Jau no 2000.gada 6.aprīļa ir spēkā LR “Fizisko personu datu aizsardzības likums”, saskaņā ar kuru visas valsts un pašvaldības struktūras, citas fiziskās un juridiskās personas, kuras veic vai vēlas uzsākt personas datu apstrādi un izveido personas datu apstrādes sistēmas, reģistrē tās Datu valsts inspekcijā. Saskaņā ar minētā likuma pārejas noteikumiem visas augstāk minētās institūcijas un personas, kuras darbību uzsākušas pirms likuma “Fizisko personu datu aizsardzības likums” stāšanās spēkā, reģistrējas Datu valsts inspekcijā līdz 2003.gada 1.martam, bet personas datu apstrādes sistēmas, kuras līdz šim likums neuzlika par pienākumu (piemēram, pēc 2000.gada 6.aprīļa) jāreģistrē Datu valsts inspekcijā līdz 2003.gada 1.jūlijam. Kas ir pati datu apstrādes sistēma, kāda ir tā reģistrācijas kārtība, kā arī – kādas prasības ir jāievēro, izveidojot un aizsargājot personas datu apstrādes sistēmas – tādus jautājumus mēs arī mēģināsim izskatīt šajā rakstā.
Likuma ““Fizisko personu datu aizsardzības likums” izpratnē personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošus kritērijus. Personas dati — jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu. Tādejādi – praktiski jebkuras datu bāzes, kuras tiek veidotas uzņēmumos, ir jēreģistrē. Tiek pieļauti izņēmumi, bet sakarā ar pastāvošo vispārējo datorizāciju, tos nevarēs tik bieži izmantot praksē. Saskaņā ar LR likuma “Fizisko personu datu aizsardzības likums” 21.panta 2.daļu šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi grāmatvedības un personāla uzskaites vajadzībām, ja personas dati netiek uzkrāti elektroniskā veidā, kā arī uz Civillikumā minēto konfesiju reliģisko organizāciju veidotām personas datu apstrādes sistēmā. Pati datu apstrādes sistēmas reģistrēšanas procedūra nav tik sarežģīta – atliek tikai iesniegt noteikta parauga pieteikumu, pievienot kvīti par valsts nodevas samaksu (aptuveni 30 latu) un iziet pārbaudi. Bet informācijas apjoms, kas ietverts iesniegumā, un prasības, kurām jāatbilst sistēmai, ir pietiekami liels, kam arī jāpievērš īpaša uzmanība. Piemēram, institūcijas un personas, kas vēlas uzsākt personas datu apstrādi un izveidot personas datu apstrādes sistēmu, iesniedz Datu valsts inspekcijai reģistrācijas pieteikumu, kurā jānorāda:
Pēc personas datu apstrādes sistēmas reģistrēšanas Datu valsts inspekcija pieteikuma iesniedzējam reģistrācijas apliecību.
Datu valsts inspekcija var atteikties reģistrēt personas datu apstrādes sistēmu, ja:
Pirms Datu valsts inspekcija reģistrē datu apstrādes sistēmas, tā novērtē un nosaka sistēmu. Tāpēc, lai nesekotu reģistrācijas atteikums, izveidotajai sistēmai pilnībā jāatbilst Latvijas Republikā spēkā esošajai likumdosanai. Obligātās tehniskās un organizatoriskās prasības, kas regulē personas datu apstrādes sistēmas organizēšanu un aizsardzību ir noteiktas papildus normatīvajos dokumentos – LR MK Noteikumi Nr.40 no 2001.gada 30.janvāra ”Personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības”, kā arī LR MK Noteikumi Nr.106 no 2000.gada 21.marta “Informācijas sistēmu drošības noteikumi”.
Personas datu apstrādes sistēmu obligāto tehnisko aizsardzību veic ar fizisko un loģisko aizsardzības līdzekļu palīdzību, nodrošinot:
Veicot personas datu apstrādi, sistēmas pārzinis nodrošina:
Katrai personas datu apstrādes sistēmai jāizstrādā iekšējie datu apstrādes sistēmas aizsardzības noteikumi. Sistēmas pārzinis (fiziskā vai juridiskā persona, kura nosaka personas datu apstrādes sistēmas mērķus un apstrādes līdzekļus) katru gadu veic personas datu apstrādes sistēmu iekšējo auditu un sagatavo pārskatu par informācijas drošības jomā veiktajiem pasākumiem.
LR MK noteikumi Nr.106. no 2000.gada 21.marta “Informācijas sistēmu drošības noteikumi” nosaka personas datu apstrādes sistēmu kā informācijas sistēmu, kura minēto noteikumu izpratnē ir datu ievadīšanas, uzglabāšanas un apstrādes sistēma, kas paredz lietotājpieeju tajā glabātajiem datiem vai informācijai.
Lai izveidotu tādu sistēmu, pirmkārt, jānosaka un jāpiešķir vērtību un konfidencialitātes pakāpe, ja tāda pakāpe ir.
Informācijai var piešķirt vienu no šādām vērtības pakāpēm:
Informācijai var piešķirt vienu no šādām konfidencialitātes pakāpēm:
Kā arī uzņēmumā jābūt izstrādātiem iekšējās informācijas sistēmas drošības noteikumiem, un jānorīko personas, kas atbild par informācijas sistēmas drošību, t.sk. informācijas resursu turētāju un tehnisko resursu turētāju. Likums arī nosaka stingras prasības, kas saistītas ar informācijas sistēmu organizāciju, saskaņā ar kurām arī tiks veikta attiecīga kontrole. Piemēram, dators, kurā ir sevišķi slepenas pakāpes informācija, nedrīkst būt pieslēgts ārējiem tīkliem vai lokālajam tīklam, no kura ir iespējama izeja uz ārējiem tīkliem. Sevišķi slepenas pakāpes informāciju nepārraida pa ārējiem tīkliem. Ja lokālajam tīklam pieslēgti datori, kuros ir sevišķi slepenas vai slepenas pakāpes informācija, lokālā tīkla kabeļi nedrīkst šķērsot teritoriju, kurai nav nodrošināta informācijas sistēmas apdraudējumam atbilstoša fiziskā aizsardzība, un tīkla aparatūrai jāatrodas telpās ar informācijas sistēmas apdraudējumam atbilstošu fizisko aizsardzību. Telpām, kurās atrodas datori ar sevišķi slepenas, slepenas vai augsta riska pakāpes informāciju, nodrošina informācijas sistēmas apdraudējumam atbilstošu fizisko aizsardzību. Ja lokālajam tīklam pieslēgti datori, kuros ir informācija ar konfidencialitātes vai vērtības pakāpi, lokālo tīklu var pieslēgt ārējiem tīkliem tikai ar ugunsmūri (ugunsmūris – programmatūras un aparatūras komplekss, kas savieno lokālo tīklu ar ārējiem tīkliem, nodrošinot lokālajā tīklā savienoto informācijas sistēmu aizsardzību), nodrošinot informācijas sistēmas apdraudējumam atbilstošu lokālā tīkla loģisko aizsardzību. Ugunsmūris pārbauda elektroniskā pasta sūtījumus (arī pielikumu failus), vai tajos nav datora vīrusu. Datori, kas ārējiem tīkliem pieslēgti bez ugunsmūra, ir apgādāti ar datora vīrusu aizsardzības programmatūru, kas pārbauda visus elektroniskā pasta sūtījumus (arī pielikumu failus). Ja informācijas sistēmas lietotājam no ārējiem tīkliem ir atļauts piekļūt informācijai ar konfidencialitātes vai vērtības pakāpi, informācijas sistēmas lietotāja autentificēšanai izmanto kriptogrāfiskās metodes. Ja informācijas sistēmas lietotāja autentificēšana vairākas reizes pēc kārtas ir neveiksmīga, šī lietotāja piekļūšana informācijas sistēmai tiek bloķēta. Datu nesējus ar konfidencialitātes vai vērtības pakāpes informāciju nedrīkst atstāt vietās, kur nav nodrošināta informācijas sistēmas apdraudējumam atbilstoša fiziskā aizsardzība. Uz pārnēsājamiem datu nesējiem, kuros ir informācija ar konfidencialitātes vai vērtības pakāpi, norāda augstāko piešķirto informācijas konfidencialitātes un vērtības pakāpi.
Kā arī, vēlamies pievērst Jūsu uzmanību uz pilnvarām, kuras piemīt Datu valsts inspekcijai un tās darbiniekiem.
Saskaņā ar LR likumu “Fizisko personu datu aizsardzības likums” Datu valsts inspekcijai ir sekojošas tiesības:
Datu valsts inspekcijas direktoram un viņa pilnvarotajiem Datu valsts inspekcijas darbiniekiem, ir tiesības: