Fizisko un juridisko personu pienākums reģistrēties datu valsts inspekcijās

12.06.2003 Aleksandrs Koposovs, valdes loceklis

Jau no 2000.gada 6.aprīļa ir spēkā LR “Fizisko personu datu aizsardzības likums”, saskaņā ar kuru visas valsts un pašvaldības struktūras, citas fiziskās un juridiskās personas, kuras veic vai vēlas uzsākt personas datu apstrādi un izveido personas datu apstrādes sistēmas, reģistrē tās Datu valsts inspekcijā. Saskaņā ar minētā likuma pārejas noteikumiem visas augstāk minētās institūcijas un personas, kuras darbību uzsākušas pirms likuma “Fizisko personu datu aizsardzības likums” stāšanās spēkā, reģistrējas Datu valsts inspekcijā līdz 2003.gada 1.martam, bet personas datu apstrādes sistēmas, kuras līdz šim likums neuzlika par pienākumu (piemēram, pēc 2000.gada 6.aprīļa) jāreģistrē Datu valsts inspekcijā līdz 2003.gada 1.jūlijam. Kas ir pati datu apstrādes sistēma, kāda ir tā reģistrācijas kārtība, kā arī – kādas prasības ir jāievēro, izveidojot un aizsargājot personas datu apstrādes sistēmas – tādus jautājumus mēs arī mēģināsim izskatīt šajā rakstā.

Likuma ““Fizisko personu datu aizsardzības likums” izpratnē personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošus kritērijus. Personas dati — jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu. Tādejādi – praktiski jebkuras datu bāzes, kuras tiek veidotas uzņēmumos, ir jēreģistrē. Tiek pieļauti izņēmumi, bet sakarā ar pastāvošo vispārējo datorizāciju, tos nevarēs tik bieži izmantot praksē. Saskaņā ar LR likuma “Fizisko personu datu aizsardzības likums” 21.panta 2.daļu šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi grāmatvedības un personāla uzskaites vajadzībām, ja personas dati netiek uzkrāti elektroniskā veidā, kā arī uz Civillikumā minēto konfesiju reliģisko organizāciju veidotām personas datu apstrādes sistēmā. Pati datu apstrādes sistēmas reģistrēšanas procedūra nav tik sarežģīta – atliek tikai iesniegt noteikta parauga pieteikumu, pievienot kvīti par valsts nodevas samaksu (aptuveni 30 latu) un iziet pārbaudi. Bet informācijas apjoms, kas ietverts iesniegumā, un prasības, kurām jāatbilst sistēmai, ir pietiekami liels, kam arī jāpievērš īpaša uzmanība. Piemēram, institūcijas un personas, kas vēlas uzsākt personas datu apstrādi un izveidot personas datu apstrādes sistēmu, iesniedz Datu valsts inspekcijai reģistrācijas pieteikumu, kurā jānorāda:

  1. institūcijas vai personas (sistēmas pārziņa) nosaukums (vārds, uzvārds), reģistrācijas kods, adrese un tālruņa numurs;
  2. sistēmas pārziņa pilnvarotās personas vārds, uzvārds, personas kods, adrese un tālruņa numurs;
  3. personas datu apstrādes sistēmas darbības tiesiskais pamats;
  4. kādus personas datus ietvers sistēma, kādiem mērķiem tā paredzēta un kāds būs personas datu apstrādes apjoms;
  5. datu subjektu kategorijas;
  6. personas datu saņēmēju kategorijas;
  7. paredzētais personas datu apstrādes veids;
  8. plānotais personas datu iegūšanas veids un to kvalitātes kontroles mehānisms;
  9. citas datu apstrādes sistēmas, ar kurām būs saistīta reģistrējamā sistēma;
  10. kādus personas datus no reģistrējamās sistēmas varēs iegūt saistītās sistēmas un kādus datus reģistrējamā sistēma varēs iegūt no saistītajām sistēmām;
  11. veids, kādā reģistrējamās sistēmas dati tiks nodoti citai sistēmai;
  12. fiziskās personas identifikācijas kodi, kādi tiks lietoti reģistrējamā sistēmā;
  13. cita likumā prasītā informācija.

Pēc personas datu apstrādes sistēmas reģistrēšanas Datu valsts inspekcija pieteikuma iesniedzējam reģistrācijas apliecību.

Datu valsts inspekcija var atteikties reģistrēt personas datu apstrādes sistēmu, ja:

  1. nav iesniegta visa nepieciešamā informācija;
  2. pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi.

Pirms Datu valsts inspekcija reģistrē datu apstrādes sistēmas, tā novērtē un nosaka sistēmu. Tāpēc, lai nesekotu reģistrācijas atteikums, izveidotajai sistēmai pilnībā jāatbilst Latvijas Republikā spēkā esošajai likumdosanai. Obligātās tehniskās un organizatoriskās prasības, kas regulē personas datu apstrādes sistēmas organizēšanu un aizsardzību ir noteiktas papildus normatīvajos dokumentos – LR MK Noteikumi Nr.40 no 2001.gada 30.janvāra ”Personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības”, kā arī LR MK Noteikumi Nr.106 no 2000.gada 21.marta “Informācijas sistēmu drošības noteikumi”.

Personas datu apstrādes sistēmu obligāto tehnisko aizsardzību veic ar fizisko un loģisko aizsardzības līdzekļu palīdzību, nodrošinot:

  1. aizsardzību pret fiziskās iedarbības radītu personas datu apstrādes sistēmas apdraudējumu;
  2. aizsardzību, kuru realizē ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem.

Veicot personas datu apstrādi, sistēmas pārzinis nodrošina:

  1. pilnvarotu personu piekļūšanu pie tehniskajiem resursiem, kas tiek izmantoti personu datu apstrādei un aizsardzībai (to skaitā pie personas datiem);
  2. to, ka informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un citādi apstrādā tam pilnvarotas personas;
  3. to, ka personas datu vākšanu, ierakstīšanu, ierakstīto personas datu sakārtošanu, saglabāšanu, kopēšanu, pārrakstīšanu, pārveidošanu, labošanu, dzēšanu, iznīcināšanu, arhivēšanu, rezerves kopēšanu, bloķēšanu veic tam pilnvarotas personas, kā arī nodrošina iespēju noteikt personas datus, kuri bijuši apstrādāti bez attiecīgā pilnvarojuma, kā arī apstrādes laiku un personu, kas to veikusi;
  4. to, ka personas datu apstrādes sistēmu pārvietošanu ar tehniskiem resursiem veic tam pilnvarotas personas;
  5. nododot personas datus, informācijas saglabāšanu par:
    • personas datu nodošanas laiku;
    • personu, kas nodevusi personas datus;
    • personu, kas saņēmusi personas datus;
    • personas datiem, kas tikuši nodoti;
  6. ievadot personas datus, informācijas saglabāšanu par:
    • personas datu ievadīšanas laiku;
    • personu, kas ievadījusi personas datus personas datu apstrādes sistēmā;
    • personu, no kuras saņemti personas dati;
    • personas datiem, kas tika ievadīti personas datu apstrādes sistēmā.

Katrai personas datu apstrādes sistēmai jāizstrādā iekšējie datu apstrādes sistēmas aizsardzības noteikumi. Sistēmas pārzinis (fiziskā vai juridiskā persona, kura nosaka personas datu apstrādes sistēmas mērķus un apstrādes līdzekļus) katru gadu veic personas datu apstrādes sistēmu iekšējo auditu un sagatavo pārskatu par informācijas drošības jomā veiktajiem pasākumiem.

LR MK noteikumi Nr.106. no 2000.gada 21.marta “Informācijas sistēmu drošības noteikumi” nosaka personas datu apstrādes sistēmu kā informācijas sistēmu, kura minēto noteikumu izpratnē ir datu ievadīšanas, uzglabāšanas un apstrādes sistēma, kas paredz lietotājpieeju tajā glabātajiem datiem vai informācijai.

Lai izveidotu tādu sistēmu, pirmkārt, jānosaka un jāpiešķir vērtību un konfidencialitātes pakāpe, ja tāda pakāpe ir.

Informācijai var piešķirt vienu no šādām vērtības pakāpēm:

  • augsta riska;
  • vidēja riska.

Informācijai var piešķirt vienu no šādām konfidencialitātes pakāpēm:

  • sevišķi slepena;
  • slepena;
  • konfidenciāla.

Kā arī uzņēmumā jābūt izstrādātiem iekšējās informācijas sistēmas drošības noteikumiem, un jānorīko personas, kas atbild par informācijas sistēmas drošību, t.sk. informācijas resursu turētāju un tehnisko resursu turētāju. Likums arī nosaka stingras prasības, kas saistītas ar informācijas sistēmu organizāciju, saskaņā ar kurām arī tiks veikta attiecīga kontrole. Piemēram, dators, kurā ir sevišķi slepenas pakāpes informācija, nedrīkst būt pieslēgts ārējiem tīkliem vai lokālajam tīklam, no kura ir iespējama izeja uz ārējiem tīkliem. Sevišķi slepenas pakāpes informāciju nepārraida pa ārējiem tīkliem. Ja lokālajam tīklam pieslēgti datori, kuros ir sevišķi slepenas vai slepenas pakāpes informācija, lokālā tīkla kabeļi nedrīkst šķērsot teritoriju, kurai nav nodrošināta informācijas sistēmas apdraudējumam atbilstoša fiziskā aizsardzība, un tīkla aparatūrai jāatrodas telpās ar informācijas sistēmas apdraudējumam atbilstošu fizisko aizsardzību. Telpām, kurās atrodas datori ar sevišķi slepenas, slepenas vai augsta riska pakāpes informāciju, nodrošina informācijas sistēmas apdraudējumam atbilstošu fizisko aizsardzību. Ja lokālajam tīklam pieslēgti datori, kuros ir informācija ar konfidencialitātes vai vērtības pakāpi, lokālo tīklu var pieslēgt ārējiem tīkliem tikai ar ugunsmūri (ugunsmūris – programmatūras un aparatūras komplekss, kas savieno lokālo tīklu ar ārējiem tīkliem, nodrošinot lokālajā tīklā savienoto informācijas sistēmu aizsardzību), nodrošinot informācijas sistēmas apdraudējumam atbilstošu lokālā tīkla loģisko aizsardzību. Ugunsmūris pārbauda elektroniskā pasta sūtījumus (arī pielikumu failus), vai tajos nav datora vīrusu. Datori, kas ārējiem tīkliem pieslēgti bez ugunsmūra, ir apgādāti ar datora vīrusu aizsardzības programmatūru, kas pārbauda visus elektroniskā pasta sūtījumus (arī pielikumu failus). Ja informācijas sistēmas lietotājam no ārējiem tīkliem ir atļauts piekļūt informācijai ar konfidencialitātes vai vērtības pakāpi, informācijas sistēmas lietotāja autentificēšanai izmanto kriptogrāfiskās metodes. Ja informācijas sistēmas lietotāja autentificēšana vairākas reizes pēc kārtas ir neveiksmīga, šī lietotāja piekļūšana informācijas sistēmai tiek bloķēta. Datu nesējus ar konfidencialitātes vai vērtības pakāpes informāciju nedrīkst atstāt vietās, kur nav nodrošināta informācijas sistēmas apdraudējumam atbilstoša fiziskā aizsardzība. Uz pārnēsājamiem datu nesējiem, kuros ir informācija ar konfidencialitātes vai vērtības pakāpi, norāda augstāko piešķirto informācijas konfidencialitātes un vērtības pakāpi.

Kā arī, vēlamies pievērst Jūsu uzmanību uz pilnvarām, kuras piemīt Datu valsts inspekcijai un tās darbiniekiem.

Saskaņā ar LR likumu “Fizisko personu datu aizsardzības likums” Datu valsts inspekcijai ir sekojošas tiesības:

  1. bez maksas saņemt no fiziskajām un juridiskajām personām inspekcijas uzdevumu veikšanai nepieciešamo informāciju;
  2. veikt personas datu apstrādes sistēmas pārbaudi;
  3. pieprasīt datu bloķēšanu, kļūdainu vai nelikumīgi iegūtu datu izdzēšanu vai iznīcināšanu, noteikt pastāvīgu vai pagaidu aizliegumu datu apstrādei;
  4. iesniegt tiesā prasību par šā likuma pārkāpumiem;
  5. anulēt personas datu apstrādes reģistrācijas apliecību, ja, pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi;
  6. uzlikt administratīvos sodus par pārkāpumiem personas datu apstrādē;
  7. veikt pārbaudi, lai noteiktu personas datu apstrādes atbilstību normatīvo aktu prasībām gadījumos, kad sistēmas pārzinim ar likumu aizliegts sniegt datu subjektam informāciju un saņemts attiecīgs iesniegums no datu subjekta.

Datu valsts inspekcijas direktoram un viņa pilnvarotajiem Datu valsts inspekcijas darbiniekiem, ir tiesības:

  1. brīvi apmeklēt jebkuras nedzīvojamās telpas, kurās atrodas personas datu apstrādes sistēmas, un sistēmas pārziņa pārstāvja klātbūtnē veikt nepieciešamo pārbaudi vai citus pasākumus, lai noteiktu personas datu apstrādes procesa atbilstību likumam;
  2. pieprasīt rakstveida vai mutvārdu paskaidrojumu no jebkuras fiziskās vai juridiskās personas, kas saistīta ar personas datu apstrādi;
  3. pieprasīt, lai tiek uzrādīti dokumenti un sniegta cita informācija, kas attiecas uz pārbaudāmo personas datu apstrādes sistēmu;
  4. pieprasīt personas datu apstrādes sistēmas, jebkuras tās iekārtas vai informācijas nesēja pārbaudi un noteikt ekspertīzi pārbaudāmo jautājumu izpētei;
  5. ja nepieciešams, savu pienākumu izpildes nodrošināšanai pieaicināt tiesībaizsardzības iestāžu darbiniekus vai citus speciālistus;
  6. ja nepieciešams, sagatavot un iesniegt tiesībaizsardzības iestādēm materiālus vainīgo personu saukšanai pie atbildības;
  7. sastādīt protokolu par administratīvo pārkāpumu personas datu apstrādē.
Aktuāli