Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības
Ministru kabineta noteikumi Nr. 40
Rīgā 2001.gada 30.janvārī (prot. Nr.5 9.§)
Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības
(Noteikumu nosaukums MK 28.08.2007. noteikumu Nr.574 redakcijā)
Izdoti saskaņā ar Fizisko personu datu aizsardzības likuma 26.panta pirmo daļu
(MK 28.08.2007. noteikumu Nr.574 redakcijā)
1. Noteikumi nosaka personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības, kas jāievēro, apstrādājot personas datus.
(MK 28.08.2007. noteikumu Nr.574 redakcijā)
2. (Svītrots ar MK 28.08.2007. noteikumiem Nr.574.)
3. Personas datu obligāto tehnisko aizsardzību īsteno ar fiziskiem un loģiskiem aizsardzības līdzekļiem, nodrošinot:
3.1. aizsardzību pret fiziskās iedarbības radītu personas datu apdraudējumu;
3.2. aizsardzību, kuru realizē ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem.
(Grozīts ar MK 28.08.2007. noteikumiem Nr.574)
4. Apstrādājot personas datus, pārzinis nodrošina:
4.1. pilnvarotu personu piekļūšanu pie tehniskajiem resursiem, kas tiek izmantoti personu datu apstrādei un aizsardzībai (to skaitā pie personas datiem);
4.2. to, ka informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un citādi apstrādā tam pilnvarotas personas;
4.3. to, ka personas datu vākšanu, ierakstīšanu, ierakstīto personas datu sakārtošanu, saglabāšanu, kopēšanu, pārrakstīšanu, pārveidošanu, labošanu, dzēšanu, iznīcināšanu, arhivēšanu, rezerves kopēšanu, bloķēšanu veic tam pilnvarotas personas, kā arī nodrošina iespēju noteikt personas datus, kuri bijuši apstrādāti bez attiecīgā pilnvarojuma, kā arī apstrādes laiku un personu, kas to veikusi;
4.4. to, ka personas datu apstrādē izmantotos resursus pārvieto tam pilnvarotas personas;
4.5. nododot personas datus, informācijas saglabāšanu par:
4.5.1. personas datu nodošanas laiku;
4.5.2. personu, kas nodevusi personas datus;
4.5.3. personu, kas saņēmusi personas datus;
4.5.4. personas datiem, kas tikuši nodoti;
4.6. saņemot personas datus, informācijas saglabāšanu par:
4.6.1. personas datu saņemšanas laiku;
4.6.2. personu, kas nodevusi personas datus;
4.6.3. personu, kas saņēmusi personas datus;
4.6.4. saņemtajiem personas datiem.
(Grozīts ar MK 28.08.2007. noteikumiem Nr.574)
5. Pārzinis, apstrādājot personas datus, izstrādā iekšējos datu apstrādes aizsardzības noteikumus, kuros nosaka:
5.1. par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību atbildīgās personas, to tiesības un pienākumus;
5.2. personas datu aizsardzības klasifikāciju atbilstoši to vērtības un konfidencialitātes pakāpei;
5.3. tehniskos resursus, ar kādiem tiek nodrošināta personas datu apstrāde;
5.4. personas datu apstrādes organizatorisko procedūru, nosakot personas datu apstrādes laiku, vietu un kārtību;
5.5. pasākumus, kas veicami tehnisko resursu aizsardzībai pret ārkārtas apstākļiem (piemēram, ugunsgrēks, plūdi);
5.6. līdzekļus, ar kādiem nodrošina tehniskos resursus pret tīšu bojāšanu un neatļautu iegūšanu;
5.7. informācijas nesēju glabāšanas un iznīcināšanas kārtību;
5.8. paroles garumu un uzbūves nosacījumus (minimālais paroles garums ir astoņi simboli);
5.9. paroles lietošanas kārtību, kā arī laikposmu, pēc kura nomaināma parole;
5.10. rīcību, ja parole vai kriptoatslēga kļuvusi zināma citai personai;
5.11. personas datu lietotāju tiesības, pienākumus, ierobežojumus un atbildību.
(Grozīts ar MK 28.08.2007. noteikumiem Nr.574)
6. Datu apstrādē ieviesto tehnisko un organizatorisko prasību novērtējumu pārzinis sagatavo normatīvajā aktā par personas datu apstrādes atbilstības novērtējuma izstrādes un iesniegšanas kārtību noteiktajos gadījumos. Datu apstrādē ieviesto tehnisko un organizatorisko prasību novērtējumā pārzinis norāda informāciju vismaz tādā apmērā, kāds noteikts normatīvajos aktos par personas datu apstrādes atbilstības novērtējuma izstrādes un iesniegšanas kārtību.
(MK 12.05.2015. noteikumu Nr.217 redakcijā)
7. Pārzinis informē personas, kuras apstrādā personas datus, par personas datu apstrādes aizsardzības obligātajām tehniskajām un organizatoriskajām prasībām.
(Grozīts ar MK 28.08.2007. noteikumiem Nr.574)
Ministru prezidents A.Bērziņš
Tieslietu ministra vietā — ārlietu ministrs I.Bērziņš