Anotācija (ex-ante)

26-TA-449: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Noteikumi par informācijas iekļaušanu, apstrādi un personas datu apstrādes uzraudzību Centrālās statistikas pārvaldes drošajā informācijas apstrādes vidē" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība

1.1. Pamatojums

Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Valsts pārvaldes iekārtas likuma 54. panta septītā daļa noteiktā pienākuma izstrādāt noteikumus izpilde.

1.2. Mērķis

Mērķa apraksts
Ministru kabineta noteikumu izstrādes mērķis ir noteikt vienotu kārtību, kādā Centrālā statistikas pārvaldes (turpmāk - Pārvalde) uzturētajā drošajā informācijas apstrādes vidē iekļauj un apstrādā valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju, tai skaitā personas datus. Noteikumi nosaka procedūru informācijas apstrādes pieprasījumu iesniegšanai un izvērtēšanai, piekļuves piešķiršanai drošajā vidē, datu sniedzēja pienākumus informācijas nodošanai, kā arī kārtību, kā Datu valsts inspekcija uzrauga personas datu apstrādi.
Spēkā stāšanās termiņš
Vispārējā kārtība

1.3. Pašreizējā situācija, problēmas un risinājumi

Pašreizējā situācija
Valsts pārvaldes iekārtas likums (turpmāk – VPIL) paredz stiprināt Pārvaldes lomu kā valsts galvenajai datu aģentūrai jeb “vienas pieturas punktam”, kas nodrošina dažādu iestāžu rīcībā esošās informācijas savietošanu vienotā un drošā vidē. Šīs pieejas mērķis ir veicināt datos balstītu lēmumu pieņemšanu un pilnveidot valsts, reģionālā un vietējā līmeņa politikas plānošanu, kā arī publisko pakalpojumu attīstību, vienlaikus samazinot administratīvo slogu iestādēm.

VPIL 54. panta septītā daļa paredz, ka Pārvalde izveido un uztur drošu informācijas apstrādes vidi valsts informācijas sistēmās un institūciju informācijas sistēmās esošās informācijas, tai skaitā personas datu, apstrādei, kā arī nosaka, ka Ministru kabinets reglamentē kārtību, kādā iestādes sniedz drošajā informācijas apstrādes vidē iekļaujamo informāciju, tās apstrādes noteikumus un kārtību, kā Datu valsts inspekcija uzrauga personas datu apstrādi.
Pašlaik nav izdoti Ministru kabineta noteikumi, kas detalizēti reglamentētu informācijas iekļaušanas un apstrādes kārtību drošajā informācijas apstrādes vidē, pieprasījumu iesniegšanas un izvērtēšanas procesu, piekļuves piešķiršanas nosacījumus, datu sniedzēja pienākumus informācijas nodošanā, kā arī personas datu apstrādes uzraudzības mehānismu. Līdz ar to normatīvais regulējums ir nepilnīgs un praktiskā piemērošana var radīt tiesisko nenoteiktību.
 
Problēmas un risinājumi
Problēmas apraksts
Līdz šim valsts pārvaldes iestādes pārsvarā strādā ar savā rīcībā esošajiem datiem, savukārt informācijas apmaiņa starp dažādu resoru iestādēm bieži ir sarežģīta, laikietilpīga vai ierobežota. Tas apgrūtina dažādu institūciju datu savietošanu un kopīgu analīzi, kas nepieciešama uz pierādījumiem balstītu lēmumu pieņemšanai, efektīvākai politikas plānošanai un publisko pakalpojumu pilnveidošanai.

Nepastāvot vienotai un detalizētai kārtībai, nav skaidri noteikts:
1. informācijas apstrādes pieprasījumu iesniegšanas, izvērtēšanas un saskaņošanas process;
2.piekļuves piešķiršanas nosacījumi un informācijas apstrādes kārtība drošajā informācijas apstrādes vidē;
3. datu sniedzēja pienākumi un informācijas nodošanas tehniskie un organizatoriskie aspekti;
4. personas datu apstrādes uzraudzības mehānisms un institucionālā sadarbība ar Datu valsts inspekciju.
Šāda situācija var radīt atšķirīgu praksi starp iestādēm, kavēt efektīvu datu izmantošanu valsts pārvaldes funkciju īstenošanai, kā arī palielināt tiesiskos un datu aizsardzības riskus.
Risinājuma apraksts
1. Drošās informācijas apstrādes vides mērķis un vispārīgs apraksts

Pārvalde uztur vienotu un drošu informācijas apstrādes vidi, kurā institūcijas analizē savietotus datus. Šādā vidē iestādēm vairs nav nepieciešams savstarpēji pieprasīt datus individuālā kārtībā. Tas ļauj efektīvāk plānot politiku valsts, reģionālajā un vietējā līmenī, identificēt un analizēt nozares riskus, kā arī pilnveidot publiskos pakalpojumus.
Lai nodrošinātu VPIL 54. panta septītās daļas izpildi un vienotu tiesisko regulējumu, ar noteikumu projektu tiek noteikta kārtība, kādā:
1.1. Pārvalde konsultē iestādes un pieņem informācijas apstrādes pieprasījumus;
1.2. tiek piešķirta piekļuve un organizēta informācijas apstrāde drošajā informācijas apstrādes vidē;
1.3. datu sniedzēji sniedz drošajā informācijas apstrādes vidē iekļaujamo informāciju;
1.4. Pārvalde saņemto informāciju apstrādā, tai skaitā veic datu pseidonimizāciju vai anonimizāciju, kā arī apvieno to ar citu informāciju, un sagatavo iekļaušanai drošajā informācijas apstrādes vidē;
1.5. Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē.
Noteikumu pieņemšana nodrošinās tiesisko skaidrību, vienotu piemērošanu, pārskatāmu piekļuves un uzraudzības mehānismu, kā arī atbilstošu personas datu aizsardzības prasību ievērošanu.

2. Terminu skaidrojums

2.1. Termini „iestāde" un „institūcija"
Noteikumos tiek lietoti divi termini, kas pārņemti no VPIL 54. panta septītās daļas:
2.1.1. termins „iestāde" lietots VPIL 1. panta 3. punkta izpratnē — institūcija, kura darbojas publiskas personas vārdā un kurai ar normatīvo aktu noteikta kompetence valsts pārvaldē, piešķirti finanšu līdzekļi tās darbības īstenošanai un ir savs personāls;
2.1.2. termins „institūcija" lietots tikai vārdkopā „institūciju informācijas sistēmas" atbilstoši Valsts informācijas sistēmu likuma 1. pantā ietvertajai terminoloģijai.

2.2. Jēdziens „apstrādes ierobežojumi"
Noteikumu projekta 2.1. apakšpunktā lietotais jēdziens „apstrādes ierobežojumi" aptver šādas kategorijas:
2.2.1. juridiskie ierobežojumi – datu apstrādes aizliegumi vai ierobežojumi, kas izriet no normatīvajiem aktiem, tai skaitā speciālo likumu un to izpildei izdoto Ministru kabineta noteikumiem;
2.2.2. Pārvaldes tehniskie ierobežojumi – ierobežojumi, kas saistīti ar drošās informācijas apstrādes vides tehniskajām iespējām;
2.2.3. datu sniedzēja tehniskie ierobežojumi – gadījumi, kad datu sniedzēja informācijas sistēmā nav tehnisku risinājumu attiecīgo datu atlasei, strukturēšanai vai nodošanai Pārvaldei pieprasītajā apjomā un formātā.

3. Drošās informācijas apstrādes vides raksturojums

Drošā informācijas apstrādes vide ir Pārvaldes jau izveidota un uzturēta integrēta tehnoloģiska un organizatoriska sistēma, kas darbojas Pārvaldes informācijas un komunikācijas tehnoloģiju infrastruktūras ietvaros un ir nošķirta no Pārvaldes statistikas pamatdarbības sistēmām ar atsevišķiem procesiem, piekļuves mehānismiem un drošības režīmu. Drošā informācijas apstrādes vide netiek veidota no jauna — šie noteikumi reglamentē tās izmantošanas kārtību iestāžu vajadzībām atbilstoši VPIL 54. panta septītajai daļai.
Drošā informācijas apstrādes vide atbilst Eiropas Parlamenta un padomes 2022. gada 30. maija Regulā (ES) 2022/868 par Eiropas datu pārvaldību un ar ko groza Regulu (ES) 2018/1724 (Datu pārvaldības akts) noteiktajai drošas apstrādes vides definīcijai.
Drošā informācijas apstrādes vide ietver fiziskus un virtuālus tehniskos līdzekļus un organizatoriskos pasākumus, kas nodrošina personas datu apstrādes atbilstību VDAR prasībām, jo īpaši attiecībā uz datu subjektu tiesībām, kā arī datu konfidencialitāti, integritāti un kontrolētu piekļuvi. Pārvalde kā vides nodrošinātājs nosaka un uzrauga visas datu apstrādes darbības drošajā informācijas apstrādes vidē.
Drošā informācijas apstrādes vide tiek uzturēta atbilstoši Ministru kabineta 2025. gada 25. jūnija noteikumiem Nr. 397 „Minimālās kiberdrošības prasības" un Pārvaldes informācijas drošības vadības sistēma ir sertificēta atbilstoši ISO/IEC 27001:2022 standartam.

4. Pieprasījuma izvērtēšana un piekļuves piešķiršana

4.1. Piekļuves piešķiršanas tvērums un izvērtējuma saturs
Ar piekļuves piešķiršanu drošajai informācijas apstrādes videi saprotams ne tikai tehniskas piekļuves nodrošināšana sistēmai, bet arī Pārvaldes veiktais izvērtējums par pieprasītās informācijas apstrādes tiesisko pamatu saskaņā ar VPIL 54. panta septīto daļu, mērķi un nepieciešamo informācijas apjomu. Iestādei pieprasījumā ir pienākums norādīt informācijas apstrādes tiesisko pamatu, mērķi, sasniedzamo rezultātu, nepieciešamo informāciju, kā arī sniegt aprakstu par personas datu apstrādes minimizācijas principa ievērošanu. Pārvalde, izvērtējot pieprasījumu, pārbauda šīs informācijas atbilstību un nepieciešamību, kā arī nosaka drošajā informācijas apstrādes vidē pieejamo informācijas detalizācijas pakāpi.

4.2. Speciālā regulējuma ierobežojumu izvērtēšana
VPIL 54. panta septītā daļa nosaka iestādei (datu sniedzējam) pienākumu pēc Pārvaldes lūguma nodot drošajā informācijas apstrādes vidē iekļaujamo informāciju. Likums datu sniedzējam nepiešķir tiesības pēc saviem ieskatiem atteikt šādu sniegšanu, bet to ierobežo: saskaņā ar VPIL 54. panta otro daļu sadarbību, tostarp informācijas sniegšanu, iestāde var atteikt VPIL 56. pantā noteiktajos gadījumos. Papildus atteikuma iemesls var būt arī VPIL 54. panta sestā daļa. VPIL 54. panta sestās daļas un 56. panta vienīgais tiesiskais gadījums, kad iestāde pieprasīto informāciju neizsniedz, ir tad, ja tās izsniegšanu vai nodošanu aizliedz vai ierobežo speciāls normatīvais akts.
Šādā gadījumā informācija netiek izsniegta nevis kā iestādes izvēle, bet kā speciālajā likumā noteikta aizlieguma izpilde — pilnībā, ja aizliegums attiecas uz visu pieprasīto informāciju, vai daļēji, ja tikai uz tās daļu.
Noteikumu projekts un Valsts pārvaldes iekārtas likuma 54. pants ir vispārīgais regulējums, kas speciālo informācijas aprites regulējumu neaizstāj un negroza. Tādēļ, ja kādam no 54. panta septītajā daļā noteiktajiem mērķiem nepieciešams izmantot informāciju, kuras izsniegšanu vai izmantošanu attiecīgajam mērķim speciāls normatīvais akts neatļauj, šādas informācijas iekļaušana drošajā informācijas apstrādes vidē ir iespējama tikai pēc tam, kad izdarīti attiecīgi grozījumi šajā speciālajā normatīvajā aktā. Vispārīgais regulējums šādu piekļuvi pats par sevi nerada.
Ja speciāla izsniegšanas aizlieguma nav, iestādei ir pienākums informāciju sniegt, un atteikšanās nav pieļaujama. Šaubu gadījumā par speciāla ierobežojuma piemērojamību, datu sniedzējs ar Pārvaldi sadarbības veidā vienojas par informācijas nodošanas iespējamību un apjomu.
Pārvalde arī patstāvīgi, ne tikai paļaujoties uz datu sniedzēju, izvērtē speciālajos normatīvajos aktos noteiktos informācijas izmantošanas un nodošanas ierobežojumus, kas var attiekties gan uz personas datiem, gan citu informāciju. Ja speciālais regulējums nosaka ierobežojumus vai aizliegumu konkrētas informācijas apstrādei vai nodošanai citai institūcijai, Pārvalde saskaņā ar noteikumu projekta 7. punktu, VPIL 54. panta otro daļu, sesto daļu, var atteikt piekļuvi attiecīgajai informācijai vai noteikt tās izmantošanas ierobežojumus drošajā informācijas apstrādes vidē.
Tādējādi lēmums par piekļuvi drošajai informācijas apstrādes videi praksē ietver gan piekļuvi pašai videi, gan lēmumu par piekļuvi informācijai un to apjomu konkrētā apstrādes mērķa sasniegšanai.
Speciālais regulējums šo noteikumu izpratnē ir tādas normatīvā akta normas, kas tieši nosaka informācijas izmantošanas, nodošanas vai izsniegšanas ierobežojumus vai aizliegumus, vai paredz īpašu informācijas pieprasīšanas un sniegšanas kārtību, vai nosaka konkrētus subjektus, kam ir tiesības saņemt informāciju.
Speciālais regulējums attiecas, piemēram, uz šādām informācijas kategorijām:
— valsts drošības interesēs aizsargājamā informācija (Valsts drošības iestāžu likuma 17. un 19. pants, Ministru kabineta 2004. gada 26. oktobra noteikumi Nr. 887);
— valsts noslēpuma objekti un informācija, kas klasificēta atbilstoši likumam „Par valsts noslēpumu";
— veselības dati un to sekundārā izmantošana (Eiropas Parlamenta un Padomes 2025. gada 11. februāra Regula (ES) 2025/327 par Eiropas veselības datu telpu, Pacientu tiesību likums, Ārstniecības likums);
— īpašas kategorijas personas dati VDAR 9. panta izpratnē (dati par rasi vai etnisko izcelsmi, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, ģenētiskie dati, biometriskie dati personas unikālai identificēšanai, veselības dati, dati par dzimumdzīvi vai seksuālo orientāciju);
— kredītiestāžu klientu un darījumu informācija, uz kuru attiecas neizpaužamu ziņu (komercnoslēpuma) režīms saskaņā ar Kredītiestāžu likuma 63. pantu;
— adopcijas un aizgādnības lietu informācija (Bērnu tiesību aizsardzības likums, Civillikums);
— operatīvās darbības informācija un izmeklēšanas datu konfidencialitāte (Operatīvās darbības likums, Kriminālprocesa likums)
— jebkāda (visa) informācija par nodokļu maksātāju saskaņā ar likuma “Par nodokļiem un nodevām” 22.panta pirmo daļu, izņemot likumā noteiktos gadījumus.

4.3. Pārvaldes konsultatīvās funkcijas tvērums
Pārvaldes konsultatīvā funkcija aptver tikai vispārīgu informāciju par drošajā informācijas apstrādes vidē iekļaujamo datu kategorijām, izmantošanas iespējām, datu apvienošanas iespējām un apstrādes vispārīgajiem ierobežojumiem. Konsultācijas saturs atbilst Pārvaldes kā drošās informācijas apstrādes vides nodrošinātāja kompetencei un nepārsniedz to.
Datu sniedzēja metodiskā vadība attiecībā uz konkrētās informācijas sistēmas darbību un datu apstrādes specifiskajiem noteikumiem saglabājas attiecīgo datu sniedzēja kompetencē saskaņā ar normatīvajiem aktiem, kas reglamentē šo informācijas sistēmu darbību. Pārvalde šajā kompetences jomā neiejaucas.
Pārvalde konsultatīvajā funkcijā balstās uz publiski pieejamu informāciju par valsts informācijas sistēmām un to saturu, kā arī uz iestādes pieprasījumā norādīto. Ja iestādei rodas detalizēti jautājumi par konkrētas informācijas sistēmas datu saturu, struktūru, kvalitāti vai izsniegšanas kārtību, Pārvalde iestādi novirza uz attiecīgo datu sniedzēju vai uzdod personīgi tam jautājumus.
Noteikumu projekts neparedz datu sniedzēju pienākumu sniegt Pārvaldei detalizētu metodisko informāciju vai apmācības par to pārziņā esošo informācijas sistēmu darbību, datu apstrādes noteikumiem vai izsniegšanas kārtību. Pārvaldei nepieciešamās tehniskās ziņas par konkrētajā pieprasījumā nepieciešamajiem datiem tiek precizētas tikai pēc konkrēta pieprasījuma saņemšanas un attiecas uz konkrētajā gadījumā nepieciešamo informāciju, nevis uz vispārīgu apmācību par sistēmas darbību. Tādējādi noteikumu projekts neparedz Pārvaldes un datu sniedzēju kompetenču pārklāšanos, neuzliek datu sniedzējam papildu metodiskās vadības pienākumu un nerada papildu administratīvo slogu datu sniedzējam.

4.4. Papildu pieprasījumu izvērtēšana saderības principa kontekstā
Noteikumu projekta 10. punkts paredz, ka iestādes papildu informācijas pieprasījums viena pieprasījuma ietvaros tiek vērtēts saderības principa kontekstā. Ja papildu apstrāde ir saderīga ar sākotnēji izvērtēto informācijas apstrādes mērķi un atbilst iepriekš veiktajam tiesiskā pamata izvērtējumam, atkārtota izvērtēšana nav nepieciešama. Ja papildu pieprasījums maina apstrādes mērķi vai citādi pārsniedz sākotnējā tiesiskā pamata izvērtējuma tvērumu, Pārvalde veic atkārtotu pieprasījuma izvērtēšanu Noteikumu 5. punktā noteiktajā kārtībā.
Saderības izvērtējums ir tiesiska procedūra, kuras ietvaros Pārvalde pārbauda papildu pieprasījuma satura sakritību ar sākotnējo apstrādes mērķi. Šāda diferencēta pieeja nodrošina samērīgu administratīvo slogu un vienlaikus garantē, ka katra apstrādes paplašināšana ārpus sākotnējā mērķa tiek pakļauta atkārtotai juridiskai pārbaudei.

5. Informācijas saņemšana no datu sniedzējiem

Datu sniedzējs informāciju nodod Pārvaldei, izmantojot tā informācijas sistēmā jau esošos datu apstrādes un nodošanas risinājumus. Datu sniedzējam nav pienākuma izveidot jaunus tehniskus risinājumus, ja datu sniedzēja informācijas sistēmas tehniskās iespējas tādu izveidi nepieļauj vai tas radītu nesamērīgu administratīvo un finansiālo slogu. Šādos gadījumos Pārvalde un datu sniedzējs vienojas par iespējām izmantot alternatīvu informācijas nodošanas veidu sadarbības ietvaros saskaņā ar VPIL VII. nodaļu, ja tehniski to ir iespējams izdarīt un ir īstenojams piešķirtā budžeta ietvaros.
Datu saņemšanai no datu sniedzēja tiks izmantota Datu izplatīšanas un pārvaldības platforma, iepriekš izvērtējot tās izmantošanas lietderīgumu.

6. Piekļuves piešķiršana drošajai informācijas apstrādes videi

Pārvalde, piešķirot piekļuvi drošajai informācijas apstrādes videi, nosaka darbības organizatoriskos un drošības aspektus, tostarp piekļuves tiesību piešķiršanas kārtību, lietotāju atbildību, informācijas izmantošanas nosacījumus un rezultātu izneses kontroli drošajā informācijas apstrādes vidē.
Strīdi par Pārvaldes pieņemto lēmumu par piekļuves atteikumu drošajai informācijas apstrādes videi tiek risināti VPIL noteiktajā kārtībā, kā arī piemērojot VPIL VII. nodaļā noteikto par iestāžu savstarpējo sadarbību.

7. Iestādes pienākumi, apstrādājot informāciju drošajā informācijas apstrādes vidē

Iestādei, apstrādājot informāciju drošajā informācijas apstrādes vidē, jāievēro:
(1) Noteikumos paredzētie apstrādes nosacījumi;
(2) spēkā esošajos normatīvajos aktos noteiktās informācijas un personas datu apstrādes drošības prasības, tostarp VDAR, Nacionālo kiberdrošības likumu un Ministru kabineta 2025. gada 25. jūnija noteikumu Nr. 397 „Minimālās kiberdrošības prasības" prasības;
(3) Pārvaldes noteiktās tehniskās lietošanas un drošības prasības, kas nepieciešamas, lai Pārvalde varētu izpildīt savus pienākumus saskaņā ar šiem noteikumiem, tostarp:
— nodrošināt informācijas apstrādes rezultātu izneses kontroli (piemēram, izneses pieprasījumu noformēšanas kārtība, anonimizēšanas pārbaudes nosacījumi);
— uzraudzīt iestādes piekļuves tiesību izmantošanu un piekļuves žurnālu uzturēšanu;
— novērst tehniskus vai organizatoriskus pārkāpumus;
— nodrošināt drošās informācijas apstrādes vides integritāti un visu lietotāju datu konfidencialitāti.

8. Maksas pakalpojumu apmērs

Informācijas sagatavošana un konsultācijas par informācijas apstrādes iespējām drošajā informācijas apstrādes vidē iestādēm tiek nodrošinātas bez maksas. Noteikumu 12. punktā noteiktā maksa attiecas tikai uz drošās informācijas apstrādes vides tehnisko resursu (serveru jaudas, datu apstrādes resursu, tīkla resursu) izmantošanu. Līdzīgi kā jau šobrīd drošās informācijas apstrādes vidi var izmantot Statistikas likumā noteiktajā kārtībā un maksa ir noteikta Pārvaldes maksas pakalpojumu cenrādī (Ministru kabineta 2022. gada 10. maija noteikumi Nr. 274 „Centrālās statistikas pārvaldes maksas pakalpojumu cenrādis", https://likumi.lv/ta/id/332257).
Ņemot vērā, ka Pārvaldei ir paredzēta datu centra migrācija pie atsevišķa tehnisko resursu uzturētāja, noteikumu projektā paredzētā maksa ir noteikta atbilstoši tehnisko resursu nodrošinātāja noteiktajām izmaksām.
Tādējādi pieprasījuma iesniedzējam, plānojot drošās informācijas apstrādes vides izmantošanu, jāizvērtē pieprasāmās informācijas apjoma un apstrādes ilguma faktiskā nepieciešamība, vienlaikus ievērojot personas datu apstrādes minimizācijas principu un samērojot pieprasījuma apjomu ar tehnisko resursu izmantošanas izmaksām, lai nodrošinātu valsts budžeta līdzekļu lietderīgu izlietojumu Publiskas personas finanšu līdzekļu un mantas izšķērdēšanas novēršanas likuma izpratnē.

 
Vai ir izvērtēti alternatīvie risinājumi?
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?

1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību

1.5. Pēcpārbaudes (ex-post) izvērtējums

Vai tiks veikts?

1.6. Cita informācija

-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Cita informācija
-
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?

5.3. Cita informācija

Apraksts
-

6.1. Projekta izstrādē iesaistītās institūcijas

Valsts un pašvaldību institūcijas
Ekonomikas ministrija
Nevalstiskās organizācijas
Cits

6.2. Sabiedrības līdzdalības organizēšanas veidi

Veids
Publiskā apspriešana
Saite uz sabiedrības līdzdalības rezultātiem
https://tapportals.mk.gov.lv/public_participation/afcf2386-6472-4e51-80a8-de822acfc17a

6.3. Sabiedrības līdzdalības rezultāti

Viedokļi nav iesniegti

6.4. Cita informācija

-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?

7.1. Projekta izpildē iesaistītās institūcijas

Institūcijas
  • Centrālā statistikas pārvalde
  • Datu valsts inspekcija

7.2. Administratīvo izmaksu monetārs novērtējums

Vai projekts skar šo jomu?

7.3. Atbilstības izmaksu monetārs novērtējums

Vai projekts skar šo jomu?

7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru

Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
-
2. Tiks likvidēta institūcija
-
3. Tiks veikta esošās institūcijas reorganizācija
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Centrālās statistikas pārvaldes funkcijas tiek paplašinātas datu pārvaldības jomā, paredzot tai jaunu uzdevumu — nodrošināt drošās informācijas apstrādes vides pārvaldību saskaņā ar Valsts pārvaldes iekārtas likuma 54. panta septīto daļu. Pārvalde uzņemas iestāžu pieprasījumu izvērtēšanu, piekļuves nodrošināšanu drošajai videi, tās tehnisko uzturēšanu un izneses kontroli. Šis uzdevums papildina Pārvaldes esošās funkcijas oficiālās statistikas un valsts datu pārvaldības jomā un nostiprina tās lomu kā kompetences centru drošai datu apstrādei valsts pārvaldē.
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Drošās informācijas apstrādes vides darbība efektivizē Centrālās statistikas pārvaldes iekšējos datu apstrādes procesus, nodrošinot vienotu, centralizētu vidi iestāžu datu pieprasījumu apkalpošanai. Tas ļauj Pārvaldei optimizēt resursu izmantošanu, samazināt atkārtotu datu sagatavošanas darbu, kā arī standartizēt piekļuves piešķiršanas, tehniskā atbalsta un kontroles procesus. Vienlaikus tiek pilnveidota sadarbība ar datu sniedzējiem un datu lietotājiem, izmantojot vienotus tehniskos un procesuālos risinājumus.
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Centrālās statistikas pārvalde paplašina savas drošās informācijas apstrādes vides izmantošanas iespējas.
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Centrālās statistikas pārvalde optimizē procesus, lai esošo cilvēkresursu ietvaros, nodrošinātu savas drošās informācijas apstrādes vides izmantošanas iespējas citām iestādēm.
8. Cita informācija
-

7.5. Cita informācija

Tiesību akta projekta īstenošana tiks nodrošināta esošo budžeta līdzekļu ietvaros, un tas neparedz papildu finansējuma piešķiršanu vai jaunu institūciju izveidi.
Tieši iesaistītā institūcija ir Centrālā statistikas pārvalde, kas izveido un uztur drošo informācijas apstrādes vidi un nodrošina pieprasījumu izvērtēšanu un piekļuves piešķiršanu.
Personas datu apstrādes uzraudzību drošajā informācijas apstrādes vidē veic Datu valsts inspekcija.
Datu pieprasītāju (iestāžu, kas iesniedz pieprasījumu drošās informācijas apstrādes vides izmantošanai) un datu sniedzēju (iestāžu, kuru rīcībā ir pieprasītā informācija) loks ir nenoteikts un konkretizējas tikai brīdī, kad iestāde iesniedz attiecīgu pieprasījumu.
Projekts precizē un strukturē jau pastāvošus sadarbības un informācijas apstrādes procesus, kas tiek īstenoti institūciju kompetences un piešķirto resursu ietvaros, līdz ar to papildu ietekme uz institucionālo kapacitāti vai budžetu netiek radīta.
Tiesību akta projekts var radīt ietekmi uz datu sniedzēju iestādēm cilvēkresursu un tehnisko resursu izmantošanas izteiksmē, sagatavojot datus nodošanai Pārvaldei. Šī ietekme nav iepriekš precīzi prognozējama, jo tā ir atkarīga no konkrētā pieprasījuma apjoma un sarežģītības. Sadarbība notiek valsts pārvaldes iekārtas sadarbības principa ietvaros, izmantojot datu turētāja informācijas sistēmas jau esošos datu apmaiņas un nodošanas risinājumus, neradot pienākumu izveidot jaunus tehniskus risinājumus, ja datu turētājam tādu izveides iespēju nav.
Drošās informācijas apstrādes vides darbība un izmantošanas kārtība detalizēti aprakstīta anotācijas 1.3. sadaļā.
 
8. Horizontālās ietekmes

8.1.1. uz publisku pakalpojumu attīstību

Vai projekts skar šo jomu?

8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību

Vai projekts skar šo jomu?

8.1.3. uz informācijas sabiedrības politikas īstenošanu

Vai projekts skar šo jomu?

8.1.4. uz Nacionālā attīstības plāna rādītājiem

Vai projekts skar šo jomu?

8.1.5. uz teritoriju attīstību

Vai projekts skar šo jomu?

8.1.6. uz vidi

Vai projekts skar šo jomu?

8.1.7. uz klimatneitralitāti

Vai projekts skar šo jomu?

8.1.8. uz iedzīvotāju sociālo situāciju

Vai projekts skar šo jomu?

8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām

Vai projekts skar šo jomu?

8.1.10. uz dzimumu līdztiesību

Vai projekts skar šo jomu?

8.1.11. uz veselību

Vai projekts skar šo jomu?

8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību

Vai projekts skar šo jomu?

8.1.13. uz datu aizsardzību

Vai projekts skar šo jomu?
Apraksts
Projekts skar personas datu apstrādi, jo tas nosaka kārtību, kādā Pārvalde drošajā informācijas apstrādes vidē iekļauj un apstrādā valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju, tostarp personas datus. Personas datu apstrāde tiks veikta saskaņā ar VDAR 6. panta 1. punkta c) un e) apakšpunktu sabiedrības interesēs, ievērojot VPIL 54. panta septītajā daļā noteiktos mērķus un citus piemērojamos normatīvos aktus.

Personas datu pārziņi

Datu turētājs ir personas datu pārzinis līdz brīdim, kad informācija, pamatojoties uz Pārvaldes lēmumu un atbilstoši Pārvaldes pieprasījumam, tiek nodota Pārvaldei iekļaušanai drošajā informācijas apstrādes vidē.

Pārvalde un iestāde, kuras pieprasījumā norādītā informācija tiek apstrādāta drošajā informācijas apstrādes vidē, attiecībā uz personas datu apstrādi šajā vidē ir uzskatāmas par kopīgiem pārziņiem VDAR 26. panta izpratnē. Iestāde nosaka apstrādes mērķi, kas atbilst Valsts pārvaldes iekārtas likuma 54. panta septītajai daļai un norāda apstrādes tiesisko pamatu. Pārvalde izvērtē un apstiprina apstrādes tiesisko pamatu un atbilstību noteiktajiem mērķiem, nosaka iekļaujamās informācijas apjomu un detalizācijas pakāpi atbilstoši personas datu minimizācijas principam, kā arī drošās informācijas apstrādes vides tehniskos un organizatoriskos risinājumus. Tādējādi apstrādes mērķus un veidus pārziņi nosaka kopīgi, kas atbilst kopīgu pārziņu pazīmēm VDAR 26. panta izpratnē.

Par pieprasījuma tiesiskumu, kā arī apstrādājamās informācijas, tai skaitā personas datu, apjomu un nepieciešamību atbild gan Pārvalde, gan iestāde. Pārziņu lomu sadalījums sagatavots līdzīgi kā spēkā esošajos Ministru kabineta 2026. gada 13. janvāra noteikumos Nr. 12 „Kārtība, kādā Mākslīgā intelekta centrs organizē speciālo regulatīvo vidi un datu apstrādi".

VDAR 26. panta pirmā daļa pieļauj kopīgo pārziņu pienākumu sadalījumu noteikt ne tikai ar to savstarpēju vienošanos, bet arī tiktāl, ciktāl attiecīgie pienākumi ir noteikti pārziņiem piemērojamos tiesību aktos. Kopīgo pārziņu pienākumu sadalījums izriet no šiem noteikumiem. No noteikumu 5. punkta izriet, ka Pārvalde izvērtē apstrādes tiesisko pamatu un mērķi; no 9. punkta — ka Pārvalde nosaka iekļaujamās informācijas apjomu un detalizācijas pakāpi; no 14. punkta — ka Pārvalde nodrošina apstrādes rezultāta izneses sekundāro kontroli; no 18. punkta — ka Pārvalde glabā drošajā informācijas apstrādes vidē iekļauto informāciju. Tādējādi faktiskā kontrole pār drošajā vidē iekļauto informāciju un piekļuvi tai ir Pārvaldei. Ņemot vērā minēto, datu subjekta piekļuves tiesības (VDAR 15. pants) attiecībā uz personas datu apstrādi drošajā informācijas apstrādes vidē nodrošina Pārvalde, jo tā glabā un kontrolē šajā vidē iekļauto informāciju, nosaka tās apjomu un detalizācijas pakāpi un apzina apstrādes mērķi un tiesisko pamatu. Vienlaikus datu subjekts saskaņā ar VDAR 26. panta trešo daļu savas tiesības var īstenot attiecībā uz katru pārzini.

Tā kā informācija drošajā informācijas apstrādes vidē tiek iekļauta prioritāri anonimizētā vai pseidonimizētā formā, datu subjekta tiesības, kas saistītas ar konkrētas personas identificēšanu, ir īstenojamas tiktāl, ciktāl Pārvalde spēj identificēt datu subjektu attiecīgajā informācijas kopā.

Datu aizsardzības principi
Projektā ir iestrādāti datu aizsardzības principi, jo īpaši datu minimizācijas princips. Iestādei, iesniedzot pieprasījumu, obligāti jānorāda apstrādes tiesiskais pamats, mērķis, nepieciešamais datu apjoms un jāsniedz apraksts par personas datu minimizācijas principa ievērošanu. Pārvalde, izvērtējot pieprasījumu, pārbauda apstrādes tiesisko pamatu un nepieciešamo informācijas apjomu un nosaka nodrošināmo informācijas detalizācijas pakāpi, prioritāri nodrošinot anonimizētus datus, ja tas nav iespējams – pseidonimizētus datus, un tikai izņēmuma gadījumos – identificējamus datus.
Personas datu apstrāde notiek Pārvaldes izveidotajā un uzturētajā drošajā informācijas apstrādes vidē, kurā ir noteikta piekļuves tiesību pārvaldība, lietotāju lomu sadalījums, rezultātu iznese bez personas datiem, kā arī tehniski un organizatoriski drošības pasākumi. Piekļuve videi tiek piešķirta tikai rakstiski saskaņotām personām, un Pārvaldei ir tiesības liegt piekļuvi, ja tiek konstatēti pārkāpumi.
Papildus uzraudzības mehānismu nodrošina Datu valsts inspekcija, kas ne retāk kā reizi trijos gados veic personas datu apstrādes revīziju drošajā informācijas apstrādes vidē un ir tiesīga pieprasīt informāciju par tehniskajiem un organizatoriskajiem risinājumiem, piekļuves tiesību pārvaldību un piekļuves žurnāliem. Pārvalde nodrošina Datu valsts inspekcijas norādījumu izpildi un konstatēto pārkāpumu novēršanu noteiktajos termiņos.
Tādējādi projektā ir paredzēti gan preventīvi (minimizācija, anonimizācija, piekļuves kontrole), gan uzraudzības (revīzijas, piekļuves žurnāli, tiesības liegt piekļuvi) mehānismi personas datu aizsardzības nodrošināšanai.

Pārvaldes datu aizsardzības sistēmas apraksts
Centrālajā statistikas pārvaldē ir ieviesta integrēta datu aizsardzības un informācijas drošības sistēma, kas balstās uz VDAR, Nacionālās kiberdrošības likumā, ISO 27001:2022 standartā un citos normatīvajos aktos noteiktajām prasībām.

Personas datu aizsardzības pasākumi:

-Pārvaldes tīmekļvietnē publicēta privātuma politika, kurā sniegta informācija par datu apstrādi.
-Uzturēts datu apstrādes darbību reģistrs atbilstoši VDAR 30. pantam.
-Ieviesta „Fizisko personu datu apstrādes kārtība" (iekšējais normatīvais akts).
-Izstrādātas procedūras datu subjektu tiesību nodrošināšanai (pieprasījumu reģistrācija, atbildes termiņi, izpilde).
-Tiek izmantota pseidonimizācija un anonimizācija tur, kur tas atbilst apstrādes mērķim.
-Notiek darbs pie datu kataloga un metadatu standarta, kā arī pie personas datu marķēšanas automatizācijas, kas perspektīvā atvieglos datu minimizāciju.

Informācijas un kiberdrošības pasākumi:

-Pārvaldes informācijas drošības pārvaldības sistēma ir sertificēta atbilstoši ISO 27001:2022 standartam.
-Ieviesta informācijas sistēmas drošības politika, informācijas sistēmas drošības noteikumi, informācijas sistēmas lietošanas noteikumi un informācijas tehnoloģiju drošības un personas datu pārkāpumu incidentu pārvaldības kārtība.
-Ieviesti noteikumi un iekšējās procedūras atbilstoši Nacionālās kiberdrošības likumam un Ministru kabineta noteiktajām minimālajām kiberdrošības prasībām.
-Datu pārraide tiek nodrošināta, izmantojot SFTP protokolu (SSH-2) ar ECDSA atslēgu pāri.
-Piekļuves tiek piešķirtas pēc „need-to-know" un lomu principa, un piekļuves un nodošanas darbības tiek reģistrētas auditācijas žurnālos.
-Datu glabāšana notiek drošā apstrādes vidē, kas nošķirta no Pārvaldes statistikas pamatdarbības sistēmām.

Kiberdrošības incidentu un personas datu pārkāpumu pārvaldība:
-Ieviesti incidentu pārvaldības noteikumi, kas nosaka incidentu identificēšanas, reģistrācijas un novēršanas kārtību.
-Incidents vai drošības pārkāpums tiek reģistrēts iekšējā incidentu reģistrā un analizēts sadarbībā ar ārpakalpojuma drošības operāciju centru (SOC) un CERT.
-Atbilstoši ISO 27001 un VDAR prasībām tiek nodrošināta incidentu ziņošana Datu valsts inspekcijai un citiem normatīvajos aktos noteiktajiem subjektiem.

Citi organizatoriskie pasākumi:
-Tiek veiktas regulāras darbinieku apmācības par datu aizsardzību un kiberdrošību, tostarp pikšķerēšanas simulācijas un e-apmācību platforma.
-Veikti regulāri iekšējie auditi un risku izvērtējumi, kuru rezultāti tiek iekļauti vadības pārskatā.
-Notiek iekšējo dokumentu (drošības politikas, procedūru) pārskatīšana, lai nodrošinātu atbilstību aktuālajam tiesiskajam regulējumam.

8.1.14. uz diasporu

Vai projekts skar šo jomu?

8.1.15. uz profesiju reglamentāciju

Vai projekts skar šo jomu?

8.1.16. uz bērna labākajām interesēm

Vai projekts skar šo jomu?

8.2. Cita informācija

-
Pielikumi