26-TA-449
Noteikumi par informācijas iekļaušanu, apstrādi un personas datu apstrādes uzraudzību Centrālās statistikas pārvaldes drošajā informācijas apstrādes vidē
Izdoti saskaņā ar Valsts pārvaldes iekārtas likuma 54. panta septīto daļu
I.Vispārīgie jautājumi
1.
Noteikumi nosaka:
1.1.
kārtību, kādā iestāde sniedz Centrālajai statistikas pārvaldei (turpmāk – Pārvalde) drošajā informācijas apstrādes vidē iekļaujamo valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju;
1.2.
drošajā informācijas apstrādes vidē iekļaujamās informācijas apstrādes noteikumus;
1.3.
kārtību kādā Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē.
2.
Pārvalde konsultē iestādes par iespējām informācijas apstrādei drošajā informācijas apstrādes vidē, tostarp par:
2.1.
valsts informācijas sistēmās un institūciju informācijas sistēmās pieejamo informāciju un tās apstrādes ierobežojumiem;
2.2.
informācijas drošības, konfidencialitātes un personas datu aizsardzības prasībām un risku mazināšanas pasākumiem;
2.3.
pieprasījumu iesniegšanas un izvērtēšanas kārtību;
2.4.
piekļuves tiesību piešķiršanu, lietotāju lomām un rezultātu izvades kontroles nosacījumiem;
2.5.
drošajā informācijas apstrādes vidē pieejamajiem tehniskajiem risinājumiem un rīkiem;
2.6.
tehnisko resursu izmantošanas izmaksām.
II.Pieprasījuma sagatavošana, iesniegšana un izskatīšana
3.
Iestāde iesniedz Pārvaldei pieprasījumu par informācijas apstrādi drošajā informācijas apstrādes vidē.
4.
Pieprasījumā norāda vismaz šādu informāciju – informācijas apstrādes tiesisko pamatu, informācijas apstrādes mērķi, kas atbilst kādam no Valsts pārvaldes iekārtas likuma 54. panta septītajā daļā noteiktajiem mērķim, sasniedzamo rezultātu, nepieciešamo informāciju, aprakstu par personas datu apstrādes minimizācijas principa ievērošanu, plānoto apstrādes termiņu un informāciju par apstrādē iesaistītajām personām (lietotājiem, atbildīgo kontaktpersonu, pilnvarotajām personām) apjomā, kas nepieciešams personas identificēšanai, saziņas nodrošināšanai un piekļuves tiesību piešķiršanai.
5.
Pārvalde, saņemot iestādes pieprasījumu, izvērtē pieprasījumā norādīto informācijas apstrādes tiesisko pamatu un atbilstību kādam no Valsts pārvaldes iekārtas likuma 54. panta septītajā daļā noteiktajiem informācijas apstrādes mērķiem, kā arī nepieciešamo informācijas apjomu, un nodrošina piekļuvi vai atsaka piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē.
6.
Pārvalde var pieprasīt un iestādei ir pienākums sniegt papildu ziņas un dokumentus, kas nepieciešami pieprasījuma izvērtēšanai un piekļuves nodrošināšanai vai atteikumam.
7.
Pārvalde atsaka piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē šādos gadījumos:
7.1.
ja nav atbilstošs apstrādes tiesiskais pamats un mērķis;
7.2.
ja apstrāde nav saistīta ar drošās informācijas apstrādes vides funkcionalitātes izmantošanu;
7.3.
ja pieprasītā informācija nav vai nav tehniski to iespējams nodrošināt.
8.
Ja Pārvalde atsaka piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē, tā sniedz iestādei rakstveida pamatojumu.
9.
Pārvalde, lemjot par piekļuves nodrošināšanu informācijas apstrādei drošajā informācijas apstrādes vidē, nosaka nodrošināmo informācijas detalizācijas pakāpi, ievērojot personas datu minimizācijas principu, šādā secībā:
9.1.
nodrošina anonimizētus datus;
9.2.
ja ar anonimizētiem datiem nav iespējams sasniegt apstrādes mērķi, nodrošina pseidonimizētus datus;
9.3.
tikai izņēmuma gadījumos, ja apstrādes mērķi nav iespējams sasniegt ar anonimizētiem vai pseidonimizētiem datiem, nodrošina identificējamus datus.
10.
Ja viena pieprasījuma ietvaros iestāde iesniedz papildu informācijas pieprasījumu, Pārvalde atkārtoti nevērtē tiesisko pamatu, ja papildus apstrāde ir saderīga ar sākotnējo informācijas apstrādes mērķi un saskaņā ar iepriekš veikto tiesiskā pamata izvērtējumu.
11.
Iestāde apmaksā informācijas apstrādei izmantotās drošās informācijas apstrādes vides tehnisko resursu izmantošanas izmaksas saskaņā ar Pārvaldes tehnisko resursu pakalpojuma sniedzēja izsniegto rēķinu iestādei.
III.Informācijas izsniegšana iekļaušanai drošajā informācijas apstrādes vidē un tās apstrāde
12.
Iestāde (turpmāk — datu sniedzējs), saņemot Pārvaldes pieprasījumu par informācijas izsniegšanu, kuram pievienots iestādes iesniegumā par piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē norādītais tiesiskais pamatojums, pieprasāmās informācijas apjoms, kā arī cita nepieciešamā tehniskā informācija, izsniedz pieprasīto informāciju saskaņā ar Pārvaldes pieprasījumu. Par pieprasījuma tiesiskumu, informācijas, tai skaitā personas datu, apjomu un nepieciešamību atbild Pārvalde un iestāde, kas pieprasījusi piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē.
13.
Iestāde informāciju drošajā informācijas apstrādes vidē apstrādā atbilstoši šiem noteikumiem, normatīvajos aktos noteiktajām informācijas un personas datu apstrādes drošības prasībām, kā arī Pārvaldes noteiktajām tehniskajām lietošanas prasībām.
14.
Informācijas apstrādes rezultāts iznesei ārpus drošās informācijas apstrādes vides nesatur personas datus. Sākotnējo izneses kontroli nodrošina iestāde, sekundāro - Pārvalde.
15.
Iestāde nodrošina, ka piekļuve drošajai informācijas apstrādes videi ir personām, kuru piekļuve ir rakstiski saskaņota ar Pārvaldi.
16.
Iestāde ir atbildīga par no drošās informācijas apstrādes vides iegūtās informācijas izmantošanu tikai Valsts pārvaldes iekārtas likuma 54. panta septītajā daļā noteiktajam mērķim.
17.
Pārvalde var liegt iestādei piekļuvi drošajai informācijas apstrādes videi, ja konstatē tiesiskus, tehniskus vai organizatoriskus informācijas apstrādes pārkāpumus.
IV.Datu glabāšana un personas datu apstrādes uzraudzība drošajā informācijas apstrādes vidē
18.
Pārvalde informāciju, kas saņemta no datu sniedzēja, glabā 24 mēnešus pēc pieprasījuma izpildes, lai pieprasījumu iesniegusī iestāde varētu pārbaudīt iegūto rezultātu vai veikt papildu analīzi sākotnējā pieprasījuma mērķa ietvaros.
19.
Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē un ne retāk kā reizi trijos gados veic personas datu apstrādes revīziju.
20.
Veicot revīziju, Datu valsts inspekcija īsteno Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulā (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) un Fizisko personu datu apstrādes likumā noteiktās tiesības, tostarp tā pieprasa informāciju par drošās informācijas apstrādes vides tehniskajiem un organizatoriskajiem risinājumiem, piekļuves tiesību pārvaldību, piekļuves žurnāliem un Pārvaldes un iestāžu noformētajām sadarbībām.
Ministru prezidents V. Uzvārds
Ministrs V. Uzvārds