1. Noteikumi nosaka prasības audita atzinumam par personas datu apstrādi (turpmāk – atzinums), ko valsts un pašvaldības institūcijas (turpmāk – institūcija) reizi divos gados iesniedz Datu valsts inspekcijā.
2. Atzinums sastāv no ievaddaļas, personas datu apstrādes riska analīzes un personas datu apstrādes atbilstības izvērtējuma atbilstoši personu datu apstrādi regulējošiem normatīvajiem aktiem (turpmāk – atbilstības izvērtējums).
3. Atzinuma ievaddaļā iekļauj šādu informāciju:
3.1. institūcijas nosaukumu, reģistrācijas numuru, adresi un tālruņa numuru, kā arī personas, kura auditēja, vārdu, uzvārdu, amatu un kontaktinformāciju (adrese, tālruņa numurs, elektroniskā pasta adrese);
3.2. laikposmu, par kuru ir auditēta personas datu apstrāde;
3.3. ziņas par visu institūcijas veikto personas datu apstrādi atsevišķi katram personas datu apstrādes mērķim.
4. Personas datu apstrādes riska analīzē norāda personas datu apstrādes darbību ietekmējošus riska faktorus atbilstoši noteiktajiem riskiem atsevišķi katram personas datu apstrādes mērķim.
5. Atbilstības izvērtējumu sastāda atbilstoši šo noteikumu pielikumam atsevišķi katram personas datu apstrādes mērķim.
7. Persona, kura auditē, audita ieteikumiem nosaka šādas prioritātes:
7.1. augsta – kļūdas vai neatbilstības norāda uz augstu risku, ka personas datu apstrādē ir būtiskas nepilnības;
7.2. vidēja – kļūdas vai neatbilstības norāda uz vidēju risku, ka personas datu apstrādē ir nepilnības;
7.3. zema – kļūdas vai nepilnības ir mazāk svarīgas, taču šo jautājumu risinājums varētu uzlabot personas datu apstrādi.
Personas datu apstrādes mērķis |
Prasības personas datu apstrādei | Atzīmēt ar "x" | Secinājumi, ieteikumi, ieteikumu prioritāte, atbildīgais par ieteikuma ieviešanu, ieteikuma ieviešanas datums (aizpilda, ja ir norādīts „nē” vai „daļēji”) |
1. Personas datu apstrāde atbilstoši paredzētajam mērķim un tikai saskaņā ar to | ||
1.1. visi apstrādātie personas dati nepieciešami, lai sasniegtu iepriekš noteikto personas datu apstrādes mērķi | jā nē daļēji | |
1.2. personas datu apstrāde veikta tikai sākotnēji paredzētiem mērķiem | jā nē daļēji | |
2. Personas datu pareizība | ||
Ja personas dati saskaņā ar personas datu apstrādes mērķi ir nepilnīgi vai neprecīzi, tiek veikta personas datu pareizības pārbaude un savlaicīga personas datu atjaunošana, labošana vai dzēšana | jā nē daļēji | |
3. Personas datu glabāšana | ||
3.1. tiek izvērtēta personas datu atbilstība sākotnēji noteiktajam personas datu apstrādes mērķim un konstatēts, ka personas datu apstrādes mērķim vairs nav nepieciešama konkrētu personas datu apstrāde | jā nē daļēji | |
3.2. ja personas datu apstrādes mērķim vairs nav nepieciešama konkrētu personas datu apstrāde, personas dati tiek savlaicīgi pārbaudīti, dzēsti un iznīcināti | jā nē daļēji | |
4. Personas datu apstrāde saskaņā ar datu subjekta tiesībām | ||
4.1. iegūstot personas datus no datu subjekta, datu subjektu informē par pārziņa nosaukumu, paredzēto personas datu apstrādes mērķi, iespējamiem personas datu saņēmējiem, datu subjekta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus, kā arī par atbildes sniegšanas obligātumu vai brīvprātīgumu un iespējamām sekām, ja atbilde netiek sniegta | jā nē daļēji | |
4.2. ja personas dati nav iegūti no datu subjekta, datu subjektu informē par pārziņa nosaukumu, paredzēto personas datu apstrādes mērķi, iespējamiem personas datu saņēmējiem, personas datu kategorijām un datu ieguves avotu, datu subjekta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus | jā nē daļēji | |
4.3. tiek nodrošinātas datu subjekta tiesības iegūt visu informāciju, kas par viņu savākta un tiek apstrādāta | jā nē daļēji | |
4.4. ja pārzinis ir atteicies datu subjektam sniegt informāciju, kas par viņu savākta un tiek apstrādāta, šāds atteikums atbilst normatīvo aktu prasībām | jā nē daļēji | |
4.5. tiek veikta datu subjekta tiesību izpilde, ja datu subjekts pieprasa, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai tos iznīcina, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi iegūti vai tie vairs nav nepieciešami datu vākšanas mērķim | jā nē daļēji | |
5. Personas datu drošība | ||
5.1. izstrādāti un ieviesti iekšējie personas datu apstrādes aizsardzības noteikumi un tie atbilst normatīvo aktu prasībām | jā nē daļēji | |
5.2. fiziskās personas, kuras iesaistītas personas datu apstrādē, ir parakstījušas apņemšanos saglabāt un nelikumīgi neizpaust personas datus | jā nē | |
5.3. tiek veikta to fizisko personu uzskaite, kuras tiek iesaistītas personas datu apstrādē | jā nē daļēji | |
5.4. tiek nodrošināta tikai pilnvarotu personu piekļūšana personas datu apstrādē un aizsardzībā izmantojamiem tehniskajiem resursiem | jā nē daļēji | |
5.5. informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un apstrādā attiecīgi pilnvarotas personas | jā nē daļēji | |
5.6. personas datus vāc, ieraksta, ierakstītos datus sakārto, saglabā, kopē, pārraksta, pārveido, labo, dzēš, iznīcina, arhivē, veic rezerves kopēšanu, bloķē attiecīgi pilnvarotas personas, kā arī tiek nodrošināta iespēja noteikt personas datus, kuri bijuši apstrādāti bez attiecīga pilnvarojuma, minēto datu apstrādes laiku un personu, kas veikusi datu apstrādi | jā nē daļēji | |
5.7. nododot personas datus, tiek saglabāta informācija par personas datiem, kas tikuši nodoti, personas datu nodošanas laiku, personu, kas nodevusi personas datus, un personu, kas saņēmusi personas datus | jā nē daļēji | |
5.8. saņemot personas datus, tiek saglabāta informācija par saņemtajiem personas datiem, par personas datu saņemšanas laiku, personu, kas nodevusi personas datus, un personu, kas saņēmusi personas datus | jā nē daļēji | |
5.9. pārzinis informē personas, kuras apstrādā personas datus, par personas datu apstrādes aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām | jā nē daļēji | |
5.10. pārzinis ir noteicis un nodrošinājis pasākumus, kas veicami tehnisko resursu aizsardzībai pret ārkārtas apstākļiem (piemēram, ugunsgrēks, plūdi) | jā nē daļēji | |
5.11. pārzinis ir noteicis atbildīgās personas par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību, attiecīgo personu tiesības un pienākumus, un minētās personas ir informētas par to tiesībām un pienākumiem | jā nē daļēji | |
5.12. pārzinis ir noteicis personas datu lietotāju tiesības, pienākumus, ierobežojumus, atbildību, un personas datu lietotāji par to ir informēti | jā nē daļēji | |
6. Personas datu nodošana citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts | ||
6.1. ja personas dati tiek nodoti citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, pārzinis ir novērtējis personas datu aizsardzības pakāpes un ir saņemts rakstisks Datu valsts inspekcijas apliecinājums, ka tā piekrīt personas datu nodošanai | jā nē daļēji | |
6.2. pārzinis un personas datu saņēmējs ir noslēguši līgumu par personas datu nodošanu | jā nē | |
6.3. pārziņa un personas datu saņēmēja noslēgtais līgums par personas datu nodošanu atbilst normatīvo aktu prasībām | jā nē daļēji | |
7. Personas datu operatora pakalpojumu izmantošana | ||
7.1. personas datu operators viņam uzticētos personas datus apstrādā tikai līgumā norādītajā apmērā | jā nē daļēji | |
7.2. personas datu operators viņam uzticētos personas datus apstrādā atbilstoši līgumā paredzētajiem mērķiem | jā nē daļēji | |
7.3. personas datu operators viņam uzticētos personas datus apstrādā saskaņā ar pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem | jā nē daļēji | |
8. Personas datu apstrādes reģistrācija | ||
8.1. personas datu apstrāde ir reģistrēta Datu valsts inspekcijā | jā nē | |
8.2. ja personas datu apstrādē ir bijušas izmaiņas, pārzinis ir iesniedzis attiecīgus reģistrācijas grozījumus Datu valsts inspekcijā | jā nē | |
9. Iepriekšējā audita par personas datu apstrādi ieteikumu izpilde | ||
Iepriekšējā audita par personas datu apstrādi ieteikumi ir izpildīti | jā nē daļēji |
Persona, kura veica auditu | ||||
(vārds, uzvārds, paraksts) | (datums) |