Noteikumi par personas datu nodošanas līgumos obligāti iekļaujamiem nosacījumiem
Ministru kabineta noteikumi Nr.634
Rīgā 2011.gada 16.augustā (prot. Nr.48 32.§)
Noteikumi par personas datu nodošanas līgumos obligāti iekļaujamiem nosacījumiem
Izdoti saskaņā ar Fizisko personu datu aizsardzības likuma 28.panta ceturto daļu
1. Noteikumi nosaka obligātos nosacījumus, kas iekļaujami līgumos par personas datu nodošanu uz valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis un kas nenodrošina tādu datu aizsardzības pakāpi, kāda atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei (turpmāk – līgums).
2. Līguma teksts ir latviešu valodā vai vairākās valodās, no kurām viena ir latviešu valoda. Līguma teksti ir autentiski. Līgumu var slēgt kā atsevišķu līgumu vai tā nosacījumus var iekļaut citā līgumā.
3. Līgumā ietver pārziņa un personas datu saņēmēja identificējošos datus:
3.1. iestādei, juridiskai personai – nosaukums, reģistrācijas numurs, juridiskā adrese, cita kontaktinformācija;
3.2. fiziskai personai – vārds, uzvārds, personas kods (ja personai nav personas koda – dzimšanas datums, dzimšanas vieta), personu apliecinošā dokumenta dati, dzīvesvietas adrese un cita kontaktinformācija.
4. Līgumā ietver:
4.1. Fizisko personu datu aizsardzības likumā noteiktās personas datu un personas datu apstrādes definīcijas;
4.2. informāciju par personas datu nodošanu:
4.2.1. personas datu nodošanas mērķi;
4.2.2. datu subjektu kategorijas;
4.2.3. personas datu veidus;
4.2.4. paredzēto personas datu nodošanas veidu;
4.3. pārziņa pienākumus:
4.3.1. nodot personas datus tikai atbilstoši līgumā noteiktajam personas datu nodošanas mērķim un saskaņā ar līgumā norādītajām personas datu aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām;
4.3.2. pārliecināties par personas datu saņēmēja spēju pildīt juridiskās saistības saskaņā ar līguma nosacījumiem;
4.3.3. izbeigt līgumu, ja personas datu saņēmējs nepilda līguma saistības;
4.3.4. izbeigt līgumu, ja personas datu saņēmējs, ievērojot nacionālos normatīvos aktus, nespēj pildīt līguma saistības;
4.4. personas datu saņēmēja pienākumus:
4.4.1. apstrādāt personas datus tikai atbilstoši līgumā noteiktajam personas datu nodošanas mērķim un saskaņā ar līgumā norādītajām personas datu aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām;
4.4.2. neuzglabāt personas datus ilgāk kā tas nepieciešams mērķim, kādam tie ir nosūtīti, un nodrošināt, ka personas dati ir precīzi un laikus atjaunoti atbilstoši personas datu apstrādes mērķim;
4.4.3. paziņot pārzinim par normatīvo aktu izmaiņām, iestāžu vai tiesu lēmumiem, kas kavē personas datu saņēmēju pildīt saistības saskaņā ar līgumu;
4.4.4. saņemt rakstisku pārziņa piekrišanu, ja datu saņēmējs vēlas personas datu apstrādi nodot citai personai, un noslēgt rakstisku līgumu, ar kuru šai personai tiek uzlikti tādi paši pienākumi kā datu saņēmējam saskaņā ar līgumu, kas noslēgts ar pārzini, kā arī nosūtīt pārzinim jaunā līguma kopiju;
4.4.5. pēc pārziņa un datu subjekta pieprasījuma sniegt pārzinim un datu subjektam informāciju par personas datu apstrādi, ko veic datu saņēmējs, un informāciju par tām fiziskajām vai juridiskajām personām, kuras no datu saņēmēja ir saņēmušas informāciju par šo datu subjektu;
4.4.6. informēt pārzini par jebkuru pieprasījumu, kas tiešā veidā saņemts no datu subjekta un uz kuru personas datu saņēmējs nav pilnvarots sniegt atbildi;
4.4.7. atlīdzināt datu subjektam nodarīto kaitējumu vai zaudējumus, ja tie radušies līguma nosacījumu neievērošanas dēļ;
4.4.8. sniegt Datu valsts inspekcijai tās uzdevumu veikšanai nepieciešamo informāciju un dokumentus, kas saistīti ar personas datu apstrādi;
4.4.9. nodrošināt pārzinim un Datu valsts inspekcijas pārstāvjiem brīvu pieeju telpām, kurās personas datu saņēmējs apstrādā nosūtītos personas datus, pieeju visai dokumentācijai, kā arī personas datu apstrādes sistēmām, jebkurām apstrādes iekārtām vai informācijas nesējiem, lai pārbaudītu nosūtīto personas datu apstrādes atbilstību līguma prasībām;
4.4.10. iznīcināt vai nodot atpakaļ (kā puses ir vienojušās līgumā) pārzinim personas datus, visus apstrādes līdzekļus un dokumentus, kas satur personas datus, ja līguma darbība tiek izbeigta. Ja datu iznīcināšana vai nodošana atpakaļ pārzinim nav iespējama, personas datu saņēmējs informē pārzini par uzglabāšanas termiņiem un apņemas nodrošināt pienācīgu personas datu aizsardzību, kamēr:
4.4.10.1. tiks izbeigtas saistības pret datu subjektu;
4.4.10.2. personas datu saņēmēja nacionālie normatīvie akti neparedzēs tiesības iznīcināt dokumentus;
4.5. personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības, ko nodrošina pārzinis un personas datu saņēmējs:
4.5.1. informāciju par aizsardzību pret fiziskās iedarbības radītu personas datu apdraudējumu;
4.5.2. informāciju par aizsardzību, kuru īsteno ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem;
4.5.3. nosacījumu, ka pie tehniskajiem un informācijas resursiem var piekļūt tikai pilnvarotas personas;
4.6. pārziņa un personas datu saņēmēja pienākumu saglabāt informāciju par:
4.6.1. personas datu apstrādes laiku;
4.6.2. personu, kas apstrādājusi personas datus;
4.6.3. personas datiem, kas tikuši apstrādāti.
5. Strīdus par līguma neievērošanu izskata Latvijas Republikas tiesā saskaņā ar Latvijas Republikas teritorijā piemērojamajiem tiesību aktiem.
6. Datu valsts inspekcija līguma paraugu publicē savā tīmekļa vietnē.
7. Pārzinis līdz 2014.gada 1.maijam nodrošina, lai līgumi, kas noslēgti līdz šo noteikumu spēkā stāšanās dienai, atbilstu šiem noteikumiem.
Informatīva atsauce uz Eiropas Savienības direktīvu
Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Parlamenta un Padomes 1995.gada 24.oktobra Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti.
Ministru prezidents V.Dombrovskis
Iekšlietu ministra pienākumu izpildītājs, tieslietu ministrs A.Štokenbergs