26-TA-449
Noteikumi par informācijas iekļaušanu, apstrādi un personas datu apstrādes uzraudzību Centrālās statistikas pārvaldes drošajā informācijas apstrādes vidē
Izdoti saskaņā ar Valsts pārvaldes iekārtas likuma 54. panta septīto daļu
I.Vispārīgie jautājumi
1.
Noteikumi nosaka kārtību, kādā:
1.1.
Centrālā statistikas pārvalde (turpmāk – Pārvalde) konsultē par informācijas apstrādi un iestāde iesniedz informācijas apstrādes pieprasījumu (turpmāk – pieprasījums);
1.2.
piešķir piekļuvi un apstrādā informāciju Pārvaldes izveidotajā un uzturētajā drošajā informācijas apstrādes vidē (turpmāk – droša informācijas apstrādes vide);
1.3.
valsts informācijas sistēmās un institūciju informācijas sistēmās esošās informācijas turētājs (turpmāk – datu turētājs) sniedz Pārvaldei drošajā informācijas apstrādes vidē iekļaujamo informāciju;
1.4.
Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē.
2.
Pārvalde konsultē iestādes par iespējām informācijas apstrādei drošajā informācijas apstrādes vidē, tostarp par:
2.1.
valsts informācijas sistēmās un institūciju informācijas sistēmās pieejamo informāciju un tās apstrādes ierobežojumiem;
2.2.
informācijas drošības, konfidencialitātes un personas datu aizsardzības prasībām un risku mazināšanas pasākumiem;
2.3.
pieprasījumu iesniegšanas un izvērtēšanas kārtību;
2.4.
piekļuves tiesību piešķiršanu, lietotāju lomām un rezultātu izvades kontroles nosacījumiem;
2.5.
drošajā informācijas apstrādes vidē pieejamajiem tehniskajiem risinājumiem un rīkiem;
2.6.
tehnisko resursu izmantošanas izmaksām.
II.Pieprasījuma sagatavošana, iesniegšana un izskatīšana
3.
Iestāde iesniedz Pārvaldei pieprasījumu par informācijas apstrādi drošajā informācijas apstrādes vidē.
4.
Pieprasījumā norāda vismaz šādu informāciju - informācijas apstrādes tiesisko pamatu, informācijas apstrādes mērķi, sasniedzamo rezultātu, nepieciešamo informāciju, aprakstu par personas datu apstrādes minimizācijas principa ievērošanu, plānoto apstrādes termiņu un informāciju par apstrādē iesaistītajām personām (lietotājiem, atbildīgo kontaktpersonu, pilnvarotajām personām).
5.
Pārvalde, saņemot iestādes pieprasījumu, izvērtē pieprasījumā norādīto informācijas apstrādes tiesisko pamatu un atbilstību kādam no Valsts pārvaldes iekārtas likuma 54. panta septītajā daļā noteiktajiem informācijas apstrādes mērķiem, kā arī nepieciešamo informācijas apjomu, tai skaitā ievērojot personas datu minimizācijas principu, un nodrošina piekļuvi vai atsaka piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē.
6.
Pārvalde ir tiesīga pieprasīt un iestādei ir pienākums sniegt papildu ziņas un dokumentus, kas nepieciešami pieprasījuma izvērtēšanai un piekļuves nodrošināšanai vai atteikumam.
7.
Pārvalde atsaka piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē šādos gadījumos:
7.1.
ja nav atbilstošs apstrādes tiesiskais pamats un mērķis;
7.2.
ja apstrāde nav saistīta ar drošās informācijas apstrādes vides funkcionalitātes izmantošanu;
7.3.
ja pieprasītā informācija nav vai nav tehniski to iespējams nodrošināt.
8.
Ja Pārvalde atsaka piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē, tā sniedz iestādei rakstveida pamatojumu.
9.
Pārvalde, lemjot par piekļuves nodrošināšanu informācijas apstrādei drošajā informācijas apstrādes vidē, nosaka nodrošināmo informācijas detalizācijas pakāpi, ievērojot personas datu minimizācijas principu, šādā secībā:
9.1.
nodrošina anonimizētus datus;
9.2.
ja ar anonimizētiem datiem nav iespējams sasniegt apstrādes mērķi, nodrošina pseidonimizētus datus;
9.3.
tikai izņēmuma gadījumos, ja apstrādes mērķi nav iespējams sasniegt ar anonimizētiem vai pseidonimizētiem datiem, nodrošina identificējamus datus.
10.
Ja viena pieprasījuma ietvaros iestāde iesniedz papildu informācijas pieprasījumu, Pārvalde atkārtoti nevērtē tiesisko pamatu, ja papildus apstrāde ir saderīga ar sākotnējo informācijas apstrādes mērķi un saskaņā ar iepriekš veikto tiesiskā pamata izvērtējumu.
11.
Lai nodrošinātu piekļuvi drošajai informācijas apstrādes videi, Pārvalde ar iestādi noformē sadarbību Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā.
12.
Iestāde apmaksā informācijas apstrādei izmantotās drošās informācijas apstrādes vides tehnisko resursu izmantošanas izmaksas saskaņā ar Pārvaldes tehnisko resursu pakalpojuma sniedzēja izsniegto rēķinu iestādei.
III.Informācijas saņemšana no datu turētājiem
13.
Pieprasot informāciju datu turētājam, Pārvalde pieprasījuma un apstrādes apjomu nosaka atbilstoši iestādes iesniegtajā pieprasījumā norādītajam informācijas apjomam un ievērojot personas datu apstrādes minimizācijas principu.
14.
Datu turētājs nodod Pārvaldei informāciju un ar to saistītos metadatus, neizvērtējot apstrādes tiesisko pamatu. Pārvalde pēc datu turētāja pieprasījuma informē to par apstrādes tiesisko pamatu.
15.
Pārvalde ar datu turētāju noformē sadarbību Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā.
16.
Pārvalde no datu turētāja saņemto valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju var izmantot Statistikas likumā noteikto funkciju izpildei.
IV.Informācijas apstrāde drošajā informācijas apstrādes vidē
17.
Iestāde informāciju drošajā informācijas apstrādes vidē apstrādā Pārvaldes noteiktajā kārtībā.
18.
Informācijas apstrādes rezultāts iznesei ārpus drošās informācijas apstrādes vides nesatur personas datus. Sākotnējo izneses kontroli nodrošina iestāde, sekundāro - Pārvalde.
19.
Iestāde nodrošina, ka piekļuve drošajai informācijas apstrādes videi ir personām, kuru piekļuve ir rakstiski saskaņota ar Pārvaldi.
20.
Iestāde ir atbildīga par no drošās informācijas apstrādes vides iegūtās informācijas izmantošanu tikai Valsts pārvaldes iekārtas likuma 54. panta septītajā daļā noteiktajam mērķim.
21.
Pārvalde var liegt iestādei piekļuvi drošajai informācijas apstrādes videi, ja konstatē tehniskus vai organizatoriskus informācijas apstrādes pārkāpumus.
V.Datu glabāšana un personas datu apstrādes uzraudzība drošajā informācijas apstrādes vidē
22.
Pārvalde informāciju, kas saņemta no datu turētāja, glabā divus gadus pēc pieprasījuma izpildes, ar tiesībām šo informāciju izmantot citu pieprasījumu izpildei, vai Statistikas likumā noteiktajā kārtībā, ja datus paredzēts izmantot Statistikas likumā noteikto funkciju izpildei.
23.
Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē un ne retāk kā reizi trijos gados veic personas datu apstrādes revīziju.
24.
Veicot revīziju, Datu valsts inspekcija ir tiesīga pieprasīt informāciju par drošajā informācijas apstrādes vides tehniskajiem un organizatoriskajiem risinājumiem, piekļuves tiesību pārvaldību, piekļuves žurnāliem un Pārvaldes un iestāžu noformētajām sadarbībām Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā.
25.
Pārvalde nodrošina Datu valsts inspekcijas norādījumu izpildi un konstatēto pārkāpumu novēršanu tās noteiktajos termiņos.
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds