Tiesību akts: zaudējis spēku
Tiesību akts ir zaudējis spēku.
Ministru kabineta noteikumi Nr.1322

Rīgā 2009.gada 17.novembrī (prot. Nr.81 20.§)
Prasības audita atzinumam par personas datu apstrādi valsts un pašvaldību institūcijās

1. Noteikumi nosaka prasības audita atzinumam par personas datu apstrādi (turpmāk – atzinums), ko valsts un pašvaldības institūcijas (turpmāk – institūcija) reizi divos gados iesniedz Datu valsts inspekcijā.

2. Atzinums sastāv no ievaddaļas, personas datu apstrādes riska analīzes un personas datu apstrādes atbilstības izvērtējuma atbilstoši personu datu apstrādi regulējošiem normatīvajiem aktiem (turpmāk – atbilstības izvērtējums).

3. Atzinuma ievaddaļā iekļauj šādu informāciju:

3.1. institūcijas nosaukumu, reģistrācijas numuru, adresi un tālruņa numuru, kā arī personas, kura auditēja, vārdu, uzvārdu, amatu un kontaktinformāciju (adrese, tālruņa numurs, elektroniskā pasta adrese);

3.2. laikposmu, par kuru ir auditēta personas datu apstrāde;

3.3. ziņas par visu institūcijas veikto personas datu apstrādi atsevišķi katram personas datu apstrādes mērķim.

4. Personas datu apstrādes riska analīzē norāda personas datu apstrādes darbību ietekmējošus riska faktorus atbilstoši noteiktajiem riskiem atsevišķi katram personas datu apstrādes mērķim.

5. Atbilstības izvērtējumu sastāda atbilstoši šo noteikumu pielikumam atsevišķi katram personas datu apstrādes mērķim.

6. Persona, kura auditē, par konstatētajiem faktiem sniedz pamatotus secinājumus un ieteikumus.

7. Persona, kura auditē, audita ieteikumiem nosaka šādas prioritātes:

7.1. augsta – kļūdas vai neatbilstības norāda uz augstu risku, ka personas datu apstrādē ir būtiskas nepilnības;

7.2. vidēja – kļūdas vai neatbilstības norāda uz vidēju risku, ka personas datu apstrādē ir nepilnības;

7.3. zema – kļūdas vai nepilnības ir mazāk svarīgas, taču šo jautājumu risinājums varētu uzlabot personas datu apstrādi.

8. Ja nepieciešams, atzinumā iekļauj institūcijas atbildi uz sniegtajiem ieteikumiem.

9. Atzinumu paraksta persona, kura auditēja personas datu apstrādi.

Ministru prezidents V.Dombrovskis

Tieslietu ministra vietā – veselības ministre B.Rozentāle
Pielikums
Ministru kabineta
2009.gada 17.novembra noteikumiem Nr.1322
Atbilstības izvērtējums
Personas datu apstrādes mērķis 

 

Prasības personas datu apstrādei

Atzīmēt ar "x"

Secinājumi, ieteikumi, ieteikumu prioritāte, atbildīgais par ieteikuma ieviešanu, ieteikuma ieviešanas datums

(aizpilda, ja ir norādīts „nē” vai „daļēji”)

1. Personas datu apstrāde atbilstoši paredzētajam mērķim un tikai saskaņā ar to
1.1. visi apstrādātie personas dati nepieciešami, lai sasniegtu iepriekš noteikto personas datu apstrādes mērķi

 nē

daļēji

 
1.2. personas datu apstrāde veikta tikai sākotnēji paredzētiem mērķiem

daļēji

 
2. Personas datu pareizība
Ja personas dati saskaņā ar personas datu apstrādes mērķi ir nepilnīgi vai neprecīzi, tiek veikta personas datu pareizības pārbaude un savlaicīga personas datu atjaunošana, labošana vai dzēšana  jā

  nē

  daļēji

 
3. Personas datu glabāšana
3.1. tiek izvērtēta personas datu atbilstība sākotnēji noteiktajam personas datu apstrādes mērķim un konstatēts, ka personas datu apstrādes mērķim vairs nav nepieciešama konkrētu personas datu apstrāde  jā

  nē

  daļēji

 
3.2. ja personas datu apstrādes mērķim vairs nav nepieciešama konkrētu personas datu apstrāde, personas dati tiek savlaicīgi pārbaudīti, dzēsti un iznīcināti  jā

  nē

  daļēji

 
4. Personas datu apstrāde saskaņā ar datu subjekta tiesībām
4.1. iegūstot personas datus no datu subjekta, datu subjektu informē par pārziņa nosaukumu, paredzēto personas datu apstrādes mērķi, iespējamiem personas datu saņēmējiem, datu subjekta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus, kā arī par atbildes sniegšanas obligātumu vai brīvprātīgumu un iespējamām sekām, ja atbilde netiek sniegta  jā

  nē

  daļēji

 
4.2. ja personas dati nav iegūti no datu subjekta, datu subjektu informē par pārziņa nosaukumu, paredzēto personas datu apstrādes mērķi, iespējamiem personas datu saņēmējiem, personas datu kategorijām un datu ieguves avotu, datu subjekta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus  jā

  nē

  daļēji

 
4.3. tiek nodrošinātas datu subjekta tiesības iegūt visu informāciju, kas par viņu savākta un tiek apstrādāta  jā

  nē

  daļēji

 
4.4. ja pārzinis ir atteicies datu subjektam sniegt informāciju, kas par viņu savākta un tiek apstrādāta, šāds atteikums atbilst normatīvo aktu prasībām  jā

  nē

  daļēji

 
4.5. tiek veikta datu subjekta tiesību izpilde, ja datu subjekts pieprasa, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai tos iznīcina, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai tie vairs nav nepieciešami datu vākšanas mērķim  jā

  nē

  daļēji

 
5. Personas datu drošība
5.1. izstrādāti un ieviesti iekšējie personas datu apstrādes aizsardzības noteikumi un tie atbilst normatīvo aktu prasībām  jā

  nē

  daļēji

 
5.2. fiziskās personas, kuras iesaistītas personas datu apstrādē, ir parakstījušas apņemšanos saglabāt un nelikumīgi neizpaust personas datus  jā

  nē

 
5.3. tiek veikta to fizisko personu uzskaite, kuras tiek iesaistītas personas datu apstrādē  jā

  nē

  daļēji

 
5.4. tiek nodrošināta tikai pilnvarotu personu piekļūšana personas datu apstrādē un aizsardzībā izmantojamiem tehniskajiem resursiem  jā

  nē

  daļēji

 
5.5. informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un apstrādā attiecīgi pilnvarotas personas  jā

  nē

  daļēji

 
5.6. personas datus vāc, ieraksta, ierakstītos datus sakārto, saglabā, kopē, pārraksta, pārveido, labo, dzēš, iznīcina, arhivē, veic rezerves kopēšanu, bloķē attiecīgi pilnvarotas personas, kā arī tiek nodrošināta iespēja noteikt personas datus, kuri bijuši apstrādāti bez attiecīga pilnvarojuma, minēto datu apstrādes laiku un personu, kas veikusi datu apstrādi  jā

  nē

  daļēji

 
5.7. nododot personas datus, tiek saglabāta informācija par personas datiem, kas tikuši nodoti, personas datu nodošanas laiku, personu, kas nodevusi personas datus, un personu, kas saņēmusi personas datus  jā

  nē

  daļēji

 
5.8. saņemot personas datus, tiek saglabāta informācija par saņemtajiem personas datiem, par personas datu saņemšanas laiku, personu, kas nodevusi personas datus, un personu, kas saņēmusi personas datus  jā

  nē

  daļēji

 
5.9. pārzinis informē personas, kuras apstrādā personas datus, par personas datu apstrādes aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām  jā

  nē

  daļēji

 
5.10. pārzinis ir noteicis un nodrošinājis pasākumus, kas veicami tehnisko resursu aizsardzībai pret ārkārtas apstākļiem (piemēram, ugunsgrēks, plūdi)  jā

  nē

  daļēji

 
5.11. pārzinis ir noteicis atbildīgās personas par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību, attiecīgo personu tiesības un pienākumus, un minētās personas ir informētas par to tiesībām un pienākumiem  jā

  nē

  daļēji

 
5.12. pārzinis ir noteicis personas datu lietotāju tiesības, pienākumus, ierobežojumus, atbildību, un personas datu lietotāji par to ir informēti  jā

  nē

  daļēji

 
6. Personas datu nodošana citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts
6.1. ja personas dati tiek nodoti citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, pārzinis ir novērtējis personas datu aizsardzības pakāpes un ir saņemts rakstisks Datu valsts inspekcijas apliecinājums, ka tā piekrīt personas datu nodošanai  jā

  nē

  daļēji

6.2. pārzinis un personas datu saņēmējs ir noslēguši līgumu par personas datu nodošanu  jā

  nē

 
6.3. pārziņa un personas datu saņēmēja noslēgtais līgums par personas datu nodošanu atbilst normatīvo aktu prasībām  jā

  nē

  daļēji

 
7. Personas datu operatora pakalpojumu izmantošana
7.1. personas datu operators viņam uzticētos personas datus apstrādā tikai līgumā norādītajā apmērā  jā

  nē

  daļēji

7.2. personas datu operators viņam uzticētos personas datus apstrādā atbilstoši līgumā paredzētajiem mērķiem  jā

  nē

  daļēji

 
7.3. personas datu operators viņam uzticētos personas datus apstrādā saskaņā ar pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem  jā

  nē

  daļēji

 
8. Personas datu apstrādes reģistrācija
8.1. personas datu apstrāde ir reģistrēta Datu valsts inspekcijā  jā

  nē

8.2. ja personas datu apstrādē ir bijušas izmaiņas, pārzinis ir iesniedzis attiecīgus reģistrācijas grozījumus Datu valsts inspekcijā  jā

  nē

 
9. Iepriekšējā audita par personas datu apstrādi ieteikumu izpilde
Iepriekšējā audita par personas datu apstrādi ieteikumi ir izpildīti  jā

  nē

  daļēji

 

 

Persona, kura veica auditu    
  

(vārds, uzvārds, paraksts)

 

(datums)

Tieslietu ministra vietā – veselības ministre B.Rozentāle
25.11.2009