9. Article — (1) Ja personas

dati nav iegūti no datu subjekta, sistēmas pārzinim ir pienākums, ievācot vai pirmo reizi izpaužot šādus personas datus trešajām personām, sniegt datu subjektam šādu informāciju: 1) sistēmas pārziņa un personas datu operatora nosaukums vai vārds un uzvārds, kā arī adrese; 2) paredzētais personas datu apstrādes mērķis. (2) Pēc datu subjekta pieprasījuma sistēmas pārzinim ir pienākums sniegt arī šādu informāciju: 1) iespējamie personas datu saņēmēji; 2) personas datu kategorijas un datu ieguves avots; 3) datu subjekta tiesības piekļūt saviem personas datiem un izdarīt tajos labojumus. (3) Šā panta otrā daļa netiek piemērota, ja: 1) likums paredz personas datu apstrādi, neinformējot par to datu subjektu; 2) apstrādājot personas datus zinātniskiem, vēsturiskiem vai statistiskiem pētījumiem vai Latvijas nacionālā arhīva fonda veidošanai, datu subjektu informēšana prasa nesamērīgas pūles vai ir neiespējama." 5. 10.pantā: izteikt pirmās daļas 1. un 2.punktu šādā redakcijā: "1) godprātīgu un likumīgu personas datu apstrādi; 2) personas datu apstrādi tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā;"; papildināt pirmās daļas 4.punktu ar vārdiem "saskaņā ar personas datu apstrādes mērķi"; papildināt pantu ar trešo daļu šādā redakcijā: "(3) Šā panta pirmās daļas 3. un 4.punkts neattiecas uz personas datu apstrādi Latvijas nacionālā arhīva fonda veidošanai normatīvajos aktos noteiktajā kārtībā." 6. 11.pantā: izteikt 5.punktu šādā redakcijā: "5) personas datu apstrāde ir nepieciešama ārstniecības vajadzībām, veselības aprūpes pakalpojumu sniegšanai vai to administrēšanai un ārstniecības līdzekļu izplatīšanai;"; papildināt pantu ar 7., 8., 9. un 10.punktu šādā redakcijā: "7) personas datu apstrāde ir nepieciešama sociālās palīdzības sniegšanai un to veic sociālās palīdzības pakalpojumu sniedzējs; 8) personas datu apstrāde ir nepieciešama Latvijas nacionālā arhīva fonda veidošanai un to veic valsts arhīvi un iestādes ar valsts arhīvu ģenerāldirektora apstiprinātām valsts glabātavas tiesībām; 9) personas datu apstrāde ir nepieciešama statistiskiem pētījumiem, ko veic Centrālā statistikas pārvalde; 10) apstrāde attiecas uz tādiem personas datiem, kurus datu subjekts pats ir publiskojis." 7. Izteikt 12.pantu šādā redakcijā: "12.pants. Personas datus, kuri attiecas uz noziedzīgiem nodarījumiem, sodāmību krimināllietās, tiesvedību krimināllietās un slēgtās tiesas sēdēs civillietās, drīkst apstrādāt tikai likumā noteiktas personas un likumā noteiktajos gadījumos." 8. Papildināt likumu ar 13.1 pantu šādā redakcijā: "13.1 pants. Personas identifikācijas (klasifikācijas) kodus drīkst apstrādāt, ja: 1) ir saņemta datu subjekta piekrišana; 2) identifikācijas (klasifikācijas) kodu apstrāde izriet no personas datu apstrādes mērķa; 3) identifikācijas (klasifikācijas) kodu apstrāde nepieciešama turpmākas datu subjekta anonimitātes nodrošināšanai; 4) ir saņemta Datu valsts inspekcijas rakstveida atļauja." 9. Izteikt 14.panta otro daļu šādā redakcijā: "(2) Personas datu operators viņam uzticētos personas datus drīkst apstrādāt tikai līgumā norādītajā apjomā, atbilstoši tajā paredzētajiem mērķiem un saskaņā ar sistēmas pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem." 10. 15.pantā: papildināt pirmo daļu ar vārdiem "nacionālās drošības, aizsardzības un krimināltiesību jomā"; papildināt trešās daļas 3.punktu ar vārdiem "dati dzēsti vai bloķēti". 11. Papildināt 17.pantu pēc vārdiem "statistisku pētījumu vajadzībām" ar vārdiem "vai Latvijas nacionālā arhīva fonda veidošanai saskaņā ar normatīvajiem aktiem". 12. Izteikt 18.pantu šādā redakcijā: "18.pants. Ja datu subjekts apstrīd individuālu lēmumu, kas pieņemts, pamatojoties tikai uz automatizēti apstrādātiem datiem, un rada, groza, konstatē vai izbeidz tiesiskās attiecības, sistēmas pārzinim ir pienākums to pārskatīt. Sistēmas pārzinis var atteikties pārskatīt šādu lēmumu, ja tas pieņemts, pamatojoties uz likumu vai līgumu, kas noslēgts ar datu subjektu." 13. Izteikt 21.panta otro daļu šādā redakcijā: "(2) Šajā likumā noteiktā reģistrācijas kārtība neattiecas uz personas datu apstrādi grāmatvedības un personāla uzskaites vajadzībām, ja personas dati netiek uzkrāti elektroniskā veidā, kā arī uz Civillikumā minēto konfesiju reliģisko organizāciju veidotām personas datu apstrādes sistēmām." 14. 22.pantā: izteikt otro daļu šādā redakcijā: "(2) Datu valsts inspekcija izvērtē un nosaka personas datu apstrādes sistēmas, kurās jāveic pirmsreģistrācijas pārbaude."; izteikt ceturto daļu šādā redakcijā: "(4) Pirms izmaiņu izdarīšanas personas datu apstrādes sistēmā šīs izmaiņas reģistrē Datu valsts inspekcija, ja mainās: 1) sistēmas pārzinis vai personas datu operators; 2) personas datu apstrādes sistēmas atrašanās vieta; 3) personas datu veidi vai personas datu apstrādes mērķis; 4) informācijas resursu vai tehnisko resursu turētājs, kā arī atbildīgais par informācijas sistēmas drošību; 5) datu apstrādes sistēmas, ar kurām ir saistīta attiecīgā sistēma; 6) personas datu apstrādes veids; 7) personas datu veidi, kas tiks nodoti citām valstīm."; papildināt pantu ar piekto un sesto daļu šādā redakcijā: "(5) Ja mainās personas datu apstrādes sistēmas aizsardzības tehniskie un organizatoriskie līdzekļi, kas būtiski ietekmē sistēmas aizsardzību, informācija par to viena gada laikā jāiesniedz Datu valsts inspekcijai. (6) Par katru personas datu apstrādes sistēmas reģistrāciju vai šā panta ceturtajā daļā minēto izmaiņu reģistrāciju ņemama valsts nodeva Ministru kabineta noteiktajā kārtībā un apmērā." 15. Izteikt 24.pantu šādā redakcijā: "24.pants. (1) Datu valsts inspekcija personas datu apstrādes sistēmu reģistrā iekļauj šā likuma 22.pantā minēto informāciju (izņemot tā paša panta 16.punktā minēto informāciju). Reģistrs ir valsts informācijas sistēmas sastāvdaļa. (2) Šā panta pirmajā daļā minētajā reģistrā neiekļauj informāciju par tām reģistrētajām personas datu apstrādes sistēmām, kuru darbību reglamentē likums "Par valsts noslēpumu" un Operatīvās darbības likums." 16. Izteikt 25.panta pirmo daļu šādā redakcijā: "(1) Sistēmas pārziņa un personas datu operatora pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi." 17. Papildināt 26.pantu ar otro daļu šādā redakcijā: "(2) Valsts un pašvaldību institūcijas katru gadu iesniedz Datu valsts inspekcijai personas datu apstrādes sistēmu iekšējā audita atzinumu (arī sistēmas riska analīzi) un pārskatu par informācijas drošības jomā veiktajiem pasākumiem." 18. 28.pantā: izteikt pirmo daļu šādā redakcijā: "(1) Personas datus var nodot uz citu valsti, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei."; izteikt otrās daļas ievaddaļu šādā redakcijā: "(2) Izņēmumi šā panta pirmajā daļā minēto prasību pildīšanā ir pieļaujami, ja sistēmas pārzinis apņemas veikt uzraudzību pār attiecīgu aizsardzības pasākumu veikšanu un tiek ievērots vismaz viens no šādiem nosacījumiem:"; izteikt otrās daļas 2.punktu šādā redakcijā: "2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un sistēmas pārzini, personas dati nododami saskaņā ar datu subjekta līgumsaistībām vai arī, ievērojot datu subjekta lūgumu, datu nodošana nepieciešama, lai noslēgtu līgumu;"; papildināt pantu ar trešo daļu šādā redakcijā: "(3) Personas datu aizsardzības pakāpes novērtējumu saskaņā ar šā panta pirmo daļu veic Datu valsts inspekcija un sniedz rakstveida piekrišanu personas datu nodošanai." 19. 29.pantā: izteikt pirmo daļu šādā redakcijā: "(1) Personas datu aizsardzības uzraudzību veic Datu valsts inspekcija, kas atrodas Tieslietu ministrijas pārraudzībā, darbojas neatkarīgi un patstāvīgi, izpildot normatīvajos aktos noteiktās funkcijas, pieņem lēmumus un izdod administratīvos aktus saskaņā ar likumu. Datu valsts inspekcija ir valsts pārvaldes iestāde, kuras funkcijas, tiesības un pienākumus nosaka likums. Datu valsts inspekciju vada direktors, kuru ieceļ amatā un atbrīvo no amata Ministru kabinets pēc tieslietu ministra priekšlikuma."; papildināt trešās daļas 4.punktu ar vārdiem "un sniegt atzinumus par valsts un pašvaldību institūciju veidojamo personas datu apstrādes sistēmu atbilstību normatīvo aktu prasībām"; papildināt trešo daļu ar 6.punktu šādā redakcijā: "6) akreditēt personas, kas vēlas veikt sistēmu auditu valsts un pašvaldību institūciju personas datu apstrādes sistēmās Ministru kabineta noteiktajā kārtībā."; izslēgt ceturtās daļas 2.punktā vārdu "pirmsreģistrācijas"; papildināt ceturto daļu ar 5., 6. un 7.punktu šādā redakcijā: "5) anulēt personas datu apstrādes reģistrācijas apliecību, ja, pārbaudot personas datu apstrādes sistēmu, konstatēti pārkāpumi; 6) likumā noteiktajā kārtībā uzlikt administratīvos sodus par pārkāpumiem personas datu apstrādē; 7) veikt pārbaudi, lai noteiktu personas datu apstrādes atbilstību normatīvo aktu prasībām gadījumos, kad sistēmas pārzinim ar likumu aizliegts sniegt datu subjektam informāciju un saņemts attiecīgs iesniegums no datu subjekta." 20. 30.pantā: aizstāt pirmās daļas ievaddaļā vārdus "inspektoriem, uzrādot dienesta apliecību" ar vārdiem "Datu valsts inspekcijas darbiniekiem"; papildināt pirmās daļas 5.punktu ar vārdiem "vai citus speciālistus"; papildināt pirmo daļu ar 7.punktu šādā redakcijā: "7) sastādīt protokolu par administratīvo pārkāpumu personas datu apstrādē." 21. Pārejas noteikumos: aizstāt 2.punktā skaitļus un vārdus "2002.gada 1.janvārim" ar skaitļiem un vārdiem "2003.gada 1.martam"; papildināt pārejas noteikumus ar 3. un 4.punktu šādā redakcijā: "3. Grozījumi 4.pantā stājas spēkā 2003.gada 1.jūlijā, bet grozījumi 29.panta pirmajā daļā stājas spēkā 2004.gada 1.janvārī. 4. Personas datu apstrādes sistēmas, kuras līdz šim likums neuzlika par pienākumu reģistrēt Datu valsts inspekcijā, tiek reģistrētas līdz 2003.gada 1.jūlijam." Likums Saeimā pieņemts 2002.gada 24.oktobrī. Valsts prezidente V.Vīķe-Freiberga Rīgā 2002.gada 13.novembrī