Tiesību akts ir zaudējis spēku.
Ministru kabineta noteikumi Nr.216
Rīgā 2015.gada 12.maijā (prot. Nr.24 15.§)
Kārtība, kādā sagatavo un iesniedz personas datu apstrādes atbilstības novērtējumu
1. Noteikumi nosaka:
1.1. personas datu apstrādes atbilstības novērtējuma (turpmāk – novērtējums) nosacījumus;
1.2. kārtību un termiņu, kādā sagatavo novērtējumu un iesniedz to Datu valsts inspekcijā. 2
2. Noteikumi attiecas uz valsts un pašvaldību institūcijām un privātpersonām, kurām deleģēti valsts pārvaldes uzdevumi (turpmāk – iestāde). 3
3. Novērtējuma sagatavošana ir dokumentēts process, kura mērķis ir izvērtēt personas datu apstrādes faktiskos apstākļus un to atbilstību normatīvajiem aktiem personas datu aizsardzības jomā. Vērtējot personas datu apstrādes faktiskos apstākļus, novērtētājs intervē personas, kas iesaistītas personas datu apstrādē un aizsardzībā, pārbauda iekšējās procedūras, veic vizuālo novērtēšanu un pārbauda dokumentus. 4
4. Novērtējumu atbilstoši šo noteikumu pielikumam sagatavo:
4.1. pirms personas datu apstrādes uzsākšanas jaunam personas datu apstrādes mērķim;
4.2. pirms tādu izmaiņu veikšanas personas datu apstrādē, kas ietekmē datu subjekta tiesības vai intereses personas datu aizsardzības jomā;
4.3. pēc iestādes iniciatīvas;
4.4. pēc Datu valsts inspekcijas pieprasījuma. 5
5. Šo noteikumu 4.2. apakšpunktā minētajā gadījumā novērtējumu var sagatavot pēc personas datu apstrādē veiktajām izmaiņām, ja:
5.1. jebkura kavēšanās veikt izmaiņas personas datu apstrādē var radīt tūlītēju un būtisku risku datu subjekta tiesībām vai interesēm;
5.2. jebkura kavēšanās veikt izmaiņas personas datu apstrādē rada apdraudējumu informācijas drošībai;
5.3. ir veiktas izmaiņas normatīvajos aktos, kas attiecas uz personas datu apstrādi. Ja normatīvo aktu izmaiņas, kas attiecas uz vienam datu apstrādes mērķim veicamo personas datu apstrādi, tiek veiktas vairākas reizes gadā, pārzinim ir tiesības veikt novērtējumu reizi gadā, novērtējumu sagatavojot par gada laikā veiktajām izmaiņām. 6
6. Katram personas datu apstrādes mērķim sagatavo atsevišķu novērtējumu. 7
7. Novērtējumu sagatavo personas datu aizsardzības speciālists vai persona, kura ir ieguvusi otrā līmeņa profesionālo vai akadēmisko augstāko izglītību, kurai ir zināšanas personas datu aizsardzības jomā un kurai ir vismaz viena gada pieredze personas datu aizsardzības vai informācijas tehnoloģiju, vai audita, kā arī tam līdzvērtīgu pārbaužu veikšanas jomā (turpmāk – novērtētājs). 8
8. Iestādei ir tiesības pieaicināt novērtētāju, kurš atbilst šo noteikumu 7. punktā minētajām prasībām. 9
9. Novērtētājam ir tiesības, veicot novērtējumu, pieaicināt attiecīgās jomas speciālistus, kas neatbilst šo noteikumu 7. punktā minētajām prasībām. 10
10. Iestāde nodrošina novērtētājam un šo noteikumu 9. punktā minētajam novērtēšanas procesā iesaistītajam speciālistam piekļuvi dokumentiem, informācijas sistēmām, tehniskajiem resursiem un telpām, kas nepieciešamas, lai veiktu novērtējumu. 11
11. Novērtētājs un šo noteikumu 9. punktā minētais novērtēšanas procesā iesaistītais speciālists rakstveidā apņemas neizpaust novērtējuma laikā iegūto informāciju, izņemot normatīvajos aktos noteiktos gadījumus. 12
12. Pamatojoties uz konstatētajiem faktiem un pārbaudītajiem dokumentiem, novērtētājs iestādes noteiktajā termiņā sagatavo novērtējuma projektu, par kuru iestāde vai tās pilnvarota amatpersona sniedz viedokli 10 darbdienu laikā. 13
13. Novērtētājs, izvērtējot iestādes viedokli, ja nepieciešams, precizē novērtējuma projektu un apstiprina novērtējumu. 14
14. Pēc novērtējuma apstiprināšanas novērtētājs sagatavo novērtējuma kopsavilkumu. Novērtējuma kopsavilkumā norāda:
14.1. pārziņa nosaukumu vai vārdu un uzvārdu, novērtētāja vārdu, uzvārdu un kontaktinformāciju;
14.2. novērtējuma veikšanas pamatu un apjomu;
14.3. laikposmu, kad veikts novērtējums;
14.4. personas datu apstrādes mērķi;
14.5. secinājumus un konstatētos trūkumus;
14.6. ieteikumus un termiņu trūkumu novēršanai. 15
15. Iestāde vai tās pilnvarota amatpersona novērtējuma kopsavilkumu 10 darbdienu laikā pēc tā sagatavošanas elektroniski iesniedz Datu valsts inspekcijā. 16
16. Ja novērtējumā norāda ieteikumus trūkumu novēršanai, iestāde vai tās pilnvarota amatpersona pēc trūkumu novēršanas par to paziņo novērtētājam. 17
17. Pēc trūkumu novēršanas novērtētājs sagatavo ziņojumu, kurā norāda informāciju par trūkumu novēršanai veiktajiem pasākumiem. Ziņojumu pievieno novērtējumam, un tas ir uzskatāms par novērtējuma neatņemamu sastāvdaļu. Iestāde vai tās pilnvarota amatpersona 10 darbdienu laikā pēc ziņojuma sagatavošanas to nosūta Datu valsts inspekcijai. 18
18. Novērtējums, ziņojums par trūkumu novēršanu un novērtējuma kopsavilkums ir ierobežotas pieejamības informācija. 19
19. Iestādei ir pienākums glabāt ne mazāk kā divus pēdējos novērtējumus par katru personas datu apstrādes mērķi, to kopsavilkumu un šo noteikumu 17. punktā minēto ziņojumu. 20
Ministru prezidente Laimdota Straujuma
Tieslietu ministrs Dzintars Rasnačs
Pielikums
Ministru kabineta
2015.gada 12.maija
noteikumiem Nr.216
Personas datu apstrādes atbilstības novērtējums
I. Personas datu apstrādes
vispārīgs apraksts
Iestādes nosaukums
|
|
Kontaktinformācija
|
|
Novērtētājs (vārds, uzvārds)
|
|
Kontaktinformācija
|
|
Novērtējuma veikšanas periods
|
|
Novērtējuma veikšanas pamats:
Atzīmēt 
pirms personas datu apstrādes
uzsākšanas jaunam personas datu apstrādes mērķim
pirms tādu izmaiņu
veikšanas personas datu apstrādē, kas ietekmē datu subjekta
tiesības vai intereses personas datu aizsardzības jomā
pēc savas iniciatīvas
pēc Datu valsts inspekcijas
pieprasījuma
|
Kāds ir personas datu apstrādes
mērķis? |
|
Vai personas datu apstrādes mērķi
nosaka normatīvie akti?
Ja atbilde ir "jā", norādiet normatīvos aktus, kas paredz
datu apstrādi
|
jā
nē 
|
Kādi personas dati, piemēram,
vārds, uzvārds, personas kods, tiek apstrādāti, lai sasniegtu
iepriekšējā punktā norādīto mērķi? |
•
•
•
•
|
Ja tiek apstrādāti sensitīvie
personas dati, norādiet tos |
|
Kādā veidā notiek personas datu
apstrāde – manuāli vai automatizēti? |
|
Vai sensitīvo personas datu apstrāde
ir nodalīta no pārējo personas datu apstrādes?
Ja atbilde ir "jā", raksturojiet procedūru, kā tas tiek
nodrošināts.
Ja atbilde ir "nē", norādiet iemeslus
|
jā
nē 
|
Vai visi apstrādājamie dati ir
nepieciešami personas datu apstrādes mērķa sasniegšanai?
Ja atbilde ir "jā", uzskaitiet šos datus, norādot, kādēļ
tie nepieciešami personas datu apstrādes mērķa
sasniegšanai.
Ja atbilde ir "nē", norādiet iemeslus
|
jā
nē 
|
Vai personas datu apstrādes mērķi
var sasniegt, vispār neapstrādājot personas datus vai
apstrādājot mazākā apjomā? Pamatojiet |
var
nevar 
|
Norādiet personas datu apstrādes
tiesisko pamatu atbilstoši Fizisko personu datu aizsardzības
likuma 7. pantam.
Ja tiek apstrādāti sensitīvi personas dati, norādiet
pamatojumu atbilstoši Fizisko personu datu aizsardzības likuma
11. pantam
|
|
Ja personas datu apstrādes tiesiskais
pamats ir datu subjekta piekrišana, norādiet, kādā veidā
(elektroniski, rakstiski, mutiski) un kad tiek iegūta datu
subjekta piekrišana |
|
Ja sensitīvie personas dati tiek
apstrādāti, pamatojoties uz datu subjekta piekrišanu, norādiet,
vai šī piekrišana ir noformēta rakstveidā.
Ja atbilde ir negatīva, pamatojiet, kāpēc datu subjekta
piekrišana nav noformēta rakstiski
|
ir rakstveidā
nav rakstveidā 
|
Vai personas datu apstrāde ir
uzticēta personas datu operatoram? Ja atbilde ir "jā", norādiet
tiesisko pamatu |
jā
nē 
|
Vai personas datu apstrāde ir
reģistrēta Datu valsts inspekcijā? Ja atbilde ir "nē",
norādiet pamatojumu |
jā
nē 
|
II. Riska analīze attiecībā uz
personas datu subjekta tiesībām un brīvībām
1. Personas datu
apstrāde atbilstoši personas datu apstrādes mērķim
|
Cik bieži tiek pārbaudīts
apstrādājamo personas datu apjoms un atbilstība personas datu
apstrādes mērķim? |
|
Kāda kārtība ir paredzēta, lai
periodiski izvērtētu apstrādājamo personas datu apjomu un to
atbilstību personas datu apstrādes mērķa sasniegšanai? Cik
bieži šī kārtība tiek pārskatīta?
Ja kārtība nav paredzēta, norādiet iemeslus un
paskaidrojiet, kā tiek nodrošināts, lai personas datu apjoms
visā to apstrādes laikā nepārsniegtu personas datu apstrādes
mērķa sasniegšanai nepieciešamo
|
|
Kādas procedūras ir paredzētas, lai
nodrošinātu personas datu apstrādi atbilstoši personas datu
aizsardzības prasībām? |
|
Vai ir noteiktas procedūras, kā
identificē datu subjektu, informācijas sistēmas lietotāju,
trešās personas, kuras apstrādā personas datus manuāli vai
informācijas sistēmā?
Ja atbilde ir "jā", raksturojiet kārtību vai procedūru
|
jā
nē 
|
2. Adekvāta
personas datu apstrāde
|
Kā tiek nodrošināta pareizu
(precīzu, aktuālu) personas datu apstrāde? |
|
Norādiet dokumentu, kurā ir noteikta
kārtība, kā un cik bieži tiek aktualizēti (precizēti)
personas dati |
|
Cik bieži veic pārbaudes, vai
apstrādāti tiek pareizi (precīzi, aktuāli) dati? Norādiet
pamatojumu, kādēļ ir izvēlēts šāds periodiskums un vai tas
nodrošina tikai pareizu (precīzu, aktuālu) personas datu
apstrādi |
|
Vai ir vērtēti zaudējumi, kas var
rasties no neaktuālu datu apstrādes? |
jā
nē 
|
Kā tiek apstrādāti datu subjekta
iesniegumi un kā uz tiem reaģē, ja attiecīgais datu subjekts
uzskata, ka par viņu apstrādātie personas dati nav aktuāli?
Kādā veidā ir nodrošinātas datu subjekta tiesības ziņot par
neaktuālu datu apstrādi? |
|
3. Personas datu
glabāšana atbilstoši personas datu apstrādes mērķim
|
Kā tiek noteikti personas datu
glabāšanas termiņi (piemēram, atbilstoši normatīvajam aktam,
līgumam, datu subjekta piekrišanai)?
Pamatojiet termiņa izvēli
|
|
Ja personas datu glabāšanas
termiņš ir noteikts normatīvajā aktā, norādiet to |
|
Ja personas datu glabāšanas
termiņš netiek regulēts ar ārēju normatīvo aktu, norādiet,
cik bieži tiek izvērtēti personas datu glabāšanas
termiņi |
|
Ja personas datu apstrāde vairs nav
nepieciešama personas datu apstrādes mērķa sasniegšanai: |
|
1. Kā tiek izvērtēta personas datu
apstrāde, lai noteiktu, kuri dati ir dzēšami? |
1. |
2. Kurš ir atbildīgs par personas datu
novērtēšanu, lai noteiktu, kuri dati un kad ir dzēšami? |
2. |
3. Vai informācijas sistēmā ir ieviesta
automatizēta paziņojuma saņemšana, kas norāda uz
nepieciešamību dzēst personas datus? |
3. |
Vai ir izstrādātas vadlīnijas
attiecībā uz personas datu dzēšanu? |
jā
nē 
|
4. Personas datu
izpaušana
|
Vai ir izstrādāti iekšējie
normatīvie akti, kas paredz kārtību personas datu izpaušanai
iestādes ietvaros un trešajām personām? |
jā
nē 
|
Norādiet kārtību, kādā tiek
nodrošināta iestādes darbinieku informēšana par personas datu
izpaušanu |
|
Norādiet kārtību, kādā tiek
izvērtēts, vai personas datus ir iespējams izpaust trešajām
personām (piemēram, kā notiek pieprasītāja identificēšana).
Kas tiek izvērtēts, pieņemot lēmumu par personas datu
izpaušanu? |
|
Vai un kādā veidā tiek saglabāta
informācija par gadījumiem, kad personas dati tiek izpausti? |
|
5. Datu subjekta
tiesību nodrošināšana
|
5.1. Datu subjekta
informēšana par viņa personas datu apstrādi
|
Vai personas dati tiek iegūti no datu
subjekta? |
jā
nē 
|
Vai ir nodrošināta datu subjekta
informēšana par viņa personas datu apstrādi neatkarīgi no tā,
vai personas dati ir vai nav iegūti no datu subjekta?
Ja atbilde ir "jā", norādiet, kādā veidā un kādā
gadījumā datu subjekts tiek informēts par viņa personas datu
apstrādi, un kāda satura informācija tiek sniegta.
Ja atbilde ir "nē", norādiet, kādēļ datu subjekts netiek
informēts
|
jā
nē 
|
Vai datu subjektam tiek nodrošināta
iespēja iegūt informāciju par personām, kuras ir saņēmušas
informāciju par šo datu subjektu?
Ja atbilde ir "jā", norādiet, par kādu laikposmu šāda
informācija tiek sniegta.
Ja atbilde ir "nē", norādiet, kādēļ informācija netiek
sniegta
|
jā
nē 
|
Norādiet, cik bieži un kādā
termiņā datu subjektam tiek nodrošinātas tiesības saņemt
informāciju par viņa personas datu apstrādi. Norādiet termiņa
un biežuma noteikšanas pamatojumu |
|
Vai par informācijas sniegšanu tiek
prasīta maksa, ja datu subjekts informāciju par savu personas
datu apstrādi pieprasa biežāk nekā divas reizes gadā? Kāds ir
tās apmērs? |
jā
nē 
|
Vai datu subjektam ir nodrošinātas
tiesības ierobežot savu personas datu apstrādi, tostarp
atbilstoši Fizisko personu datu aizsardzības likuma 16. un 19.
pantam?
Ja atbilde ir "jā", norādiet, kādā veidā šīs datu
subjekta tiesības tiek nodrošinātas.
Ja atbilde ir "nē", norādiet iemeslus
|
jā
nē 
|
Vai informācija par datu subjektu
tiek saņemta no trešajām personām?
Ja atbilde ir "jā", norādiet informācijas saņemšanas
kārtību un tiesisko pamatu šādas informācijas saņemšanai
|
jā
nē 
|
5.2. Datu subjekta
tiesības piekļūt saviem personas datiem
|
Vai datu subjektam ir nodrošinātas
tiesības piekļūt saviem personas datiem?
Ja atbilde ir "jā", raksturojiet kārtību, kādā tiek
nodrošinātas datu subjekta piekļuves tiesības saviem personas
datiem.
Ja atbilde ir "nē", norādiet, kāpēc datu subjekta piekļuves
tiesības nav nodrošinātas
|
jā
nē 
|
Kā tiek nodrošināta personas datu
atrašana pēc datu subjekta pieprasījuma? |
|
Vai datu subjektam pēc tā
pieprasījuma tiek sniegta informācija par personas datu
apstrādi?
Ja atbilde ir "jā", norādiet informācijas sniegšanas
kārtību
|
jā
nē 
|
Vai pārzinim ir tiesības atteikt
datu subjektam piekļuvi viņa personas datiem?
Ja atbilde ir "jā", norādiet, kādā gadījumā
|
jā
nē 
|
Vai notiek automatizēta lēmumu
pieņemšana, pamatojoties uz apstrādātajiem personas datiem?
Kādā gadījumā pārzinis pārskata šādus lēmumus? |
jā
nē 
|
6. Personas datu
nodošana valstīm, kas nav Eiropas Savienības vai Eiropas
Ekonomikas zonas dalībvalstis, vai valstīm, kuras nav
saņēmušas Komisijas atzinumu par adekvātu datu aizsardzības
līmeni
|
Vai personas dati tiek nodoti valstij,
kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas
dalībvalsts, vai starptautiskajai organizācijai?
Ja atbilde ir "jā", norādiet pamatojumu šādai personas datu
apstrādei, valsti, kurai dati tiek nodoti, un personas datu
veidus, kas tiek nodoti
|
jā
nē 
|
Vai ir izstrādāti iekšējie
noteikumi personas datu nodošanai valstīm, kas nav Eiropas
Savienības vai Eiropas Ekonomikas zonas dalībvalstis?
Ja atbilde ir "jā", raksturojiet tajos ietvertos principus.
Ja atbilde ir "nē", norādiet, kādēļ šādi noteikumi nav
izstrādāti
|
jā
nē 
|
III. Personas datu aizsardzības un
drošības pasākumi
Vai ir izstrādāti personas datu
apstrādes aizsardzības noteikumi? |
jā
nē 
|
Kādā kārtībā darbiniekus informē
par pienākumu neizpaust personas datus (tostarp pēc darba,
dienesta vai citu tiesisko attiecību izbeigšanās)? Kā tiek
kontrolēta šā pienākuma ievērošana? |
|
Par informācijas resursiem,
tehniskajiem resursiem un personas datu aizsardzību atbildīgā
persona |
|
Kādi personas datu aizsardzības
pasākumi tiek piemēroti informācijas tehnoloģijām? |
|
Raksturojiet aizsardzības pasākumus,
kas ir ieviesti pēc neautorizētas un prettiesiskas piekļuves
personas datiem, kas ir apstrādāti automatizēti vai
manuāli |
|
Vai sensitīvo personas datu
apstrādei ir noteikts lielāks (augstāks) datu aizsardzības
līmenis?
Ja atbilde ir "jā", raksturojiet noteikto aizsardzības
līmeni
|
jā
nē 
|
Vai iestādē ir informācijas
sistēmu drošības noteikumi? |
jā
nē 
|
Vai ir noteiktas par informācijas
sistēmu drošības pārvaldību un īstenošanu atbildīgās
personas? |
jā
nē 
|
Vai iestādē tiek veikta
informācijas sistēmu risku analīze? |
jā
nē 
|
Vai iestādē ir izstrādātas
informācijas sistēmu piekļuves kontroles procedūras?
Ja atbilde ir "jā", kā iestāde pārvalda informācijas
sistēmu lietotāju kontus?
|
jā
nē 
|
Kādas ir prasības lietotāju kontu
parolēm vai citiem kontu aizsardzības rīkiem? |
|
Vai ir noteikti pienākumi
informācijas sistēmu lietotājiem? Kādi? |
jā
nē 
|
Vai iestādē tiek veikta drošības
apmācība personālam, kas veic datu apstrādi informācijas
sistēmās? Cik bieži minētā drošības apmācība tiek veikta,
kāds ir tās saturs? |
jā
nē 
|
Vai iestāde pirms informācijas
sistēmas nodošanas ekspluatācijā veic drošības atbilstības
pārbaudi?
Ja atbilde ir "jā", norādiet pārbaudes norises kārtību
|
jā
nē 
|
Vai iestādē ir izstrādāta
informācijas sistēmas uzturēšanas kārtība un
procedūras? |
jā
nē 
|
Vai iestādē ir nodrošināta
informācijas sistēmas notikumu reģistrēšana un monitorēšana?
Raksturojiet kārtību
|
jā
nē 
|
Vai iestāde nodrošina datu rezerves
kopiju veidošanu un pārbaudi?
Raksturojiet kārtību
|
jā
nē 
|
Vai iestāde izmanto ārējas
informācijas sistēmas, kas savienotas ar iestādes informācijas
sistēmām?
Ja atbilde ir "jā", kāda ir kārtība un nosacījumi,
saskaņā ar kuriem izveido sadarbību ar citām iestādēm?
|
jā
nē 
|
Kādas tehnoloģijas un rīki tiek
izmantoti, lai savienotu sistēmas? |
|
Vai iestādes informācijas sistēmām
var piekļūt attālināti?
Ja atbilde ir "jā", kāda ir attālinātas piekļuves
procedūra un nosacījumi?
|
jā
nē 
|
Vai iestādē ir noteikta kārtība
ārējo atmiņas ierīču pārvaldībai un lietošanai? |
jā
nē 
|
Vai informācijas sistēmās tiek
izmantota datu šifrēšana?
Ja atbilde ir "jā", raksturojiet to
|
jā
nē 
|
Vai pirms informācijas publiskošanas
tiek izvērtēts tās konfidencialitātes līmenis un iespējamie
riski? |
jā
nē 
|
Vai iestādē ir izstrādāta
incidentu pārvaldības kārtība un procedūras? |
jā
nē 
|
Vai iestādē ir izstrādāta
kārtība atklāto trūkumu novēršanai? |
jā
nē 
|
IV. Ieteikumi trūkumu
novēršanai
Secinājumi un konstatētie trūkumi
|
|
Ieteikumi trūkumu novēršanai
|
|
Termiņš trūkumu novēršanai
|
|
Novērtētājs |
|
|
|
|
(vārds, uzvārds, paraksts)
|
|
(datums)
|
Tieslietu ministrs Dzintars Rasnačs
|
|
Saistītie dokumenti
-
Zaudējis spēku ar
-
Izdoti saskaņā ar
-
Anotācija / tiesību akta projekts
-
Skaidrojumi
-
Citi saistītie dokumenti
|