts inspekcija personas datu apstrādes sistēmu reģistrā iekļauj šā likuma 22.pantā minēto informāciju (izņemot tā paša panta 16.punktā minēto informāciju). Reģistrs ir valsts informācijas sistēmas sastāvdaļa.

(2) Šā panta pirmajā daļā minētajā reģistrā neiekļauj informāciju par tām reģistrētajām personas datu apstrādes sistēmām, kuru darbību reglamentē likums “Par valsts noslēpumu” un Operatīvās darbības likums.

15. Izteikt 24.panta pirmo daļu šādā redakcijā:

"(1) Datu valsts inspekcija personas datu apstrādes reģistrā iekļauj šā likuma 22.panta pirmajā un ceturtajā daļā minēto informāciju (izņemot tā paša panta pirmās daļas 10. un 11.punktā minēto informāciju). Reģistrs ir publiski pieejams."

17.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

 Izteikt likuma 24.panta otro daļu šādā redakcijā:

„Šā panta pirmajā daļā minētajā reģistrā neiekļauj informāciju par reģistrēto personas datu apstrādi, kuru reglamentē likums „Par valsts noslēpumu” un „Operatīvās darbības likums”.

atbalstīts

15. Izteikt 24.pantu šādā redakcijā:

"(1) Datu valsts inspekcija personas datu apstrādes reģistrā iekļauj šā likuma 22.panta pirmajā un ceturtajā daļā minēto informāciju, izņemot informāciju, kas minēt tā pirmās daļas 10. un 11.punktā. Reģistrs ir publiski pieejams.

(2)Šā panta pirmajā daļā minētajā reģistrā neiekļauj informāciju par reģistrēto personas datu apstrādi, kuru reglamentē likums "Par valsts noslēpumu" un Operatīvās darbības likums."

16. Papildināt likumu ar 24.¹ pantu šādā redakcijā:

"24.¹ pants. Šā likuma 21.¹ panta piektajā daļā un 24.panta pirmajā daļā minētie reģistri ir personas datu apstrādes uzraudzības informācijas sistēmas sastāvdaļa. Personas datu apstrādes uzraudzības informācijas sistēma ir valsts informācijas sistēma, kuras darbību organizē un vada Datu valsts inspekcija."

16. Papildināt likumu ar 24.¹ pantu šādā redakcijā:

"24.¹ pants. Šā likuma 21.¹ panta piektajā daļā un 24.panta pirmajā daļā minētie reģistri ir personas datu apstrādes uzraudzības informācijas sistēmas sastāvdaļa. Personas datu apstrādes uzraudzības informācijas sistēma ir valsts informācijas sistēma, kuras darbību organizē un vada Datu valsts inspekcija."

25.pants. (1) Sistēmas pārziņa un personas datu operatora pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi.

(2) Sistēmas pārzinis kontrolē personas datu apstrādes sistēmā ievadīto personas datu veidu un ievadīšanas laiku un ir atbildīgs par to personu rīcību, kuras veic personas datu apstrādi.

18.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

 Izslēgt likuma 25.panta otrajā daļā vārdus „personas datu apstrādes sistēmā”.

atbalstīts

17. Izslēgt 25.panta otrajā daļā vārdus "personas datu apstrādes sistēmā".

26.pants. (1) Personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības nosaka Ministru kabinets.

(2) Valsts un pašvaldību institūcijas katru gadu iesniedz Datu valsts inspekcijai personas datu apstrādes sistēmu iekšējā audita atzinumu (arī sistēmas riska analīzi) un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.

(3) Datu valsts inspekcija, akreditējot personu, kas vēlas veikt sistēmu auditu valsts un pašvaldību institūciju personas datu apstrādes sistēmās, veic ārējā sistēmas auditora:

1) pirmreizēju akreditāciju;

2) atkārtotu akreditāciju;

3) akreditācijas darbības atjaunošanu;

4) akreditācijas termiņa pagarināšanu;

5) akreditācijas apliecības dublikāta izsniegšanu.

(4) Par katras šā panta trešajā daļā minētās darbības veikšanu maksājama valsts nodeva Ministru kabineta noteiktajā kārtībā un apmērā.

17. Izteikt 26.panta otro daļu šādā redakcijā:

"(2) Valsts un pašvaldību institūcijas reizi divos gados iesniedz Datu valsts inspekcijai personas datu apstrādes sistēmu iekšējā audita atzinumu (arī sistēmas riska analīzi) un pārskatu par informācijas drošības jomā veiktajiem pasākumiem."

19.

20.

21.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Izslēgt likuma 26.panta pirmajā daļā  vārdu „sistēmas”.

Juridiskais birojs

Izteikt 26.panta otro daļu (likumprojekta 17.pants) šādā redakcijā:

“(2) Valsts un pašvaldību institūcijas reizi divos gados iesniedz Datu valsts inspekcijai audita atzinumu par personas datu apstrādi, ietverot tajā arī riska analīzi, un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.”

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Izteikt 26.panta trešās daļas ievaddaļu šādā redakcijā: „(3) Datu valsts inspekcija, akreditējot personu, kas vēlas veikt personu datu apstrādes auditu valsts un pašvaldību institūcijās, veic ārējā auditora:”

atbalstīts

atbalstīts

atbalstīts

18. 26. pantā:

 izslēgt pirmajā daļā vārdu "sistēmas";

izteikt otro daļu šādā redakcijā:

"(2) Valsts un pašvaldību institūcijas reizi divos gados iesniedz Datu valsts inspekcijai audita atzinumu par personas datu apstrādi, ietverot tajā arī riska analīzi, un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.";

izteikt trešās daļas ievaddaļu šādā redakcijā:

 "(3) Datu valsts inspekcija, akreditējot personu, kas vēlas veikt personu datu apstrādes auditu valsts un pašvaldību institūcijās, veic ārējā auditora:".

28.pants. (1) Personas datus var nodot uz citu valsti, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei.

(2) Izņēmumi šā panta pirmajā daļā minēto prasību pildīšanā ir pieļaujami, ja sistēmas pārzinis apņemas veikt uzraudzību pār attiecīgu aizsardzības pasākumu veikšanu un tiek ievērots vismaz viens no šādiem nosacījumiem:

1) datu subjekts ir piekritis datu nodošanai citai valstij;

2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un sistēmas pārzini, personas dati nododami saskaņā ar datu subjekta līgumsaistībām vai arī, ievērojot datu subjekta lūgumu, datu nodošana nepieciešama, lai noslēgtu līgumu;

3) datu nodošana ir nepieciešama un noteiktā kārtībā pieprasīta saskaņā ar svarīgām valsts un sabiedriskajām interesēm vai ir nepieciešama tiesvedībā;

4) datu nodošana ir nepieciešama, lai aizsargātu datu subjekta dzīvību un veselību;

5) datu nodošana attiecas uz publiskiem vai publiski pieejamā reģistrā uzkrātiem personas datiem.

(3) Personas datu aizsardzības pakāpes novērtējumu saskaņā ar šā panta pirmo daļu veic Datu valsts inspekcija un sniedz rakstveida piekrišanu personas datu nodošanai.

18.  28.pantā:

izteikt pirmo daļu šādā redakcijā:

 "(1) Personas datus var nodot citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei.";

izteikt otrās daļas 1.punktu šādā redakcijā:

 "1) ir datu subjekta piekrišana;";

 papildināt pantu ar ceturto un piekto daļu šādā redakcijā:

 "(4) Lai pārzinis saskaņā ar šā panta otro daļu varētu uzraudzīt attiecīgo aizsardzības pasākumu veikšanu, pārzinis un personas datu saņēmējs noslēdz līgumu par personas datu nodošanu. Līguma nosacījumus apstiprina Ministru kabinets.

(5) Personas datus var nodot citai Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstij, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei."

22.

Juridiskais birojs

 Izteikt 28.panta ceturtās daļas otro teikumu (likumprojekta 18.pants) šādā redakcijā:

“Nosacījumus, kas obligāti iekļaujami līgumā par personas datu nodošanu, nosaka Ministru kabinets”.

atbalstīts

19.  28.pantā:

  izteikt pirmo daļu šādā redakcijā:

 "(1) Personas datus var nodot citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei.";

izteikt otrās daļas 1.punktu šādā redakcijā:

 "1) ir datu subjekta piekrišana;";

 papildināt pantu ar ceturto un piekto daļu šādā redakcijā:

 "(4) Lai pārzinis saskaņā ar šā panta otro daļu varētu uzraudzīt attiecīgo aizsardzības pasākumu veikšanu, pārzinis un personas datu saņēmējs noslēdz līgumu par personas datu nodošanu. Nosacījumus, kas obligāti iekļaujami līgumā par personas datu nodošanu, nosaka Ministru kabinets.

(5) Personas datus var nodot citai Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstij, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei."

29.pants. (1) Personas datu aizsardzības uzraudzību veic Datu valsts inspekcija, kas atrodas Tieslietu ministrijas pārraudzībā, darbojas neatkarīgi un patstāvīgi, izpildot normatīvajos aktos noteiktās funkcijas, pieņem lēmumus un izdod administratīvos aktus saskaņā ar likumu. Datu valsts inspekcija ir valsts pārvaldes iestāde, kuras funkcijas, tiesības un pienākumus nosaka likums. Datu valsts inspekciju vada direktors, kuru ieceļ amatā un atbrīvo no amata Ministru kabinets pēc tieslietu ministra priekšlikuma .

(2) Datu valsts inspekcija darbojas saskaņā ar nolikumu, kuru apstiprina Ministru kabinets. Datu valsts inspekcija katru gadu sniedz Ministru kabinetam ziņojumu par savu darbību un publicē to laikrakstā "Latvijas Vēstnesis".

(3) Datu valsts inspekcijas pienākumi personas datu aizsardzības jomā ir šādi:

1) nodrošināt valstī personas datu apstrādes atbilstību šā likuma prasībām;

2) pieņemt lēmumus un izskatīt sūdzības, kas saistītas ar personas datu aizsardzību;

3) reģistrēt personas datu apstrādes sistēmas;

4) ierosināt un veikt darbības, kas vērstas uz efektīvāku personas datu aizsardzību un sniegt atzinumus par valsts un pašvaldību institūciju veidojamo personas datu apstrādes sistēmu atbilstību normatīvo aktu prasībām;

5) kopīgi ar Latvijas Valsts arhīvu ģenerāldirekciju lemt par personas datu apstrādes sistēmas nodošanu valsts arhīviem glabāšanā;

6) akreditēt personas, kas vēlas veikt sistēmu auditu valsts un pašvaldību institūciju personas datu apstrādes sistēmās Ministru kabineta noteiktajā kārtībā.

(4) Datu valsts inspekcijas tiesības personas datu aizsardzības jomā ir šādas:

1) normatīvajos aktos noteiktajā kārtībā bez maksas saņemt no fiziskajām un juridiskajām personām inspekcijas uzdevumu veikšanai nepieciešamo informāciju;

2) veikt personas datu apstrādes sistēmas pārbaudi;

3) pieprasīt datu bloķēšanu, kļūdainu vai nelikumīgi iegūtu datu izdzēšanu vai iznīcināšanu, noteikt pastāvīgu vai pagaidu aizliegumu datu apstrādei;

4) iesniegt tiesā prasību par šā likuma pārkāpumiem;

5) anulēt personas datu apstrādes reģistrācijas apliecību, ja, pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi;

6) likumā noteiktajā kārtībā uzlikt administratīvos sodus par pārkāpumiem personas datu apstrādē;

7) veikt pārbaudi, lai noteiktu personas datu apstrādes atbilstību normatīvo aktu prasībām gadījumos, kad sistēmas pārzinim ar likumu aizliegts sniegt datu subjektam informāciju un saņemts attiecīgs iesniegums no datu subjekta.

23.

24.

25.

26.

 Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Aizstāt likuma 29.panta trešās daļas 3.punktā vārdus „apstrādes sistēmas” ar vārdu „apstrādi”.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Izteikt likuma 29.panta trešās daļas 6.punktu šādā redakcijā:

„6) akreditēt personas, kas vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās. Ministru kabinets nosaka kārtību, kādā akreditē personas, kas vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās, kā arī nosacījumus, kādiem jāatbilst minētajām personām”.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Izslēgt likuma 29.panta ceturtās daļas 2.punktā vārdu „sistēmas”.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

 Aizstāt likuma 29.panta ceturtās daļas 5.punktā vārdus „apstrādes sistēmu” ar vārdu „apstrādi”.

atbalstīts

atbalstīts

atbalstīts

atbalstīts

20. 29. pantā:

 aizstāt trešās daļas 3.punktā vārdus „apstrādes sistēmas” ar vārdu "apstrādi";

izteikt trešās daļas 6.punktu šādā redakcijā:

"6) akreditēt personas, kas vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās. Ministru kabinets nosaka kārtību, kādā akreditē personas, kas vēlas veikt personas datu apstrādes auditu valsts un pašvaldību institūcijās, kā arī nosacījumus, kādiem jāatbilst minētajām personām.";

izslēgt ceturtās daļas 2.punktā vārdu "sistēmas";

aizstāt ceturtās daļas 5.punktā vārdus "apstrādes sistēmu" ar vārdu "apstrādi".

30.pants. (1) Lai izpildītu šā likuma 29.panta trešajā daļā minētos pienākumus, Datu valsts inspekcijas direktoram un viņa pilnvarotajiem Datu valsts inspekcijas darbiniekiem, ir tiesības:

1) brīvi apmeklēt jebkuras nedzīvojamās telpas, kurās atrodas personas datu apstrādes sistēmas, un sistēmas pārziņa pārstāvja klātbūtnē veikt nepieciešamo pārbaudi vai citus pasākumus, lai noteiktu personas datu apstrādes procesa atbilstību likumam;

2) pieprasīt rakstveida vai mutvārdu paskaidrojumu no jebkuras fiziskās vai juridiskās personas, kas saistīta ar personas datu apstrādi;

3) pieprasīt, lai tiek uzrādīti dokumenti un sniegta cita informācija, kas attiecas uz pārbaudāmo personas datu apstrādes sistēmu;

4) pieprasīt personas datu apstrādes sistēmas, jebkuras tās iekārtas vai informācijas nesēja pārbaudi un noteikt ekspertīzi pārbaudāmo jautājumu izpētei;

5) ja nepieciešams, savu pienākumu izpildes nodrošināšanai pieaicināt tiesībaizsardzības iestāžu darbiniekus vai citus speciālistus;

6) ja nepieciešams, sagatavot un iesniegt tiesībaizsardzības iestādēm materiālus vainīgo personu saukšanai pie atbildības;

7) sastādīt protokolu par administratīvo pārkāpumu personas datu apstrādē.

(2) Reģistrēšanā un pārbaudēs iesaistītie Datu valsts inspekcijas darbinieki nodrošina reģistrācijas un pārbaužu gaitā iegūtās informācijas neizpaušanu, izņemot publiski pieejamo informāciju. Šis aizliegums ir spēkā arī pēc tam, kad darbinieks beidzis pildīt amata pienākumus.

27.

28.

29.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Aizstāt likuma 30.panta pirmās daļas 1.punktā vārdus „apstrādes sistēmas” ar vārdu „apstrādi”.

 Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

Aizstāt likuma 30.panta pirmās daļas 3.punktā vārdus „apstrādes sistēmu” ar vārdu „apstrādi”.

Tieslietu ministra pilnvarojumā ministrijas parlamentārā sekretāre B.Broka

 Izslēgt likuma 30.panta pirmās daļas 4.punktā vārdu „sistēmas”.

atbalstīts

atbalstīts

atbalstīts

21. 30. pantā:

aizstāt pirmās daļas 1.punktā vārdus "apstrādes sistēmas" ar vārdu "apstrādi";

aizstāt pirmās daļas 3.punktā vārdus "apstrādes sistēmu" ar vārdu "apstrādi";

izslēgt pirmās daļas 4.punktā vārdu "sistēmas".

19. Papildināt likumu ar 30.¹ pantu šādā redakcijā:

"30.¹ pants. Datu valsts inspekcija ir nacionālā uzraudzības iestāde, kas veic Šengenas informācijas sistēmas nacionālās daļas uzraudzību un pārbauda, vai Šengenas informācijas sistēmā iekļauto personas datu apstrādē netiek pārkāptas datu subjekta tiesības."

22.  Papildināt likumu ar 30.¹ pantu šādā redakcijā:

"30.¹ pants. Datu valsts inspekcija ir nacionālā uzraudzības iestāde, kas veic Šengenas informācijas sistēmas nacionālās daļas uzraudzību un pārbauda, vai Šengenas informācijas sistēmā iekļauto personas datu apstrādē netiek pārkāptas datu subjekta tiesības."

Pārejas noteikumi

1. Šā likuma IV nodaļa "Personas datu apstrādes sistēmas reģistrēšana un aizsardzība" stājas spēkā 2001.gada 1.janvārī.

2. Šā likuma 21.pantā minētās institūcijas un personas, kuras darbību uzsākušas pirms šā likuma stāšanās spēkā, reģistrējas Datu valsts inspekcijā līdz 2003.gada 1.martam. Nereģistrēto sistēmu darbība pēc šā termiņa izbeidzama.

 (Ar grozījumiem, kas izdarīti ar 24.10.2002. likumu, kas stājas spēkā no 28.11.2002.)

3. Grozījumi 4.pantā stājas spēkā 2003.gada 1.jūlijā, bet grozījumi 29.panta pirmajā daļā stājas spēkā 2004.gada 1.janvārī.

(2002.gada 24.oktobra likuma redakcijā, kas stājas spēkā no 28.11.2002.)

4. Personas datu apstrādes sistēmas, kuras līdz šim likums neuzlika par pienākumu reģistrēt Datu valsts inspekcijā, tiek reģistrētas līdz 2003.gada 1.jūlijam.

20. Papildināt pārejas noteikumus ar 5. un 6.punktu šādā redakcijā:

 "5. Datu valsts inspekcija līdz 2007.gada 31.decembrim izslēdz no personas datu apstrādes reģistra tās reģistrētās personas datu apstrādes sistēmas, kuru reģistrāciju šis likums neparedz, kā arī tās sistēmas, attiecībā uz kurām ir iestājies kāds no šā likuma 22.panta sestajā daļā paredzētajiem gadījumiem.

 6. Šā likuma 21.panta otrās daļas 6.punkts un 21.¹ pants stājas spēkā 2007.gada 1.janvārī."

30.

31.

32.

33.

Juridiskais birojs

Papildināt likuma pārejas noteikumu 3.punktu aiz vārdiem “bet grozījumi” ar skaitļiem un vārdiem “(2002.gada 24.oktobra redakcijā)”

Juridiskais birojs

 Aizstāt likuma pārejas noteikumu 4.punktā vārdus “līdz šim” ar skaitļiem un vārdiem “līdz 2002.gada 28.novembrim”.

Juridiskais birojs

 Izslēgt likumprojekta 20.pantu.

Juridiskais birojs

Papildināt likuma pārejas noteikumus ar 5. un 6.punktu šādā redakcijā:

“5. Pārziņi, kuri ir reģistrējuši personas datu apstrādes sistēmas līdz 2007.gada 1.septembrim, līdz 2008.gada 1.martam bez maksas iesniedz Datu valsts inspekcijai papildu informāciju, lai nodrošinātu informācijas par personas datu apstrādi atbilstību šā likuma 22.pantā noteiktajām prasībām.

6. Datu valsts inspekcija līdz 2008.gada 1.martam izslēdz no personas datu apstrādes reģistra tās reģistrētās personas datu apstrādes sistēmas, kurās iekļauto personas datu reģistrāciju šis likums neparedz, kā arī tad, ja ir iestājies kāds no šā likuma 22.panta sestajā daļā paredzētajiem gadījumiem.”

atbalstīts

atbalstīts

atbalstīts

atbalstīts

23. Pārejas noteikumos:

papildināt 3.punktu pēc vārdiem "bet grozījumi" ar skaitļiem un vārdiem " (2002.gada 24.oktobra redakcija)";

aizstāt 4.punktā vārdus "līdz šim" ar vārdiem un skaitļiem "līdz 2002.gada 28.novembrim".

papildināt likuma pārejas noteikumus ar 5. un 6.punktu šādā redakcijā:

"5. Pārziņi, kuri ir reģistrējuši personas datu apstrādes sistēmas līdz 2007.gada 1.septembrim, līdz 2008.gada 1.martam bez maksas iesniedz Datu valsts inspekcijai papildu informāciju, lai nodrošinātu informācijas par personas datu apstrādi atbilstību šā likuma 22.pantā noteiktajām prasībām.

6. Datu valsts inspekcija līdz 2008.gada 1.martam izslēdz no personas datu apstrādes reģistra tās reģistrētās personas datu apstrādes sistēmas, kurās iekļauto personas datu reģistrāciju šis likums neparedz, kā arī tad, ja ir iestājies kāds no šā likuma 22.panta sestajā daļā paredzētajiem gadījumiem."

Pārejas noteikumi

1. Šā likuma 14.pants stājas spēkā 2007.gada 1.janvārī.

2. Pārziņi, kuri ir reģistrējuši personas datu apstrādes sistēmas līdz 2007.gada 1.janvārim, līdz 2007.gada 1.jūlijam bez maksas iesniedz Datu valsts inspekcijai papildu informāciju, lai nodrošinātu informācijas par personas datu apstrādi atbilstību šā likuma 14.pantā paredzētajām Fizisko personu datu aizsardzības likuma 22.pantā noteiktajām prasībām.

34.

35.

Juridiskais birojs

 Izslēgt likumprojekta (grozījumu) pārejas noteikumus.

Juridiskais birojs

Papildināt likumprojektu ar norādi par spēkā stāšanos:

“Likums stājas spēkā 2007.gada 1.septembrī”

atbalstīts

atbalstīts

Likums stājas spēkā 2007.gada 1.septembrī.