Сейм принял и президент государства обнародовал следующий закон:

Закон о защите личных данных физических лиц

Раздел I

Общие положения

Статья 1. Целью настоящего закона является защита основных прав и свобод физических лиц, в частности прав неприкосновенности частной жизни в сфере обработки личных данных физического лица (далее в тексте – личные данные).

Статья 2. В законе употреблены следующие термины:

1) субъект данных - физическое лицо, которое может быть прямо или косвенно идентифицировано путем использования данных, имеющихся в системе обработки данных;

2) согласие субъекта данных - свободное и однозначное волеизъявление субъекта данных, посредством которого субъект данных дает разрешение на обработку своих личных данных;

3) личные данные - любая информация, имеющая отношение к идентифицированному или идентифицируемому физическому лицу;

4) обработка личных данных – любые действия, осуществляемые с личными данными, включая их сбор, регистрацию, ввод, хранение, упорядочивание, преобразование, использование, предоставление, передачу и разглашение, блокирование или удаление;

5) система обработки личных данных - зафиксированная в любой форме структурированная совокупность личных данных, доступ к которой возможен при соблюдении определенных условий;

6) оператор личных данных – лицо, которое по поручению заведующего системой осуществляет обработку личных данных;

7) получатель личных данных – физическое или юридическое лицо, которому предоставляется доступ к личным данным;

8) сенситивные личные данные – личные данные, указывающие на расу, этническое происхождение, религиозную, философскую и политическую убежденность лица, его принадлежность к профессиональным организациям, а также данные, информирующие о состоянии здоровья или сексуальной жизни лица;

9) заведующий системой – физическое или юридическое лицо, управляющее системой обработки личных данных, определяющее ее цели и средства обработки;

10) третье лицо – любое физическое или юридическое лицо, за исключением субъекта данных, заведующего системой, оператора системы и лиц, прямо уполномоченное заведующим системой или оператором личных данных.

Статья 3.

(1) Настоящий закон распространяется на все виды обработки личных данных и на все физические или юридические лица, привлеченные к обработке личных данных, за исключением случаев, приведенных в частях второй и третьей настоящей статьи.

(2) Настоящий закон не распространяется на информационные системы, созданные физическими лицами, обработка данных в которых осуществляется для личного, домашнего или семейного пользования и собранные в которых личные данные не предоставляются третьим лицам.

(3) Настоящий закон не распространяется на обработку личных данных, осуществляемую публичными институциями в сфере национальной безопасности и уголовного права.

Статья 4. Защита личных данных, признанных объектами государственной тайны, регламентируется законом «О государственной тайне».

Статья 5. (1) Статьи 7, 8, 9 и 11 настоящего закона не распространяются на случаи обработки личных данных в журналистских, художественных или литературных целях, если законом не предусмотрено иначе.

(2) Правила части первой настоящей статьи применяются при соблюдении права неприкосновенности частной жизни личности и свободы слова.

Раздел II

Общие принципы обработки личных данных

Статья 6.Каждое физическое лицо обладает правом на защиту своих личных данных.

Статья 7.Обработка личных данных дозволена лишь в случае, если законом не предусмотрено иначе, и при наличии хотя бы одного из следующих условий:

1) наличие согласия субъекта данных;

2) обработка данных предусмотрена договорными обязательствами субъекта данных;

3) обработка данных необходима для осуществления законных обязанностей заведующего системой;

4) обработка данных необходима для защиты жизненно важных интересов субъекта данных, в частности для защиты его жизни и здоровья;

5) обработка данных необходима для обеспечения соблюдения интересов общества или реализации задач публичной власти, для осуществления которых личные данные предоставлены заведующему системой или переданы третьему лицу;

6) обработка данных необходима для реализации законных интересов заведующего системой или третьего лица, которому предоставлены личные данные, при соблюдении основных прав и свобод субъекта данных.

Статья 8.(1) При получении личных данных от субъекта данных заведующий системой обязан предоставить субъекту данных нижеследующую информацию, за исключением случаев, когда субьект данных уже располагает данной информацией:

1) название или имя и фамилия заведующего системой, а также его адрес;

2) намеченная цель обработки данных и обоснование;

3) предполагаемые получатели личных данных;

4) право субъекта данных на доступ к своим личным данным и возможность внести исправления;

5) является ли предоставление ответа обязательным или добровольным, а также возможные последствия отказа от предоставления ответа.

(2) Часть первая настоящей статьи не распространяется на случаи, в которых закон допускает обработку личных данных без раскрытия ее цели.

Статья 9.(1) В случае, если личные данные получены не от субъекта данных, перед предоставлением вышеупомянутых данных третьим лицам заведующий системой обязан предоставить субъекту данных следующую информацию:

1) название или имя и фамилия заведующего системой, а также его адрес;

2) намеченная цель обработки данных;

3) предполагаемые получатели личных данных;

4) источник получения личных данных;

5) право субъекта данных на доступ к своим личным данным и возможность внести исправления.

(2) Часть первая настоящей статьи не распространяется на случаи, когда:

1) закон предусматривает обработку личных данных без предоставления информации о данном факте субъекту данных;

2) при обработке личных данных для научных, исторических или статистических исследований информирование субъекта данных сопряжено с несоразмерными трудностями или невозможно.

Статья 10.(1) В целях защиты интересов субъекта данных заведующий системой обязан обеспечить:

1) законность обработки личных данных;

2) сбор личных данных в соответствии с намеченной целью и в необходимом для этого объеме;

3) способ хранения личных данных, который предоставляет возможность идентификации субьекта данных в течении определенного периода, продолжительность которого не превышает срок, определенный для реализации намеченной цели обработки данных;

4) правильность личных данных и их своевременное обновление, исправление или удаление в случае если личные данные являются неполными или неточными.

(2) Обработка личных данных в изначально непредусмотренных целях допустима только в случаях, если при данной обработке соблюдаются права субъекта данных и данная обработка производится для нужд научных или статистических исследований только в соответствии с условиями, приведенными в части первой статьей 9 и 10 настоящего закона.

Статья 11.Обработка сенситивных личных данных запрещена, за исключением случаев, когда:

1) субъект данных предоставил письменное согласие на обработку своих сенситивных данных;

2) обработка личных данных без согласия на то субъекта данных специально предусмотрена нормативными актами, регулирующими правовые трудовые отношения, и настоящими нормативными актами гарантируется защита личных данных;

3) обработка личных данных необходима для защиты жизни и здоровья субъекта данных или другого лица, и субъект данных в силу своей неправоспособности или по физическим причинам не в состоянии предоставить свое согласие;

4) обработка личных данных необходима для достижения законных, некоммерческих целей общественных организаций и их объединений, в случае если настоящая обработка данных связана только с членами этих организаций и их обеденений и личные данные не будут переданы третьим лицам;

5) обработка личных данных необходима в врачебных целях и осуществляется врачующими лицами или врчебным учреждением при обеспечении надлежащей охраны личных данных;

6) обработка относится к таким личным данным, которые необходимы для защиты законных прав и интересов физического или юридического лица в суде.

Статья 12.

В случае если личные данные относятся к дисциплинарным и административным нарушениям или к решениям суда по гражданским делам, обработку этих данных вправе осуществлять только должностные лица, которые являются полномочными представителями государственных институций или институций самоуправления.

Статья 13.

(1) Заведующий системой обязан в предусмотренных законом случаях предоставить личные данные государственным должностным лицам и должностным лицам самоуправлений. Заведующий системой предоставляет личные данные только тем государственным должностным лицам и должностным лицам самоуправлений, личность которых идентифицирована перед предоставлением данных.

(2) личные данные могут быть разглашены на основании письменного заявления или соглашения при указывании цели использования данных, в случае если законом не предусмотрено иначе. В запросе личных данных указывается информация, позволяющая идентифицировать лицо, запрашивающее данные, и субъекта данных, а также объем запрашиваемых личных данных.

(3) Полученные личные данные разрешено использовать только в указанных целях.

Статья 14.

(1) Обработку личных данных заведующий системой вправе доверить оператору личных данных при заключении с ним письменного договора.

(2) Оператор личных данных вправе обрабатывать личные данные только в том объеме, который оговорен договором, и только в соответствии с предусмотренными целями.

(3) Перед началом обработки личных данных оператором личных данных принимаются меры по защите системы обработки личных данных, указанные заведующим системой, согласно требованиям настоящего закона.

Раздел III

Права субъекта данных

Статья 15.

(1) В дополнение к правам, приведенным встатьях8 и 9 настоящего закона, субъект данных вправе получить всю информацию, собранную о нем в любой из систем обработки личных данных, за исключением случаев, когда разглашение этой информации запрещено законом.

(2) Субъект данных вправе получить информацию о физических или юридических лицах, получивших от заведующего системой на протяжении определенного периода времени информацию о данном субъекте данных. В информацию, предоставляемую субъекту данных, запрещено включать государственные институции, направляющие уголовный процесс, субъекты оперативной деятельности или другие институции, разглашение подобной информации о которых запрещено законом.

(3) Субъект данных правомочен запросить также следующую информацию:

1) название или имя и фамилия заведующего системой, а также его адрес;

2) цель, объем и способ обработки личных данных;

3) дата внесения последних исправлений в личные данные субъекта данных;

4) источник получения личных данных, если законом не запрещено разглашение этой информации;

5) методы обработки, использованные в автоматизированных системах обработки, о применении которых принимаются индивидуальные автоматизированные решения.

(4) Субъект данных вправе в течение месяца со дня подачи соответствующего запроса (не чаще чем два раза в год) бесплатно получить в письменном виде информацию, приведенную в настоящем пункте.

Статья 16.

(1) Субъект данных вправе потребовать дополнения или исправления его личных данных, а также прекращения их обработки или их уничтожения, в случае еслиличные данные являются неполными, устаревшими, недостоверными, противозаконно полученными или же больше не являются необходимыми для цели сбора. В случае если субъект данных в состоянии обосновать то, что личные данные, включенные в систему обработки данных, являются неполными, устаревшими, недостоверными, противозаконно полученными или же больше не являются необходимыми для цели сбора, заведующий системой обязан безотлагательно устранить этот недостаток или нарушение и сообщить об этом третьим лицам, ранее получившим обработанные данные.

(2) В случае если информация была отозванна, заведующий системой обеспечивает доступность как новой, так и отозванной информации, а также одновременное получение вышеупомянутой информации получателем справки.

Статья 17.

Статьи 15 и 16 настоящего закона не распространяются на случаи использования обработанных данных только для нужд научных и статистических исследований и если на основании вышеупомянутых данных по отношению к субъекту данных не предпринимаются никакие действия и не принимаются никакие решения.

Статья 18.

Лицо вправе не подчиняться индивидуальному решению, принятому исключительно на основании данных, обработанных автоматизированным образом. Лицо может быть подчинено вышеупомянутому решению в случае, если такое решение было принято в соответствии с законом или договором, заключенным с субъектом данных.

Статья 19.

Субъект данных вправе возразить против обработки своих личных данных, если они будут использованы в коммерческих целях.

Статья 20.

Субъект данных вправе обжаловать в Государственной инспекции данных отказ заведующего системой предоставить информацию, определенную пунктом 15 настоящего закона, или осуществить действия, определенные пунктом 16 настоящего закона.

Раздел IV

Регистрация и защита системы обработки личных данных

Статья 21.

(1) Все государственные институции и институции самоуправления, а также другие физические и юридические лица, осуществляющие обработку или планирующие приступить к обработке личных данных и создающие системы обработки личных данных, обязаны регистрировать вышеупомянутые системы в порядке, предусмотренном настоящим законом, в случае если законом не предусмотрено иначе.

(2) Порядок регистрации, предусмотренный настоящим законом, не распространяется на случаи обработки личных данных, осуществляемой специально уполномоченными законом институциями в сфере общественной безопасности, борьбы с преступностью или в сфере государственной безопасности и обороны.

Статья 22.

(1) Институции и лица, приведенные в статье 21 настоящего закона, желающие заняться обработкой личных данных и создать систему обработки личных данных, подают в Государственную инспекцию данных регистрационную заявку, содержащую следующую информацию:

1) название (имя, фамилия) институции или лица (заведующего системой), регистрационный код, адрес и номер телефона;

2) имя, фамилия, личный код, адрес и номер телефона полномочного представителя заведующего системой;

3) правовая основа деятельности системы личной обработки данных;

4) какие личные данные будут охвачены данной системой, для каких целей она предусмотрена и каков будущий объем обработки личных данных;

5) категории субъектов данных;

6) категории получателей личных данных;

7) предусмотренный способ обработки личных данных;

8) планируемый способ получения личных данных и механизм контроля их качества;

9) другие системы обработки данных, с которыми будет связана регистрируемая система;

10) какие личные данные смогут быть получены из регистрируемой системы с нею связанными другими системами, и какие данные регистрируемая система сможет получить из связанных систем;

11) способ передачи данных регистрируемой системы другой системе;

12) коды идентификации физических лиц, которые будут применяться в регистрируемой системе;

13) способ обмена информацией с субъектом данных;

14) порядок получения субъектом данных информации о себе, а также прочей информации, приведенной встатьях8 и 9 настоящего закона;

15) порядок дополнения и обновления личных данных;

16) технические и организационные мероприятия, обеспечивающие защиту личных данных;

17) какие личные данные будут переданы другим странам.

(2) Перед регистрацией системы обработки личных данных Государственная инспекция данных осуществляет проверку обработки личных данных этой системы.

(3) При регистрации системы обработки личных данных, Государственная инспекция данных выдает заведующему системой или полномочному представителю заведующего системой регистрационное удостоверение системы обработки личных данных.

(4) Изменения, вносимые в информацию, приведенную в части первой настоящей статьи, предварительно регистрируются в Государственной инспекции данных.

Статья 23.

Государственная инспекция данных вправе отказать в регистрации системы обработки личных данных, если:

1) не предоставлена вся предусмотренная статьей 22 настоящего закона информация;

2) при проверке системы обработки личных данных обнаружены нарушения.

Статья 24.

(1) Государственная инспекция данных включает всю предусмотренную статьей 22 настоящего закона информацию в регистр систем обработки личных данных. Регистр является публично доступным документом.

(2) Информация о зарегистрированных системах обработки личных данных публикуется в предусмотренном нормативными актами порядке.

Статья 25.

(1) Заведующий системой обязан применять необходимые технические и организационные средства для защиты личных данных и предотвращения их незаконной обработки.

(2) Заведующий системой контролирует вид личных данных, вводимых в систему обработки личных данных, и время их введения, а также несет ответственность за действия лица, осуществляющего обработку личных данных.

Статья 26.

Обязательные требования предявляемые к защите систем обработки личных данных определяются Кабинетом министров.

Статья 27.

(1) Физические лица, привлеченные к обработке личных данных, в письменной форме обязываются сохранять и не разглашать личные данные в непредусмотренном законе порядке. В обязанности этих лиц также входит неразглашение личных данных после прекращения правовых трудовых или других договорных отношений.

(2) В обязанности заведующего системой входит ведение учета лиц, упомянутых в части первой настоящей статьи.

(3) При обработке личных данных оператор данных обязан соблюдать указания заведующего системой.

Статья 28.

(1) Личные данные могут быть переданы другой стране в случае, если этой страной обеспечивается такой уровень защиты данных, который соответствует соответствующему уровню защиты данных, действующему на территории Латвии, и и имеется письменное разрешение Государственной инспекции данных.

(2) Исключения из требований, приведенных в части первой настоящей статьи, допустимы при выполнении хотя бы одного из нижеследующих условий:

1) субъект данных дал свое согласие на предоставление данных другой стране;

2) предоставление данных является необходимым условием выполнения договоренности между субъектом данных и заведующим системой, или же личные данные предоставляются в соответствии с договорными обязательствами субъекта данных;

3) предоставление данных необходимо и в надлежащем порядке запрошено в связи с важными государственными и общественными интересами или необходимо для судопроизводства;

4) предоставление личных данных необходимо для сохранения жизни и здоровья субъекта данных;

5) предоставление данных касается публичных личных данных или личных данных, хранящихся в публично доступном регистре.

Статья 29.

(1) Надзор над защитой личных данных осуществляет Государственная инспекция данных, находящаяся под надзором Министерства юстиции. Государственной инспекцией данных руководит директор, назначаемый на должность и смещаемый от должности Кабинетом Министров по предложению министра юстиции.

(2) Государственная инспекция данных действует на основании устава, утвержденного Кабинетом Министров. Государственная инспекция данных каждый год представляет Кабинету министров доклад о своей деятельности и публикует его в газете «Латвияс Вестнесис».

(3) Государственная инспекция данных имеет следующий круг обязанностей в сфере защиты личных данных:

1) обеспечить в стране соответствие обработки личных данных требованиям настоящего закона;

2) принимать решения и рассматривать жалобы, связанные с защитой личных данных;

3) регистрировать системы обработки личных данных;

4) инициировать и осуществлять действия, направленные на более эффективную защиту личных данных;

5) совместно с генеральной дирекцией Латвийского Государственного архива принимать решения по вопросу сдачи систем обработки личных данных на хранение в государственных архивах.

(4) Государственная инспекция данных имеет следующие права в сфере защиты личных данных:

1) в порядке, определенном нормативными актами, бесплатно получать от физических и юридических лиц информацию, необходимую для осуществления деятельности инспекции;

2) осуществлять предрегистрационную проверку системы обработки личных данных;

3) потребовать блокирование данных, удаление или уничтожение недостоверных или полученных незаконным путем данных, наложить постоянный или временный запрет на обработку данных;

4) возбудить иск о нарушениях настоящего закона.

Статья 30.

(1) В целях выполнения обязанностей, приведенных в части третьей статьи 29 настоящего закона, директор и уполномоченные инспекторы Государственной инспекции данных при предъявлении служебного удостоверения вправе:

1) бесприпятственно входить в любые нежилые помещения, в которых находятся системы обработки данных, и в присутствии заведующего системой осуществлять необходимую проверку или другие мероприятия по определению соответствия процесса обработки личных данных закону;

2) потребовать письменное или устное пояснение от любого физического или юридического лица, имеющего отношение к обработке личных данных;

3) потребовать предъявления документов и предоставления другой информации, относящейся к проверяемой системе обработки личных данных;

4) потребовать проверку системы обработки личных данных, любой ее установки или носителя информации и назначить экспертизу для расследования проверяемых вопросов;

5) для обеспечения выполнения своих обязанностей в случае необходимости привлечь работников правоохранительных учреждений;

6) в случае необходимости подготовить и представить в правоохранительные учреждения материалы для привлечения виновных лиц к ответственности.

(2) Сотрудники Государственной инспекции данных, выполняющие обязанности по регистрации и проверке, обеспечивают неразглашение информации, полученной в ходе регистрации и проверок, за исключением публично доступной информации. Настоящий запрет остается в силе также после прекращения выполнения должностных обязанностей работника.

Статья 31.

Решения Государственной инспекции данных могут быть обжалованы в суде.

Статья 32.

В случае если в результате нарушения настоящего закона лицу был причинен вред или нанесен ущерб, оно вправе получить соответствующее возмещение ущерба.

Постановление о переходе

1. Раздел IV «Регистрация и защита системы обработки личных данных» настоящего закона вступает в силу с 1 января 2001 года.

2. Институции и лица, упомянутые в статье 21 настоящего закона, начавшие деятельность до вступления в силу настоящего закона, обязаны регистрироваться в Государственной инспекции данных до 2 января 2002 года. Деятельность незарегистрированных систем по истечении данного периода должна быть прекращена.

Закон принят Саеймой 23 марта 2000 года.

Президент страны В. Вике-Фрейберга

г. Рига, 6 апреля 2000 года.