Personu datu apstrādes tiesībaizsardzības iestādēs likums
Personu datu apstrādes tiesībaizsardzības iestādēs likums
I nodaļa
Vispārīgie noteikumi
1. pants. Likumā lietotie termini.
Likumā ir lietoti šādi termini:
1) apstrādātājs – fiziska vai juridiska persona, tiešās pārvaldes iestāde vai atvasināta publiska persona vai tās iestāde, kura pārziņa uzdevumā apstrādā personas datus;
2) biometriskie dati – personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas viennozīmīgu identifikāciju;
3) datu subjekts – identificēta vai identificējama fiziskā persona. Identificējama fiziskā persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši, atsaucoties uz identifikatoru;
4) ģenētiskie dati – personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;
5) kartotēka – jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;
6) pārzinis – šā likuma 3. pantā minētā iestāde (turpmāk - kompetentā iestāde), kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu. Ja personas datu apstrādes nolūkus un līdzekļus nosaka ar normatīvo aktu, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt šajā normatīvajā aktā;
7) kopīgi pārziņi - divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūkus un līdzekļus;
8) personas dati – jebkura informācija, kas attiecas uz datu subjektu;
9) personas datu aizsardzības pārkāpums – drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;
10) personas datu apstrāde – jebkura ar personas datiem vai personas datu kopām veikta darbība vai darbību kopums, neatkarīgi no datu apstrādes veida, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
11) personas datu apstrādes ierobežošana – uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;
12) profilēšana – jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;
13) pseidonimizācija – personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisko personu;
14) saņēmējs – fiziska vai juridiska persona, tiešās pārvaldes iestāde vai atvasināta publiska persona vai tās iestāde, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Ja personas dati tiek nodoti saskaņā ar juridisku pienākumu nolūkā veikt konkrētu izmeklēšanas darbību, tiešās pārvaldes iestāde un atvasināta publiska persona vai tās iestāde, kas saņem personas datus, šā likuma izpratnē netiek uzskatīta par saņēmēju;
15) starptautiska organizācija – organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāk valstu nolīgumu vai uz tā pamata.
16) trešā valsts – valsts, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts.
17) veselības dati – personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp, veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli.
2. pants. Likuma mērķis.
Šā likuma mērķis ir aizsargāt fizisko personu pamattiesības un brīvības, it īpaši privātās dzīves neaizskaramību, attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, administratīvos pārkāpumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus un administratīvos sodus, tostarp, lai pasargātu no draudiem sabiedriskajai un nacionālajai drošībai un tos novērstu.
3. pants. Likuma darbības joma.
(1) Šo likumu piemēro personas datu apstrādei, ko veic kompetentās iestādes šā likuma 2. pantā minētajos nolūkos, ja apstrāde pilnībā vai daļēji veikta ar automatizētiem līdzekļiem vai bez automatizētiem līdzekļiem, ja personas dati veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas.
(2) Par kompetentajām iestādēm šā likuma izpratnē uzskatāmas šādas iestādes un amatpersonas:
1) Satversmes aizsardzības birojs;
2) Militārās izlūkošanas un drošības dienests;
3) Drošības policija;
4) Iekšējās drošības birojs;
5) Valsts policija;
6) pašvaldības policija;
7) Valsts robežsardze;
8) Militārā policija;
9) Valsts ieņēmumu dienesta Finanšu policija;
10) Korupcijas novēršanas un apkarošanas birojs;
11) Ieslodzījumu vietu pārvalde;
12) muitas iestādes;
13) Valsts probācijas dienests;
14) Latvijas Republikas prokuratūra;
15) tiesas;
16) tālbraucienos esošu jūras kuģu kapteiņi;
17) ārvalsts teritorijā esošas Latvijas Nacionālo bruņoto spēku vienības komandieris
(3) Šo likumu piemēro, ievērojot izņēmumus, kas noteikti kompetento iestāžu darbību, konkrētu personas datu kategoriju vai datu apstrādes darbību regulējošos normatīvajos aktos.
II nodaļa
Personas datu apstrādes principi
4. pants. Vispārīgie principi.
(1) Pārzinis nodrošina, ka personas dati:
1) tiek apstrādāti likumīgi un godprātīgi;
2) tiek vākti konkrētos, skaidros un tiesiskos nolūkos, un netiek apstrādāti ar minētajiem nolūkiem nesaderīgā veidā;
3) ir atbilstīgi, būtiski un nav pārmērīgi, ņemot vērā nolūkus, kādos tos apstrādā;
4) ir precīzi un aktuāli, kā arī tiek savlaicīgi laboti vai dzēsti, ja dati ir nepilnīgi vai neprecīzi saskaņā ar personas datu apstrādes nolūku;
5) tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju ne ilgāk, kā tas ir nepieciešams tiem nolūkiem, kādos personas datus apstrādā;
6) tiek apstrādāti tā, lai tiktu nodrošināta atbilstīga personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstīgus tehniskos vai organizatoriskos pasākumus.
(2) Personas datu apstrādi sākotnēji neparedzētā nolūkā tas pats vai cits pārzinis var veikt, ja:
1) personas datu apstrāde tiek veikta šā likuma 2. pantā minētajos nolūkos, tā ir nepieciešama, paredzēta normatīvajā aktā un samērīga ar sākotnēji neparedzēto nolūku;
2) personas datu apstrāde ir uzskatāma par arhivēšanu sabiedrības interesēs, izmantošanai zinātniskiem, statistikas vai vēsturiskiem mērķiem 2. pantā minētajos nolūkos un tiek nodrošinātas atbilstošas datu subjekta tiesības uz savu personas datu aizsardzību.
(3) Xxxxxxxx ir atbildīgs par personas datu apstrādes atbilstību šā panta pirmajā un otrajā daļā minētajām prasībām un tam jāspēj šī atbilstība uzskatāmi pierādīt.
5. Personas datu apstrādes likumīgums
(1) Personas datu apstrāde ir uzskatāma par likumīgu tikai tad un tiktāl, ciktāl šī apstrāde ir nepieciešama tā uzdevuma izpildei, ko kompetentā iestāde veic 2. pantā minētajos nolūkos, un uzdevums ir noteikts ar kompetentās iestādes darbību regulējošu normatīvo aktu.
(2) Datu apstrāde ir uzskatāma par likumīgu tikai tad, ja šīs datu apstrādes mērķis, apstrādājamo personas datu kategorijas, personas, kam ir tiesības apstrādāt personas datus, kā arī personas datu glabāšanas vai pārskatīšanas termiņš vai tā noteikšanas nosacījumi ir noteikti ar likumu.
6. Personas datu nošķiršana un kvalitātes pārbaude
(1) Pārzinis skaidri nošķir dažādu datu subjektu kategoriju personas datus.
(2) Pārzinis nošķir personas datus, kas balstās uz faktiem, no personas datiem, kas balstās uz personiskiem vērtējumiem.
(3) Pārzinis nodrošina, ka personas dati, kas ir neprecīzi, nepilnīgi vai nav aktuāli, netiek nosūtīti vai darīti pieejami. Kompetentā iestāde pirms personas datu nosūtīšanas pārbauda datu kvalitāti. Nosūtot personas datus, pārzinis pievieno nepieciešamo informāciju, kas ļauj datu saņēmējai - kompetentajai iestādei – izvērtēt personas datu precizitātes, pilnības un ticamības pakāpi, kā arī to aktualitāti.
(4) Ja kļūst zināms, ka ir nosūtīti nepareizi personas dati, vai personas dati ir nosūtīti nelikumīgi, par to nekavējoties informē saņēmēju. Šādā gadījumā personas datus labo vai dzēš, vai ierobežo to izmantošanu saskaņā ar 13. pantu.
(5) Šā panta pirmo, otro un trešo daļu, var nepiemērot, to attiecīgi pamatojot, ja tas nav iespējams, prasītu pārzinim nesamērīgas pūles, vai būtiski apdraudētu personas datu apstrādes nolūka sasniegšanu, kā arī ja tas ir samērīgi ar datu subjekta tiesību ierobežojumu.
7. pants. Specifiski apstrādes nosacījumi
(1) Personas datus, ko kompetentās iestādes vāc šā likuma 2. pantā minētajos nolūkos, neapstrādā citos nolūkos, izņemot, ja šāda apstrāde ir paredzēta normatīvajā aktā. Gadījumā, kad personas datus apstrādā citos nolūkos, piemēro Eiropas Parlamenta un Padomes regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Vispārīgā datu aizsardzības regula).
(2) Ja kompetentajai iestādei normatīvajā aktā ir noteikti uzdevumi, ko neaptver šā likuma 2. pantā minētais mērķis, šādu uzdevumu izpildei veiktajai personas datu apstrādei piemēro Vispārīgo datu aizsardzības regulu, tostarp arhivēšanai sabiedrības interesēs, zinātniskiem vai vēsturiskiem pētījumiem vai statistikas mērķiem.
(3) Pārzinis, nosūtot personas datus, informē saņēmēju par tiesību aktos noteiktajām personas datu apstrādes specifiskajām prasībām, kas kompetentajai iestādei ir jāievēro ,kā arī nepieciešamību saņēmējam šīs prasības ievērot.
(4) Kompetentā iestāde, kas nosūta personas datus, šā panta trešajā daļā minētos nosacījumus nepiemēro saņēmējiem citās Eiropas Savienības dalībvalstīs, Eiropas Ekonomikas zonas dalībvalstīs vai aģentūrās, birojos un struktūrās, kas izveidoti, ievērojot Līguma par Eiropas Savienības darbību V sadaļas ceturto un piekto nodaļu, izņemot tos, kas piemērojami līdzīgām personas datu nosūtīšanām dalībvalstī, kurā atrodas kompetentā iestāde.
8. pants. Īpašu kategoriju personas datu apstrāde
Personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu apstrāde nolūkā veikt fiziskas personas viennozīmīgu identifikāciju, vai tādu datu apstrāde, kas attiecas uz veselību vai uz fiziskas personas dzimumdzīvi vai seksuālo orientāciju, ir atļauta tikai tad, ja tas ir nepieciešams, uz to attiecas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām, un:
personas datu apstrādi paredz normatīvais akts;
2) personas datu apstrāde nepieciešama, lai aizsargātu vitālas datu subjekta vai citas fiziskas personas intereses;
3) personas datu apstrāde attiecas uz personas datiem, kurus datu subjekts pats ir publiskojis.
9. Automatizēta individuālu lēmumu pieņemšana
(1) Tādu lēmumu pieņemšana, kas balstās uz automātisku apstrādi, tostarp uz profilēšanu un kas rada nelabvēlīgas tiesiskas sekas attiecībā uz datu subjektu vai būtiski viņu ietekmē, ir aizliegta, izņemot gadījumus, kad tas tieši paredzēts normatīvajā aktā, kas regulē personas datu apstrādi, un šajā normatīvajā aktā ir paredzētas atbilstošas garantijas attiecībā uz datu subjekta tiesībām un brīvībām.
(2) Šā panta pirmajā daļā minētos lēmumu nepamato ar īpašām personas datu kategorijām, kas minētas šā likuma 8. pantā, izņemot, ja tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.
(3) Profilēšana, kas izraisa diskrimināciju pret fiziskām personām, pamatojoties uz šā likuma 8. pantā minētajiem īpašu kategoriju personas datiem, ir aizliegta.
III nodaļa
Datu subjekta tiesības
10. Datu subjekta tiesību īstenošanas kārtība
(1) Xxxxxxxx informāciju par datu subjekta tiesībām sniedz kodolīgā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Ja datu subjekts nav norādījis citādi un tas ir tehniski iespējams, pārzinis informāciju sniedz tādā pašā veidā, kādā ir sniegts pieprasījums.
(2) Pārzinis bez nepamatotas kavēšanās, bet ne vēlāk kā mēneša laikā no pieprasījuma saņemšanas sniedz atbildi datu subjektam, informējot par pasākumiem, kas tiks veikti saistībā ar tā pieprasījumu.
(3) Pārzinis nodrošina, ka datu subjekts šajā likumā noteiktās datu subjekta tiesības var īstenot bez maksas. Xxxxxxxx var atteikties izpildīt pieprasījumā ietverto lūgumu, ja tas nav samērojams ar iestādes rīcībā esošajiem resursiem, proti, pieprasījuma vai tā izpildes nosacījumu izpildes rezultātā ir apdraudēts pārziņa darbs vai citu personu tiesības. .
(4) Ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz pieprasījumi, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.
11. pants. Datu subjekta informēšana
(1) Pārzinis dara pieejamu vismaz šādu informāciju:
1) pārziņa nosaukums un kontaktinformācija;
2) datu aizsardzības speciālista kontaktinformācija;
3) paredzētais personas datu apstrādes nolūks;
4) tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;
5) to, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, un personas datu attiecībā uz datu subjektu apstrādes ierobežošanu.
(2) Ja tas nepieciešams datu subjekta tiesību vai tiesisko interešu aizsardzībai, pārzinis datu subjektam konkrētos gadījumos sniedz šādu informāciju:
1) personas datu apstrādes tiesiskais pamats;
2) personas datu glabāšanas termiņš, vai, ja tas nav iespējams, kritēriji, kas izmantoti termiņa noteikšanai;
3) personas datu saņēmēju kategorijas, tostarp trešajās valstīs vai starptautiskajās organizācijās;
4) ja nepieciešams, papildu informāciju, jo īpaši tad, ja personas datus vāc bez datu subjekta ziņas.
(3) Šā panta otro daļu nepiemēro, ja likumā, kas regulē konkrēto personas datu apstrādi ir paredzēta personas datu apstrāde, neinformējot datu subjektu, vai attiecībā uz personas datiem, kas ietverti tiesas nolēmumā vai reģistrā, vai lietas materiālos, ko apstrādā kriminālprocesa, administratīvo pārkāpumu procesa vai soda izpildes gaitā, likums paredz citādu datu subjekta informēšanas kārtību.
(4) Šā panta trešajā daļā minēto ierobežojumu nosaka ar mērķi:
1) novērst, ka tiek traucētas oficiālās vai juridiskas pārbaudes, izmeklēšana vai procedūras;
2) novērst, ka tiek kaitēts noziedzīgu nodarījumu, administratīvo pārkāpumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu vai administratīvo sodu izpildei;
3) aizsargāt sabiedrisko drošību;
4) aizsargāt valsts drošību;
5) aizsargāt citu personu tiesības un brīvības.
12. pants. Datu subjekta piekļuves tiesības
(1) Datu subjektam ir tiesības saprātīgā laika posmā, bet ne vēlāk kā mēneša laikā saņemt no pārziņa apstiprinājumu par to, vai tiek apstrādāti personas dati, kas attiecas uz viņu, kā arī piekļūt šādai informācijai:
1) personas datu apstrādes nolūks un tiesiskais pamats;
2) apstrādāto personas datu kategorijas;
3) personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti;
4) personas datu glabāšanas termiņš, vai, ja tas nav iespējams, kritēriji, kas izmantoti termiņa noteikšanai;
5) tiesības pieprasīt pārzinim datu subjekta personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu;
6) tiesības iesniegt sūdzību uzraudzības iestādē un uzraudzības iestādes kontaktinformācija;
7) paziņojums par apstrādātajiem personas datiem un visu pieejamo informāciju par to izcelsmi.
(2) Šā panta pirmo daļu nepiemēro, ja likumā, kas regulē konkrēto personas datu apstrādi ir paredzēta personas datu apstrāde, ierobežojot datu subjekta piekļuves tiesības, vai attiecībā uz personas datiem, kas ietverti tiesas nolēmumā vai reģistrā, vai lietas materiālos, ko apstrādā, kriminālprocesa, administratīvo pārkāpumu procesa vai soda izpildes gaitā, likums paredz citādu datu subjekta tiesību īstenošanas kārtību.
(3) Šā panta trešajā otrajā minēto ierobežojumu nosaka ar mērķi:
1) novērst, ka tiek traucētas oficiālās vai juridiskas pārbaudes, izmeklēšana vai procedūras;
2) novērst, ka tiek kaitēts noziedzīgu nodarījumu, administratīvo pārkāpumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu vai administratīvo sodu izpildei;
3) aizsargāt sabiedrisko drošību;
4) aizsargāt valsts drošību;
5) aizsargāt citu personu tiesības un brīvības.
(4) Šā panta otrajā daļā minētajā gadījumā pārzinis bez nepamatotas kavēšanās, bet ne vēlāk kā mēneša laikā rakstiski informē datu subjektu par atteikumu vai ierobežojumiem piekļūt personas datiem un par atteikuma vai ierobežojuma iemesliem. Šādu informāciju var nesniegt, ja tās sniegšana apdraudētu kādā no otrajā daļā minētajiem nolūkiem sasniegšanu. Šādā gadījumā pārzinis informē datu subjektu par tiesībām iesniegt sūdzību uzraudzības iestādē vai vērsties tiesā.
(5) Pārzinis nodrošina iespēju uzraudzības iestādei pēc tās pieprasījuma iepazīties ar lēmumu un visu informāciju, kas ir lēmuma pieņemšanas pamatā.
13. Tiesības uz personas datu labošanu, dzēšanu vai personas datu apstrādes ierobežošanu
(1) Datu subjektam, iesniedzot pamatotu pieprasījumu un nepieciešamo informāciju, ir tiesības prasīt, lai pārzinis bez nepamatotas kavēšanas papildina vai izlabo viņa personas datus, kas ir neprecīzi vai nepilnīgi.
(2) Ja personas datu apstrāde pārkāpj šā likuma 4., 5. vai 8. pantu, datu subjektam ir tiesības prasīt, lai pārzinis, bez nepamatotas kavēšanās, bet ne vēlāk kā mēneša laikā dzēš viņa personas datus. Personas dati ir jādzēš arī, lai izpildītu pienākumu, kas pārzinim noteikts normatīvajā aktā, tiesas nolēmumā vai citas iestādes saistošā lēmumā.
(3) Pārzinis personas datus nedzēš, bet ierobežo to apstrādi, ja:
1) datu subjekts apstrīd personas datu precizitāti un to precizitāti vai neprecizitāti nevar noteikt;
2) personas dati ir jāsaglabā pierādījumu nolūkā.
(4) Pārzinis mēneša laikā no pieprasījuma iesniegšanas dienas sniedz datu subjektam rakstveida atbildi par pieprasījuma izskatīšanu un veiktajām darbībām saistībā ar pieprasījumu.
(5) Xxxxxxxx informē datu subjektu par tiesībām iesniegt sūdzību uzraudzības iestādē vai tiesā.
(6) Ja personas datu apstrāde ir ierobežota, ievērojot šā panta otrās daļas 1. punktu, pārzinis informē datu subjektu pirms personas datu apstrādes ierobežojuma atcelšanas.
(7) Pārzinis datu subjektam šajā pantā minēto informāciju nesniedz, ja likumā, kas regulē konkrēto personas datu apstrādi ir paredzēta personas datu apstrāde, neinformējot datu subjektu, vai attiecībā uz personas datiem, kas ietverti tiesas nolēmumā vai reģistrā, vai lietas materiālos, ko apstrādā kriminālprocesa, administratīvo pārkāpumu procesa vai soda izpildes gaitā, likums paredz citādu datu subjekta tiesību īstenošanas kārtību.
(8) Šā panta septītajā daļā minēto ierobežojumu nosaka ar mērķi:
1) novērst, ka tiek traucētas oficiālās vai juridiskas pārbaudes, izmeklēšana vai procedūras;
2) novērst, ka tiek kaitēts noziedzīgu nodarījumu, administratīvo pārkāpumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem, vai kriminālsodu vai administratīvo sodu izpildei;
3) aizsargāt sabiedrisko drošību;
4) aizsargāt valsts drošību;
5) aizsargāt citu personu tiesības un brīvības.
(9) Pārzinis par neprecīzo personas datu labošanu informē kompetento iestādi, no kuras iegūti neprecīzie dati.
(10) Gadījumos, kad pārzinis labo, dzēš vai ierobežo personas datu apstrādi, pārzinis par to paziņo saņēmējiem, un saņēmēji personas datus labo, dzēš vai ierobežo personas datu apstrādi.
14. pants. Datu subjekta tiesību īstenošana ar uzraudzības iestādes starpniecību
(1) Šā likuma 11. panta trešajā daļā, 12. panta otrajā daļā un 13. panta septītajā daļā minētajos gadījumos, datu subjektam ir tiesības iesniegt pieprasījumu par savu personas datu apstrādi vai par savu personas datu apstrādes pārbaudi uzraudzības iestādē.
(2) Ja datu subjekts šā panta pirmajā daļā minēto pieprasījumu ir iesniedzis pārzinim, pārzinis 10 darba dienu laikā pārsūta pieprasījumu uzraudzības iestādei, informējot par to datu subjektu.
(3) Pēc nepieciešamo pārbaužu veikšanas uzraudzības iestāde informē datu subjektu vismaz par to, ka uzraudzības iestāde ir veikusi visas nepieciešamās pārbaudes, kā arī informē datu subjektu par viņa tiesībām pārsūdzēt uzraudzības iestādes un pārziņa rīcību. Atbildi sniedz Administratīvā procesa likumā noteiktajos termiņos.
IV nodaļa
Pārzinis un apstrādātājs
15. pants. Pārziņa pienākumi
(1) Pārzinis, ņemot vērā personas datu apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un pakāpes riskus attiecībā uz fiziskas personas tiesībām un brīvībām, īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, tostarp ieviešot nepieciešamos loģiskās un fiziskās aizsardzības līdzekļus, lai nodrošinātu un spētu uzskatāmi pierādīt, ka apstrāde notiek saskaņā ar šajā likumā noteiktajām prasībām. Minētos pasākumus regulāri pārskata un atjaunina.
(2) Pārzinis īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tie personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez fiziskas personas līdzdalības nedara pieejamus nenoteiktam personu skaitam.
(3) Ja normatīvajos aktos nav noteikts citādi, kopīgie pārziņi rakstveidā vienojas par savstarpējiem pienākumiem, lai izpildītu šajā likumā noteiktos pienākumus.
16. Apstrādātājs
(1) Personas datu apstrādi pārzinis var uzticēt apstrādātājam, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstīgi tehniskie un organizatoriskie pasākumi, kā arī nodrošināta datu subjekta tiesību aizsardzība.
(2) Apstrādātājs citu apstrādātāju piesaista tikai, ja ir saņemta pārziņa rakstveida piekrišana. Apstrādātājs informē pārzini pirms jebkurām pārmaiņām saistībā ar papildu apstrādātāju vai pirms apstrādātāja aizstāšanas.
(3) Personas datu apstrādi pārzinis apstrādātājam uztic, noslēdzot rakstveida vienošanos. Vienošanās norāda personas datu apstrādes priekšmetu un ilgumu, apstrādes raksturu un nolūku, personas datu un datu subjektu kategorijas un pārziņa pienākumus un tiesības.
(4) Papildus šā panta trešajā daļā minētajam vienošanās tiek paredzēti nosacījumi, kas nodrošina, ka apstrādātājs:
1) rīkojas tikai saskaņā ar pārziņa norādījumiem;
2) nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti;
3) palīdz pārzinim, izmantojot jebkādus atbilstīgus līdzekļus, lai nodrošinātu atbilstību noteikumiem par datu subjekta tiesībām;
4) pēc datu apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus pārzinim un dzēš esošās kopijas, ja vien normatīvie akti neparedz personas datu glabāšanu;
5) pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai uzskatāmi parādītu atbilstību šim pantam;
6) izpilda šajā pantā minētos nosacījumus cita apstrādātāja piesaistīšanai.
(5) Ja apstrādātājs, pārkāpjot šajā likumā noteikto, nosaka apstrādes nolūkus un līdzekļus, minēto apstrādātāju uzskata par pārzini attiecībā uz konkrēto personas datu apstrādi.
(6) Ja apstrādātāju nosaka normatīvajā aktā, tajā ietver šā panta trešajā un ceturtajā daļā minētos nosacījumus.
17. pants. Apstrāde pārziņa vai apstrādātāja pakļautībā
(1) Apstrādātājs un jebkura personas, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, personas datus apstrādā tikai tad, ja pārzinis ir devis šādus norādījumus vai datu apstrāde paredzēta normatīvajā aktā.,.
(2) Fiziskas personas, kuras tiek iesaistītas personas datu apstrādē, rakstveidā apņemas saglabāt un nelikumīgi neizpaust personas datus. Šo personu pienākums ir neizpaust personas datus arī pēc dienesta vai darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās.
18. pants. Apstrādes darbību reģistrēšana
(1) Pārzinis apkopo un uztur informāciju par apstrādes darbībām, par kurām tas ir atbildīgs, šādā apjomā:
1) pārziņa vai visu kopīgo pārziņu nosaukums un kontaktinformācija;
2) apstrādātāja nosaukums un reģistrācijas numurs, adrese un kontaktinformācija;
3) datu aizsardzības speciālista vārds, uzvārds (juridiskajai personai – nosaukums un reģistrācijas numurs) un kontaktinformācija;
4) personas datu apstrādes nolūki;
5) personas datu apstrādes tiesiskais pamats;
6) to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijās;
7) datu subjektu kategorijas un kategoriju apraksts, tostarpkategorijas, kurās ietilpst personas datu sūtījumi uz trešo valsti vai starptautiskai organizācijai;
8) informācija par profilēšanas izmantošanu;
9) termiņi dažādu kategoriju personas datu dzēšanai;
10) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību.
(2) Apstrādātājs izveido un uztur reģistru ar visu kategoriju apstrādes darbībām, kas veiktas pārziņa vārdā. Reģistrā ietver vismaz šādu informāciju:
1) apstrādātāja vai apstrādātāju, katra pārziņa, kura vārdā apstrādātājs darbojas, vārds uzvārds, (juridiskai personai – nosaukums un reģistrācijas numurs) un kontaktinformācija;
2) datu aizsardzības speciālista vārds uzvārds, personas kods un kontaktinformācija;
3) katra pārziņa vārdā veiktās apstrādes kategorijas;
4) informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju;
5) tehniskie un organizatoriskie pasākumi, kas nodrošina personas datu aizsardzību.
(3) Šā panta pirmajā un otrajā daļā minēto informāciju pēc to pieprasījuma bez maksas sniedz uzraudzības iestādei.
19. pants. Ierakstu veikšana
(1) Pārzinis nodrošina ierakstu veikšanu vismaz par šādām darbībām automatizētās apstrādes sistēmās: vākšana, pārveidošana, izpaušana, tostarp nosūtīšana, kombinēšana un dzēšana. Ierakstos par aplūkošanu un izpaušanu nodrošina iespēju noteikt šādu darbību pamatojumu, datumu un laiku, un, ciktāl iespējams, tās personas identificēšanu, kura aplūkoja vai izpauda personas datus, kā arī šādu personas datu saņēmēju identitāti.
(2) Ierakstus izmanto tikai, lai pārbaudītu apstrādes likumīgumu, veiktu pašuzraudzību, nodrošinātu personas datu integritāti un drošību, kriminālprocesa, administratīvo pārkāpumu procesa un soda izpildes vajadzībām.
(3) Pārzinis un apstrādātājs ierakstus sniedz uzraudzības institūcijai pēc tās pieprasījuma.
20. pants. Sadarbība ar uzraudzības iestādi
Pārzinis un apstrādātājs sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē.
21. pants. Novērtējums par ietekmi uz datu aizsardzību
(1) Xxxxxxxx sagatavo novērtējumu par ietekmi uz datu aizsardzību, ietverot tajā arī riska analīzi un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.
(2) Nosacījumus novērtējuma par ietekmi uz datu aizsardzību, tā sagatavošanas un iesniegšanas kārtību, kā arī termiņu nosaka Ministru kabinets.
22. pants. Iepriekšēja apspriešanās ar uzraudzības institūciju
(1) Pārzinis vai apstrādātājs pirms tādu personas datu apstrādes, ko ietvers informācijas sistēmā, apspriežas ar uzraudzības iestādi vienā no šādiem gadījumiem:
1) novērtējumā par ietekmi uz datu aizsardzību ir konstatēts, ka gadījumā, ja pārzinis neveiks pasākumus riska samazināšanai, apstrāde radīs augstu risku;
2) apstrādes veids, jo īpaši, izmantojot jaunas tehnoloģijas, mehānismus vai procedūras, ir saistīts ar augstu risku datu subjektu tiesībām un brīvībām;
3) uzraudzības institūcija datu apstrādi identificējusi kā tādu, kur iespējami riski datu subjektu tiesībām un brīvībām.
(2) Uzraudzības iestāde sniedz viedokli par ietekmes novērtējumā uz datu aizsardzību konstatēto sešu nedēļu laikā pēc iepriekšējas apspriešanās pieprasījuma saņemšanas. Ņemot vērā paredzētās apstrādes sarežģītību, termiņu var pagarināt uz vienu mēnesi, par to attiecīgi informējot pārzini vai apstrādātāju.
(3) Uzraudzības iestāde sniedz viedokli par normatīvo aktu projektiem, kas paredz personas datu apstrādi.
23. pants. Personas datu aizsardzības pārkāpuma paziņošana uzraudzības institūcijai
(1) Ja noticis personas datu aizsardzības pārkāpums, pārzinis nekavējoties, bet ne vēlāk kā 72 stundu laikā pēc tam, kad pārkāpums tam kļuvis zināms, par to paziņo uzraudzības institūcijai. Ja pamatotu iemeslu dēļ 72 stundu termiņu nav iespējams ievērot, pārzinis, sniedzot paziņojumu uzraudzības institūcijai, pievieno tam kavēšanās iemeslu izklāstu.
(2) Apstrādātājs, tiklīdz tam ir kļuvis zināms personas datu aizsardzības pārkāpums, nekavējoties par to ziņo pārzinim.
(3) Šā panta pirmajā daļā minētajā paziņojumā ietver vismaz šādu informāciju:
1) apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;
2) datu aizsardzības speciālista vārdu, uzvārdu un kontaktinformāciju vai norāda citu kontaktpersonu, kas var sniegt papildu informāciju;
3) apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;
4) apraksta pasākumus, ko pārzinis ir veicis, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.
(4) Ja šā panta trešajā daļā minēto informāciju nav iespējams sniegt vienlaikus ar paziņojumu par personas datu aizsardzības pārkāpumu, to sniedz atsevišķi, tiklīdz tā ir pieejama.
(5) Par personas datu aizsardzības pārkāpumu uzraudzības institūcijai var neziņot, ja tas nerada risku fizisko personu tiesībām un brīvībām.
(6) Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minēto informāciju dara pieejamu uzraudzības institūcijai pēc tās pieprasījuma.
(7) Ja par personas datu aizsardzības pārkāpumu ir jāziņo uzraudzības iestādei un tas ietver personas datus, ko ir nosūtījis citas Eiropas Savienības dalībvalsts pārzinis vai kas ir nosūtīti citas Eiropas Savienības dalībvalsts pārzinim, šā panta trešajā daļā minēto informāciju pārzinis bez nepamatotas kavēšanās paziņo šīs Eiropas Savienības dalībvalsts pārzinim.
(8) Kompetentās iestādes izveido efektīvus mehānismus, lai nodrošinātu konfidenciālu ziņošanu uzraudzības iestādei par šā likuma pārkāpumiem.
24. pants. Paziņošana datu subjektam par personas datu aizsardzības pārkāpumu
(1) Ja datu aizsardzības pārkāpums varētu radīt augstu risku fizisko personu tiesībām un brīvībām, pārzinis nekavējoties, bet ne vēlāk kā 72 stundu laikā pēc tam, kad pārkāpums tam kļuvis zināms, paziņo datu subjektam par personas datu aizsardzības pārkāpumu.
(2) Šā panta pirmajā daļā minētajā paziņojumā datu subjektam apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 23. panta trešās daļas 2., 3. un 4. punktā minēto informāciju un veiktos pasākumus datu aizsardzības pārkāpuma novēršanai.
(3) Paziņojumu par personas datu aizsardzības pārkāpumu datu subjektam var nesniegt, ja ir izpildīts viens no šādiem nosacījumiem:
1) pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus, un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem;
2) pārzinis ir veicis pasākumus, kas nodrošina, ka tiek novērsta šā panta pirmajā daļā minētā augstā riska attiecībā uz datu subjekta tiesībām un brīvībām iestāšanās;
3) datu subjekta informēšana prasītu nesamērīgi lielas pūles. Šādā gadījumā informēšanu veic, izmantojot publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.
(4) Neatkarīgi no šā panta trešajā daļā minētajiem nosacījumiem, uzraudzības institūcija var pieprasīt pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu.
(5) Paziņojumu datu subjektam par personas datu aizsardzības pārkāpumu datu subjektam var atlikt, ierobežot vai nesniegt, ievērojot nosacījumus un pamatojoties uz iemesliem, kas minēti 11. panta ceturtajā daļā.
25. pants. Datu aizsardzības speciālista iecelšana
(1) Pārzinis, izņemot tiesu iestādes, ieceļ datu aizsardzības speciālistu.
(2) Vienu datu aizsardzības speciālistu var iecelt vairākām iestādēm, ņemot vērā to organizatorisko uzbūvi un lielumu.
(3) Pārzinis paziņo par personas datu aizsardzības speciālista iecelšanu uzraudzības institūcijai, kā ari publicē mājaslapā speciālista vārdu, uzvārdu, kontaktinformāciju un termiņu, uz kādu persona iecelta
26. pants. Datu aizsardzības speciālista statuss
(1) Pārzinis datu aizsardzības speciālistu pienācīgi un laicīgi iesaista visos jautājumos saistībā ar personas datu aizsardzību.
(2) Pārzinis atbalsta datu aizsardzības speciālistu tā uzdevumu izpildē, nodrošinot resursus, kas nepieciešami minēto uzdevumu veikšanai, un piekļuvi personas datiem un apstrādes darbībām, kā arī nodrošina iespēju datu aizsardzības speciālistam uzturēt speciālās zināšanas personas datu apstrādes jomā.
(3) Uz datu aizsardzības speciālistu tiek attiecināti Vispārīgās datu aizsardzības regulā ietvertais tiesiskais regulējums.
27. pants. Datu aizsardzības speciālista uzdevumi
(1) Datu aizsardzības speciālistam ir vismaz šādi uzdevumi:
1) informēt un konsultēt pārzini un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo likumu un citiem normatīvajiem aktiem par datu aizsardzību;
2) uzraudzīt pārziņa izstrādātās datu apstrādes politikas atbilstību šim likumam un citiem normatīvajiem aktiem par datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;
3) pēc pieprasījuma sniegt padomu attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu;
4) sadarboties ar uzraudzības institūciju;
5) būt par uzraudzības institūcijas kontaktpersonu jautājumos, kas saistīti ar apstrādi;
6) izveidot un uzturēt šā likuma 18. pantā minēto reģistru
(2) Pārzinis var noteikt datu aizsardzības speciālistam arī citus, šā panta pirmajā daļā neminētus uzdevumus.
V nodaļa
Personas datu nosūtīšana uz trešajām valstīm vai starptautiskām organizācijām
28. pants. Personas datu nosūtīšanas vispārīgie principi
(1) Personas datus uz trešo valsti vai starptautisku organizāciju nosūta tikai tad, ja:
1) nosūtīšana ir nepieciešama 2. pantā minētajos nolūkos,
2) personas dati tiek nosūtīti tādam pārzinim trešajā valstī vai starptautiskā organizācijā, kas ir iestāde, kura ir kompetenta 2. pantā minētajos nolūkos,
3) ja personas datus ir nosūtījusi vai darījusi pieejamus kāda cita Eiropas Savienības vai Eiropas Ekonomiskās zonas dalībvalsts, tad minētā dalībvalsts nosūtīšanai ir devusi iepriekšēju atļauju saskaņā ar savas valsts tiesībām,
4) Eiropas Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, tiek sniegtas vai pastāv atbilstošas garantijas saskaņā ar šā likuma 30. pantu, vai ir piemērojamas atkāpes īpašās situācijās saskaņā ar 31. pantu,
5) ja dati tiek nosūtīti tālāk uz kādu citu trešo valsti vai starptautisku organizāciju, sākotnējo nosūtīšanu veikusī kompetentā iestāde vai kāda cita tās pašas Eiropas Savienības dalībvalsts kompetentā iestāde dod atļauju tālākai nosūtīšanai pēc tam, kad tā ir pienācīgi ņēmusi vērā visus būtiskos faktorus, tostarp noziedzīgā nodarījuma vai administratīvā pārkāpuma smagumu, mērķi, kādam personas dati sākotnēji tika nosūtīti, un personas datu aizsardzības līmeni trešajā valstī vai starptautisaā organizācijā, uz kuru personas dati tiek nosūtīti.
(2) Personas datus var nosūtīt uz trešo valsti vai starptautisku organizāciju, nepiemērojot šā panta pirmās daļas 3. punktu, ja personas datu nosūtīšana ir nepieciešama, lai novērstu tiešus un nopietnus draudus kādas Eiropas Savienības dalībvalsts, Eiropas Ekonomiskas zonas vai trešās valsts sabiedriskajai drošībai vai kādas Eiropas Savienības dalībvalsts būtiskām interesēm, un nav iespējams iegūt iepriekšēju atļauju. Šādā gadījumā nekavējoties informē iestādi, kas atbildīga par iepriekšējas atļaujas sniegšanu.
(3) Visus šīs nodaļas noteikumus piemēro tā, lai nodrošinātu, ka nemazinās ar šo likumu nodrošinātais fizisko personu aizsardzības līmenis.
29. pants. Nosūtīšana, kurai piemērojamas atbilstošas garantijas
(1) Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību, pārzinis personas datus uz trešo valsti vai starptautisku organizāciju var nosūtīt, ja:
1) pārzinim saistošā tiesību aktā vai līgumā ir paredzētas atbilstošas garantijas attiecībā uz personas datu aizsardzību;
2) pārzinis ir izvērtējis visus apstākļus saistībā ar personas datu nosūtīšanu un secina, ka pastāv atbilstošas garantijas attiecībā uz personas datu aizsardzību. Par šādu datu sūtījumu kategorijām pārzinis informē uzraudzības institūciju.
(2) Ja personas datus nosūta, pamatojoties uz šā panta pirmās daļas 2. punktu, šādu datu sūtījumu dokumentē, norādot vismaz nosūtīšanas datumu un laiku, informāciju par saņēmēju kompetento iestādi, nosūtīšanas pamatojumu un nosūtītos personas datus. Dokumentāciju sniedz uzraudzības institūcijai pēc tās pieprasījuma.
30. pants. Atkāpes īpašās situācijās
(1) Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai nav nodrošinātas atbilstošas garantijas, personas datus uz trešo valsti vai starptautisku organizāciju var nosūtīt, ja nosūtīšana ir nepieciešama:
1) lai aizsargātu datu subjekta vai citas personas vitālas intereses;
2) lai aizsargātu leģitīmas datu subjekta intereses gadījumos, kad nosūtīšana ir paredzēta normatīvajā aktā;
3) lai novērstu tiešus un nopietnus draudus kādas Eiropas Savienības dalībvalsts, Eiropas Ekonomiskās zonas dalībvalsts vai trešās valsts sabiedriskajai drošībai;
4) atsevišķā gadījumā šā likuma 2. pantā minētajos nolūkos;
5) atsevišķā gadījumā, lai celtu, īstenotu vai aizstāvētu likumīgas prasības saistībā ar šā likuma 2. pantā minētajiem nolūkiem.
(2) Personas datus nenosūta, ja nosūtītājiestāde konstatē, ka šā panta pirmās daļas 4. un 5. punktā minētās nosūtīšanas gadījumā attiecīgā datu subjekta pamattiesības un pamatbrīvības ir svarīgākas par sabiedrības interesēm.
(3) Pārzinis personas datu nosūtīšanu dokumentē, ietverot tajā vismaz personas datu nosūtīšanas datumu un laiku, informāciju par saņēmēju kompetento iestādi, nosūtīšanas pamatojumu un nosūtītos personas datus. Dokumentāciju sniedz uzraudzības institūcijai pēc tās pieprasījuma.
31. pants. Personas datu nosūtīšana saņēmējiem, kas veic uzņēmējdarbību trešajās valstīs
(1) Atkāpjoties no šā likuma 29. panta pirmās daļas 2. punkta, ja tas nepārkāpj starptautisku nolīgumu vai citus normatīvos aktus, šā likuma 3. panta otrajā daļā minētās kompetentās iestādes atsevišķos un īpašos gadījumos saņēmējiem, kas veic uzņēmējdarbību trešajās valstīs, personas datus var tieši nosūtīt, ja ir ievēroti visi šā likuma nosacījumi un:
1) nosūtīšana ir absolūti nepieciešama kāda kompetentās iestādes uzdevuma veikšanai saskaņā ar likumu,
2) kompetentā iestāde konstatē, ka attiecīgā datu subjekta pamattiesības un pamatbrīvības nav svarīgākas par sabiedrības interesēm, kuru dēļ konkrētajā gadījumā ir nepieciešama nosūtīšana,
3) kompetentā iestāde uzskata, ka nosūtīšana iestādei, kas trešā valstī ir kompetenta šā likuma 2. pantā minētajos nolūkos, ir neefektīva vai nepiemērota, jo īpaši tādēļ, ka nosūtīšana nav paveicama laikus,
4) iestāde, kas ir kompetenta šā likuma 2. pantā minētajos nolūkos trešā valstī, tiek informēta bez nepamatotas kavēšanās, ja vien tas nav neefektīvi vai nepiemēroti,
5) kompetentā iestāde informē saņēmēju par to, kādam konkrētam mērķim vai mērķiem tā personas datus drīkst apstrādāt ar noteikumu, ka šāda datu apstrāde ir nepieciešama.
(2) Nosūtošā kompetentā iestāde personas datu nosūtīšanu dokumentē, ietverot tajā vismaz personas datu nosūtīšanas datumu un laiku, informāciju par saņēmēju, nosūtīšanas pamatojumu un nosūtītos personas datus. Par jebkuru personas datu nosūtīšanu, pamatojoties uz šo pantu, nosūtošā kompetentā iestāde informē uzraudzības institūciju.
VI nodaļa
Uzraudzības iestāde
32. pants. Uzraudzības iestāde
(1) Personas datu uzraudzību un šā likuma ievērošanu veic Datu valsts inspekcija. Datu valsts inspekcijas kompetenci, uzdevumus un statusu nosaka Personas datu apstrādes likums, ja vien šajā likumā nav noteikts citādi.
(2) Datu valsts inspekcijas kompetencē nav uzraudzīt apstrādes darbības, ko veic tiesa, pildot tiesas funkciju, kā arī datu apstrādes darbības, kuras kompetentā iestāde veic operatīvās izziņas pasākumu ietvaros
33. pants. Datu subjekta tiesības iesniegt sūdzību
Datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, kā arī vērsties tiesā pret uzraudzības iestādi un pārzini vai apstrādātāju, ievērojot Personas datu apstrādes likumā noteikto.
Pārejas noteikums
Pārzinis automatizēto sistēmu, kas izveidotas pirms 2016. gada 6. maija, atbilstību šā likuma 21. panta pirmajai daļai nodrošina līdz 2023. gada 6. maijam.
Informatīva atsauce uz Eiropas Savienības direktīvu
Likumā iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa direktīvas (ES) 2016/680 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI
TMLik_120917_PolDir