26-TA-449: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Noteikumi par informācijas iekļaušanu, apstrādi un personas datu apstrādes uzraudzību Centrālās statistikas pārvaldes drošajā informācijas apstrādes vidē" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Valsts pārvaldes iekārtas likuma 54. panta septītā daļa noteiktā pienākuma izstrādāt noteikumus izpilde.
1.2. Mērķis
Mērķa apraksts
Ministru kabineta noteikumu izstrādes mērķis ir noteikt vienotu kārtību, kādā Centrālā statistikas pārvaldes (turpmāk - Pārvalde) uzturētajā drošajā informācijas apstrādes vidē iekļauj un apstrādā valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju, tai skaitā personas datus. Noteikumi nosaka procedūru informācijas apstrādes pieprasījumu iesniegšanai un izvērtēšanai, piekļuves piešķiršanai drošajā vidē, datu sniedzēja pienākumus informācijas nodošanai, kā arī kārtību, kā Datu valsts inspekcija uzrauga personas datu apstrādi.
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Valsts pārvaldes iekārtas likums (turpmāk – VPIL) paredz stiprināt Pārvaldes lomu kā valsts galvenajai datu aģentūrai jeb “vienas pieturas punktam”, kas nodrošina dažādu iestāžu rīcībā esošās informācijas savietošanu vienotā un drošā vidē. Šīs pieejas mērķis ir veicināt datos balstītu lēmumu pieņemšanu un pilnveidot valsts, reģionālā un vietējā līmeņa politikas plānošanu, kā arī publisko pakalpojumu attīstību, vienlaikus samazinot administratīvo slogu iestādēm.
VPIL 54. panta septītā daļa paredz, ka Pārvalde izveido un uztur drošu informācijas apstrādes vidi valsts informācijas sistēmās un institūciju informācijas sistēmās esošās informācijas, tai skaitā personas datu, apstrādei, kā arī nosaka, ka Ministru kabinets reglamentē kārtību, kādā iestādes sniedz drošajā informācijas apstrādes vidē iekļaujamo informāciju, tās apstrādes noteikumus un kārtību, kā Datu valsts inspekcija uzrauga personas datu apstrādi.
Pašlaik nav izdoti Ministru kabineta noteikumi, kas detalizēti reglamentētu informācijas iekļaušanas un apstrādes kārtību drošajā informācijas apstrādes vidē, pieprasījumu iesniegšanas un izvērtēšanas procesu, piekļuves piešķiršanas nosacījumus, datu sniedzēja pienākumus informācijas nodošanā, kā arī personas datu apstrādes uzraudzības mehānismu. Līdz ar to normatīvais regulējums ir nepilnīgs un praktiskā piemērošana var radīt tiesisko nenoteiktību.
VPIL 54. panta septītā daļa paredz, ka Pārvalde izveido un uztur drošu informācijas apstrādes vidi valsts informācijas sistēmās un institūciju informācijas sistēmās esošās informācijas, tai skaitā personas datu, apstrādei, kā arī nosaka, ka Ministru kabinets reglamentē kārtību, kādā iestādes sniedz drošajā informācijas apstrādes vidē iekļaujamo informāciju, tās apstrādes noteikumus un kārtību, kā Datu valsts inspekcija uzrauga personas datu apstrādi.
Pašlaik nav izdoti Ministru kabineta noteikumi, kas detalizēti reglamentētu informācijas iekļaušanas un apstrādes kārtību drošajā informācijas apstrādes vidē, pieprasījumu iesniegšanas un izvērtēšanas procesu, piekļuves piešķiršanas nosacījumus, datu sniedzēja pienākumus informācijas nodošanā, kā arī personas datu apstrādes uzraudzības mehānismu. Līdz ar to normatīvais regulējums ir nepilnīgs un praktiskā piemērošana var radīt tiesisko nenoteiktību.
Problēmas un risinājumi
Problēmas apraksts
Līdz šim valsts pārvaldes iestādes pārsvarā strādā ar savā rīcībā esošajiem datiem, savukārt informācijas apmaiņa starp dažādu resoru iestādēm bieži ir sarežģīta, laikietilpīga vai ierobežota. Tas apgrūtina dažādu institūciju datu savietošanu un kopīgu analīzi, kas nepieciešama uz pierādījumiem balstītu lēmumu pieņemšanai, efektīvākai politikas plānošanai un publisko pakalpojumu pilnveidošanai.
Nepastāvot vienotai un detalizētai kārtībai, nav skaidri noteikts:
1. informācijas apstrādes pieprasījumu iesniegšanas, izvērtēšanas un saskaņošanas process;
2.piekļuves piešķiršanas nosacījumi un informācijas apstrādes kārtība drošajā informācijas apstrādes vidē;
3. datu sniedzēja pienākumi un informācijas nodošanas tehniskie un organizatoriskie aspekti;
4. personas datu apstrādes uzraudzības mehānisms un institucionālā sadarbība ar Datu valsts inspekciju.
Šāda situācija var radīt atšķirīgu praksi starp iestādēm, kavēt efektīvu datu izmantošanu valsts pārvaldes funkciju īstenošanai, kā arī palielināt tiesiskos un datu aizsardzības riskus.
Nepastāvot vienotai un detalizētai kārtībai, nav skaidri noteikts:
1. informācijas apstrādes pieprasījumu iesniegšanas, izvērtēšanas un saskaņošanas process;
2.piekļuves piešķiršanas nosacījumi un informācijas apstrādes kārtība drošajā informācijas apstrādes vidē;
3. datu sniedzēja pienākumi un informācijas nodošanas tehniskie un organizatoriskie aspekti;
4. personas datu apstrādes uzraudzības mehānisms un institucionālā sadarbība ar Datu valsts inspekciju.
Šāda situācija var radīt atšķirīgu praksi starp iestādēm, kavēt efektīvu datu izmantošanu valsts pārvaldes funkciju īstenošanai, kā arī palielināt tiesiskos un datu aizsardzības riskus.
Risinājuma apraksts
1. Drošās informācijas apstrādes vides mērķis un vispārīgs apraksts
Pārvalde uztur vienotu un drošu informācijas apstrādes vidi, kurā institūcijas analizē savietotus datus. Šādā vidē iestādēm vairs nav nepieciešams savstarpēji pieprasīt datus individuālā kārtībā. Tas ļauj efektīvāk plānot politiku valsts, reģionālajā un vietējā līmenī, identificēt un analizēt nozares riskus, kā arī pilnveidot publiskos pakalpojumus.
Lai nodrošinātu VPIL 54. panta septītās daļas izpildi un vienotu tiesisko regulējumu, ar noteikumu projektu tiek noteikta kārtība, kādā:
1.1. Pārvalde konsultē iestādes un pieņem informācijas apstrādes pieprasījumus;
1.2. tiek piešķirta piekļuve un organizēta informācijas apstrāde drošajā informācijas apstrādes vidē;
1.3. datu sniedzēji sniedz drošajā informācijas apstrādes vidē iekļaujamo informāciju;
1.4. Pārvalde saņemto informāciju apstrādā, tai skaitā veic datu pseidonimizāciju vai anonimizāciju, kā arī apvieno to ar citu informāciju, un sagatavo iekļaušanai drošajā informācijas apstrādes vidē;
1.5. Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē.
Noteikumu pieņemšana nodrošinās tiesisko skaidrību, vienotu piemērošanu, pārskatāmu piekļuves un uzraudzības mehānismu, kā arī atbilstošu personas datu aizsardzības prasību ievērošanu.
2. Attiecības ar citu normatīvo aktu regulējumu
Noteikumu projekts neierobežo un negroza citos normatīvajos aktos noteikto informācijas aprites kārtību. Ja attiecībā uz konkrētu informāciju citos normatīvajos aktos noteikti aprites ierobežojumi, aizliegumi vai īpaša informācijas pieprasīšanas, sniegšanas un apstrādes kārtība, šāds regulējums tiek piemērots prioritāri. Tas attiecas it īpaši uz valsts drošības interesēs aizsargājamo informāciju, veselības datiem, īpašu kategoriju personas datiem Vispārīgās datu aizsardzības regulas (turpmāk – VDAR) 9. panta izpratnē un citu informāciju, kuras aprite ir reglamentēta speciālos normatīvajos aktos.
Ja speciāls normatīvais akts aizliedz attiecīgās informācijas nodošanu vai apstrādi, šāda informācija drošajā informācijas apstrādes vidē netiek apstrādāta. Ja speciāls normatīvais akts paredz noteiktu informācijas pieprasīšanas, saņemšanas vai apstrādes kārtību, šī kārtība saglabājas un netiek aizstāta ar šajos noteikumos paredzēto.
Šie noteikumi neatceļ līdzšinējo kārtību, kādā valsts drošības iestādes vai citas iestādes pieprasa un saņem informāciju savu funkciju izpildei. Drošu informācijas apstrādes vidi var izmantot papildus esošajiem datu apmaiņas risinājumiem.
3. Terminu skaidrojums
3.1. Termini „iestāde" un „institūcija"
Noteikumos tiek lietoti divi termini, kas pārņemti no VPIL 54. panta septītās daļas:
3.1.1. termins „iestāde" lietots VPIL 1. panta 3. punkta izpratnē — institūcija, kura darbojas publiskas personas vārdā un kurai ar normatīvo aktu noteikta kompetence valsts pārvaldē, piešķirti finanšu līdzekļi tās darbības īstenošanai un ir savs personāls;
3.1.2. termins „institūcija" lietots tikai vārdkopā „institūciju informācijas sistēmas" atbilstoši Valsts informācijas sistēmu likuma 1. pantā ietvertajai terminoloģijai.
3.2. Jēdziens „apstrādes ierobežojumi"
Noteikumu projekta 2.1. apakšpunktā lietotais jēdziens „apstrādes ierobežojumi" aptver šādas kategorijas:
3.2.1. juridiskie ierobežojumi – datu apstrādes aizliegumi vai ierobežojumi, kas izriet no normatīvajiem aktiem, tai skaitā speciālo likumu un to izpildei izdoto Ministru kabineta noteikumiem;
3.2.2. Pārvaldes tehniskie ierobežojumi – ierobežojumi, kas saistīti ar drošās informācijas apstrādes vides tehniskajām iespējām;
3.2.3. datu sniedzēja tehniskie ierobežojumi – gadījumi, kad datu sniedzēja informācijas sistēmā nav tehnisku risinājumu attiecīgo datu atlasei, strukturēšanai vai nodošanai Pārvaldei pieprasītajā apjomā un formātā.
4. Drošās informācijas apstrādes vides raksturojums
Drošā informācijas apstrādes vide ir Pārvaldes jau izveidota un uzturēta integrēta tehnoloģiska un organizatoriska sistēma, kas darbojas Pārvaldes informācijas un komunikācijas tehnoloģiju infrastruktūras ietvaros un ir nošķirta no Pārvaldes statistikas pamatdarbības sistēmām ar atsevišķiem procesiem, piekļuves mehānismiem un drošības režīmu. Drošā informācijas apstrādes vide netiek veidota no jauna — šie noteikumi reglamentē tās izmantošanas kārtību iestāžu vajadzībām atbilstoši VPIL 54. panta septītajai daļai.
Drošā informācijas apstrādes vide atbilst Eiropas Parlamenta un padomes 2022. gada 30. maija Regulā (ES) 2022/868 par Eiropas datu pārvaldību un ar ko groza Regulu (ES) 2018/1724 (Datu pārvaldības akts) noteiktajai drošas apstrādes vides definīcijai.
Drošā informācijas apstrādes vide ietver fiziskus un virtuālus tehniskos līdzekļus un organizatoriskos pasākumus, kas nodrošina personas datu apstrādes atbilstību VDAR prasībām, jo īpaši attiecībā uz datu subjektu tiesībām, kā arī datu konfidencialitāti, integritāti un kontrolētu piekļuvi. Pārvalde kā vides nodrošinātājs nosaka un uzrauga visas datu apstrādes darbības drošajā informācijas apstrādes vidē.
Drošā informācijas apstrādes vide tiek uzturēta atbilstoši Ministru kabineta 2025. gada 25. jūnija noteikumiem Nr. 397 „Minimālās kiberdrošības prasības" un Pārvaldes informācijas drošības vadības sistēma ir sertificēta atbilstoši ISO/IEC 27001:2022 standartam.
5. Pieprasījuma izvērtēšana un piekļuves piešķiršana
5.1. Piekļuves piešķiršanas tvērums un izvērtējuma saturs
Ar piekļuves piešķiršanu drošajai informācijas apstrādes videi saprotams ne tikai tehniskas piekļuves nodrošināšana sistēmai, bet arī Pārvaldes veiktais izvērtējums par pieprasītās informācijas apstrādes tiesisko pamatu saskaņā ar VPIL 54. panta septīto daļu, mērķi un nepieciešamo informācijas apjomu. Iestādei pieprasījumā ir pienākums norādīt informācijas apstrādes tiesisko pamatu, mērķi, sasniedzamo rezultātu, nepieciešamo informāciju, kā arī sniegt aprakstu par personas datu apstrādes minimizācijas principa ievērošanu. Pārvalde, izvērtējot pieprasījumu, pārbauda šīs informācijas atbilstību un nepieciešamību, kā arī nosaka drošajā informācijas apstrādes vidē pieejamo informācijas detalizācijas pakāpi.
5.2. Speciālā regulējuma ierobežojumu izvērtēšana
Vienlaikus Pārvalde izvērtē arī citos normatīvajos aktos noteiktos informācijas izmantošanas un nodošanas ierobežojumus, kas var attiekties gan uz personas datiem, gan citu informāciju. Ja speciālais regulējums nosaka ierobežojumus vai aizliegumu konkrētas informācijas apstrādei vai nodošanai citai institūcijai, Pārvalde var atteikt piekļuvi attiecīgajai informācijai vai noteikt tās izmantošanas ierobežojumus drošajā informācijas apstrādes vidē. Savukārt iestāde- datu sniedzējs, nododot informāciju Pārvaldei, ievēro arī savā darbību regulējošajos normatīvajos aktos noteiktos informācijas izsniegšanas ierobežojumus. Tādējādi lēmums par piekļuvi drošajai informācijas apstrādes videi praksē ietver gan piekļuvi pašai videi, gan lēmumu par piekļuvi informācijai un to apjomu konkrētā apstrādes mērķa sasniegšanai.
Speciālais regulējums šo noteikumu izpratnē ir tādas normatīvā akta normas, kas tieši nosaka informācijas izmantošanas, nodošanas vai izsniegšanas ierobežojumus vai aizliegumus, vai paredz īpašu informācijas pieprasīšanas un sniegšanas kārtību. Speciālais regulējums attiecas, piemēram, uz šādām informācijas kategorijām:
— valsts drošības interesēs aizsargājamā informācija (Valsts drošības iestāžu likuma 17. un 19. pants, Ministru kabineta 2004. gada 26. oktobra noteikumi Nr. 887);
— valsts noslēpuma objekti un informācija, kas klasificēta atbilstoši likumam „Par valsts noslēpumu";
— veselības dati un to sekundārā izmantošana (Eiropas Parlamenta un Padomes 2025. gada 11. februāra Regula (ES) 2025/327 par Eiropas veselības datu telpu, Pacientu tiesību likums, Ārstniecības likums);
— īpašas kategorijas personas dati VDAR 9. panta izpratnē (dati par rasi vai etnisko izcelsmi, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, ģenētiskie dati, biometriskie dati personas unikālai identificēšanai, veselības dati, dati par dzimumdzīvi vai seksuālo orientāciju);
— kredītiestāžu klientu un darījumu informācija, uz kuru attiecas neizpaužamu ziņu (komercnoslēpuma) režīms saskaņā ar Kredītiestāžu likuma 63. pantu;
— adopcijas un aizgādnības lietu informācija (Bērnu tiesību aizsardzības likums, Civillikums);
— operatīvās darbības informācija un izmeklēšanas datu konfidencialitāte (Operatīvās darbības likums, Kriminālprocesa likums);
Tas, ka iestādes darbību regulē atsevišķs likums, pats par sevi nepadara šo likumu par speciālu regulējumu informācijas nodošanas izpratnē. Speciāls aprites režīms attiecas tikai uz konkrēti definētām informācijas kategorijām, nevis uz visu attiecīgās iestādes rīcībā esošo informāciju.
Datu sniedzēja darbību regulējoša likuma esamība pati par sevi nav pamats atteikties nodot informāciju Pārvaldei. Datu sniedzēja pienākums nodot informāciju Pārvaldei izriet no VPIL 54. panta septītās daļas, kas ir datu sniedzējam tieši piemērojams likums un nosaka pienākumu sniegt Pārvaldei drošajā informācijas apstrādes vidē iekļaujamo informāciju. Vairums datu sniedzēju darbību regulējošos likumu un Ministru kabineta noteikumu jau ietver normas, kas paredz informācijas sniegšanu citām iestādēm to funkciju izpildei.
Datu sniedzējs, saņemot Pārvaldes pieprasījumu, izvērtē, vai konkrētajai pieprasītajai informācijai ir piemērojams speciāls aprites režīms, un, ja šaubas pastāv, sazinās ar Pārvaldi, lai vienotos par konkrētās informācijas nodošanas iespējamību un kārtību. Šaubu gadījumā piemērojams sadarbības princips VPIL 54. panta otrās daļas izpratnē, nevis automātisks atteikums.
5.3. Pārvaldes konsultatīvās funkcijas tvērums
Pārvaldes konsultatīvā funkcija aptver tikai vispārīgu informāciju par drošajā informācijas apstrādes vidē iekļaujamo datu kategorijām, izmantošanas iespējām, datu apvienošanas iespējām un apstrādes vispārīgajiem ierobežojumiem. Konsultācijas saturs atbilst Pārvaldes kā drošās informācijas apstrādes vides nodrošinātāja kompetencei un nepārsniedz to.
Datu sniedzēja metodiskā vadība attiecībā uz konkrētās informācijas sistēmas darbību un datu apstrādes specifiskajiem noteikumiem saglabājas attiecīgo datu sniedzēja kompetencē saskaņā ar normatīvajiem aktiem, kas reglamentē šo informācijas sistēmu darbību. Pārvalde šajā kompetences jomā neiejaucas.
Pārvalde konsultatīvajā funkcijā balstās uz publiski pieejamu informāciju par valsts informācijas sistēmām un to saturu, kā arī uz iestādes pieprasījumā norādīto. Ja iestādei rodas detalizēti jautājumi par konkrētas informācijas sistēmas datu saturu, struktūru, kvalitāti vai izsniegšanas kārtību, Pārvalde iestādi novirza uz attiecīgo datu sniedzēju vai uzdod personīgi tam jautājumus.
Noteikumu projekts neparedz datu sniedzēju pienākumu sniegt Pārvaldei detalizētu metodisko informāciju vai apmācības par to pārziņā esošo informācijas sistēmu darbību, datu apstrādes noteikumiem vai izsniegšanas kārtību. Pārvaldei nepieciešamās tehniskās ziņas par konkrētajā pieprasījumā nepieciešamajiem datiem tiek precizētas tikai pēc konkrēta pieprasījuma saņemšanas un attiecas uz konkrētajā gadījumā nepieciešamo informāciju, nevis uz vispārīgu apmācību par sistēmas darbību. Tādējādi noteikumu projekts neparedz Pārvaldes un datu sniedzēju kompetenču pārklāšanos, neuzliek datu sniedzējam papildu metodiskās vadības pienākumu un nerada papildu administratīvo slogu datu sniedzējam.
5.4. Papildu pieprasījumu izvērtēšana saderības principa kontekstā
Noteikumu projekta 10. punkts paredz, ka iestādes papildu informācijas pieprasījums viena pieprasījuma ietvaros tiek vērtēts saderības principa kontekstā. Ja papildu apstrāde ir saderīga ar sākotnēji izvērtēto informācijas apstrādes mērķi un atbilst iepriekš veiktajam tiesiskā pamata izvērtējumam, atkārtota izvērtēšana nav nepieciešama. Ja papildu pieprasījums maina apstrādes mērķi vai citādi pārsniedz sākotnējā tiesiskā pamata izvērtējuma tvērumu, Pārvalde veic atkārtotu pieprasījuma izvērtēšanu Noteikumu 5. punktā noteiktajā kārtībā.
Saderības izvērtējums ir tiesiska procedūra, kuras ietvaros Pārvalde pārbauda papildu pieprasījuma satura sakritību ar sākotnējo apstrādes mērķi. Šāda diferencēta pieeja nodrošina samērīgu administratīvo slogu un vienlaikus garantē, ka katra apstrādes paplašināšana ārpus sākotnējā mērķa tiek pakļauta atkārtotai juridiskai pārbaudei.
6. Informācijas saņemšana no datu sniedzējiem
Datu sniedzējs informāciju nodod Pārvaldei, izmantojot tā informācijas sistēmā jau esošos datu apstrādes un nodošanas risinājumus. Datu sniedzējam nav pienākuma izveidot jaunus tehniskus risinājumus, ja datu sniedzēja informācijas sistēmas tehniskās iespējas tādu izveidi nepieļauj vai tas radītu nesamērīgu administratīvo un finansiālo slogu. Šādos gadījumos Pārvalde un datu sniedzējs vienojas par iespējām izmantot alternatīvu informācijas nodošanas veidu sadarbības ietvaros saskaņā ar VPIL VII. nodaļu, ja tehniski to ir iespējams izdarīt un ir īstenojams piešķirtā budžeta ietvaros.
Datu saņemšanai no datu sniedzēja tiks izmantota Datu izplatīšanas un pārvaldības platforma, iepriekš izvērtējot tās izmantošanas lietderīgumu.
7. Piekļuves piešķiršana drošajai informācijas apstrādes videi
Pārvalde, piešķirot piekļuvi drošajai informācijas apstrādes videi, nosaka darbības organizatoriskos un drošības aspektus, tostarp piekļuves tiesību piešķiršanas kārtību, lietotāju atbildību, informācijas izmantošanas nosacījumus un rezultātu izneses kontroli drošajā informācijas apstrādes vidē.
Strīdi par Pārvaldes pieņemto lēmumu par piekļuves atteikumu drošajai informācijas apstrādes videi tiek risināti VPIL noteiktajā kārtībā, kā arī piemērojot VPIL VII. nodaļā noteikto par iestāžu savstarpējo sadarbību.
8. Iestādes pienākumi, apstrādājot informāciju drošajā informācijas apstrādes vidē
Iestādei, apstrādājot informāciju drošajā informācijas apstrādes vidē, jāievēro:
(1) Noteikumos paredzētie apstrādes nosacījumi;
(2) spēkā esošajos normatīvajos aktos noteiktās informācijas un personas datu apstrādes drošības prasības, tostarp VDAR, Nacionālo kiberdrošības likumu un Ministru kabineta 2025. gada 25. jūnija noteikumu Nr. 397 „Minimālās kiberdrošības prasības" prasības;
(3) Pārvaldes noteiktās tehniskās lietošanas un drošības prasības, kas nepieciešamas, lai Pārvalde varētu izpildīt savus pienākumus saskaņā ar šiem noteikumiem, tostarp:
— nodrošināt informācijas apstrādes rezultātu izneses kontroli (piemēram, izneses pieprasījumu noformēšanas kārtība, anonimizēšanas pārbaudes nosacījumi);
— uzraudzīt iestādes piekļuves tiesību izmantošanu un piekļuves žurnālu uzturēšanu;
— novērst tehniskus vai organizatoriskus pārkāpumus;
— nodrošināt drošās informācijas apstrādes vides integritāti un visu lietotāju datu konfidencialitāti.
9. Maksas pakalpojumu apmērs
Informācijas sagatavošana un konsultācijas par informācijas apstrādes iespējām drošajā informācijas apstrādes vidē iestādēm tiek nodrošinātas bez maksas. Noteikumu 12. punktā noteiktā maksa attiecas tikai uz drošās informācijas apstrādes vides tehnisko resursu (serveru jaudas, datu apstrādes resursu, tīkla resursu) izmantošanu. Līdzīgi kā jau šobrīd drošās informācijas apstrādes vidi var izmantot Statistikas likumā noteiktajā kārtībā un maksa ir noteikta Pārvaldes maksas pakalpojumu cenrādī (Ministru kabineta 2022. gada 10. maija noteikumi Nr. 274 „Centrālās statistikas pārvaldes maksas pakalpojumu cenrādis", https://likumi.lv/ta/id/332257).
Ņemot vērā, ka Pārvaldei ir paredzēta datu centra migrācija pie atsevišķa tehnisko resursu uzturētāja, noteikumu projektā paredzētā maksa ir noteikta atbilstoši tehnisko resursu nodrošinātāja noteiktajām izmaksām.
Tādējādi pieprasījuma iesniedzējam, plānojot drošās informācijas apstrādes vides izmantošanu, jāizvērtē pieprasāmās informācijas apjoma un apstrādes ilguma faktiskā nepieciešamība, vienlaikus ievērojot personas datu apstrādes minimizācijas principu un samērojot pieprasījuma apjomu ar tehnisko resursu izmantošanas izmaksām, lai nodrošinātu valsts budžeta līdzekļu lietderīgu izlietojumu Publiskas personas finanšu līdzekļu un mantas izšķērdēšanas novēršanas likuma izpratnē.
Pārvalde uztur vienotu un drošu informācijas apstrādes vidi, kurā institūcijas analizē savietotus datus. Šādā vidē iestādēm vairs nav nepieciešams savstarpēji pieprasīt datus individuālā kārtībā. Tas ļauj efektīvāk plānot politiku valsts, reģionālajā un vietējā līmenī, identificēt un analizēt nozares riskus, kā arī pilnveidot publiskos pakalpojumus.
Lai nodrošinātu VPIL 54. panta septītās daļas izpildi un vienotu tiesisko regulējumu, ar noteikumu projektu tiek noteikta kārtība, kādā:
1.1. Pārvalde konsultē iestādes un pieņem informācijas apstrādes pieprasījumus;
1.2. tiek piešķirta piekļuve un organizēta informācijas apstrāde drošajā informācijas apstrādes vidē;
1.3. datu sniedzēji sniedz drošajā informācijas apstrādes vidē iekļaujamo informāciju;
1.4. Pārvalde saņemto informāciju apstrādā, tai skaitā veic datu pseidonimizāciju vai anonimizāciju, kā arī apvieno to ar citu informāciju, un sagatavo iekļaušanai drošajā informācijas apstrādes vidē;
1.5. Datu valsts inspekcija uzrauga personas datu apstrādi drošajā informācijas apstrādes vidē.
Noteikumu pieņemšana nodrošinās tiesisko skaidrību, vienotu piemērošanu, pārskatāmu piekļuves un uzraudzības mehānismu, kā arī atbilstošu personas datu aizsardzības prasību ievērošanu.
2. Attiecības ar citu normatīvo aktu regulējumu
Noteikumu projekts neierobežo un negroza citos normatīvajos aktos noteikto informācijas aprites kārtību. Ja attiecībā uz konkrētu informāciju citos normatīvajos aktos noteikti aprites ierobežojumi, aizliegumi vai īpaša informācijas pieprasīšanas, sniegšanas un apstrādes kārtība, šāds regulējums tiek piemērots prioritāri. Tas attiecas it īpaši uz valsts drošības interesēs aizsargājamo informāciju, veselības datiem, īpašu kategoriju personas datiem Vispārīgās datu aizsardzības regulas (turpmāk – VDAR) 9. panta izpratnē un citu informāciju, kuras aprite ir reglamentēta speciālos normatīvajos aktos.
Ja speciāls normatīvais akts aizliedz attiecīgās informācijas nodošanu vai apstrādi, šāda informācija drošajā informācijas apstrādes vidē netiek apstrādāta. Ja speciāls normatīvais akts paredz noteiktu informācijas pieprasīšanas, saņemšanas vai apstrādes kārtību, šī kārtība saglabājas un netiek aizstāta ar šajos noteikumos paredzēto.
Šie noteikumi neatceļ līdzšinējo kārtību, kādā valsts drošības iestādes vai citas iestādes pieprasa un saņem informāciju savu funkciju izpildei. Drošu informācijas apstrādes vidi var izmantot papildus esošajiem datu apmaiņas risinājumiem.
3. Terminu skaidrojums
3.1. Termini „iestāde" un „institūcija"
Noteikumos tiek lietoti divi termini, kas pārņemti no VPIL 54. panta septītās daļas:
3.1.1. termins „iestāde" lietots VPIL 1. panta 3. punkta izpratnē — institūcija, kura darbojas publiskas personas vārdā un kurai ar normatīvo aktu noteikta kompetence valsts pārvaldē, piešķirti finanšu līdzekļi tās darbības īstenošanai un ir savs personāls;
3.1.2. termins „institūcija" lietots tikai vārdkopā „institūciju informācijas sistēmas" atbilstoši Valsts informācijas sistēmu likuma 1. pantā ietvertajai terminoloģijai.
3.2. Jēdziens „apstrādes ierobežojumi"
Noteikumu projekta 2.1. apakšpunktā lietotais jēdziens „apstrādes ierobežojumi" aptver šādas kategorijas:
3.2.1. juridiskie ierobežojumi – datu apstrādes aizliegumi vai ierobežojumi, kas izriet no normatīvajiem aktiem, tai skaitā speciālo likumu un to izpildei izdoto Ministru kabineta noteikumiem;
3.2.2. Pārvaldes tehniskie ierobežojumi – ierobežojumi, kas saistīti ar drošās informācijas apstrādes vides tehniskajām iespējām;
3.2.3. datu sniedzēja tehniskie ierobežojumi – gadījumi, kad datu sniedzēja informācijas sistēmā nav tehnisku risinājumu attiecīgo datu atlasei, strukturēšanai vai nodošanai Pārvaldei pieprasītajā apjomā un formātā.
4. Drošās informācijas apstrādes vides raksturojums
Drošā informācijas apstrādes vide ir Pārvaldes jau izveidota un uzturēta integrēta tehnoloģiska un organizatoriska sistēma, kas darbojas Pārvaldes informācijas un komunikācijas tehnoloģiju infrastruktūras ietvaros un ir nošķirta no Pārvaldes statistikas pamatdarbības sistēmām ar atsevišķiem procesiem, piekļuves mehānismiem un drošības režīmu. Drošā informācijas apstrādes vide netiek veidota no jauna — šie noteikumi reglamentē tās izmantošanas kārtību iestāžu vajadzībām atbilstoši VPIL 54. panta septītajai daļai.
Drošā informācijas apstrādes vide atbilst Eiropas Parlamenta un padomes 2022. gada 30. maija Regulā (ES) 2022/868 par Eiropas datu pārvaldību un ar ko groza Regulu (ES) 2018/1724 (Datu pārvaldības akts) noteiktajai drošas apstrādes vides definīcijai.
Drošā informācijas apstrādes vide ietver fiziskus un virtuālus tehniskos līdzekļus un organizatoriskos pasākumus, kas nodrošina personas datu apstrādes atbilstību VDAR prasībām, jo īpaši attiecībā uz datu subjektu tiesībām, kā arī datu konfidencialitāti, integritāti un kontrolētu piekļuvi. Pārvalde kā vides nodrošinātājs nosaka un uzrauga visas datu apstrādes darbības drošajā informācijas apstrādes vidē.
Drošā informācijas apstrādes vide tiek uzturēta atbilstoši Ministru kabineta 2025. gada 25. jūnija noteikumiem Nr. 397 „Minimālās kiberdrošības prasības" un Pārvaldes informācijas drošības vadības sistēma ir sertificēta atbilstoši ISO/IEC 27001:2022 standartam.
5. Pieprasījuma izvērtēšana un piekļuves piešķiršana
5.1. Piekļuves piešķiršanas tvērums un izvērtējuma saturs
Ar piekļuves piešķiršanu drošajai informācijas apstrādes videi saprotams ne tikai tehniskas piekļuves nodrošināšana sistēmai, bet arī Pārvaldes veiktais izvērtējums par pieprasītās informācijas apstrādes tiesisko pamatu saskaņā ar VPIL 54. panta septīto daļu, mērķi un nepieciešamo informācijas apjomu. Iestādei pieprasījumā ir pienākums norādīt informācijas apstrādes tiesisko pamatu, mērķi, sasniedzamo rezultātu, nepieciešamo informāciju, kā arī sniegt aprakstu par personas datu apstrādes minimizācijas principa ievērošanu. Pārvalde, izvērtējot pieprasījumu, pārbauda šīs informācijas atbilstību un nepieciešamību, kā arī nosaka drošajā informācijas apstrādes vidē pieejamo informācijas detalizācijas pakāpi.
5.2. Speciālā regulējuma ierobežojumu izvērtēšana
Vienlaikus Pārvalde izvērtē arī citos normatīvajos aktos noteiktos informācijas izmantošanas un nodošanas ierobežojumus, kas var attiekties gan uz personas datiem, gan citu informāciju. Ja speciālais regulējums nosaka ierobežojumus vai aizliegumu konkrētas informācijas apstrādei vai nodošanai citai institūcijai, Pārvalde var atteikt piekļuvi attiecīgajai informācijai vai noteikt tās izmantošanas ierobežojumus drošajā informācijas apstrādes vidē. Savukārt iestāde- datu sniedzējs, nododot informāciju Pārvaldei, ievēro arī savā darbību regulējošajos normatīvajos aktos noteiktos informācijas izsniegšanas ierobežojumus. Tādējādi lēmums par piekļuvi drošajai informācijas apstrādes videi praksē ietver gan piekļuvi pašai videi, gan lēmumu par piekļuvi informācijai un to apjomu konkrētā apstrādes mērķa sasniegšanai.
Speciālais regulējums šo noteikumu izpratnē ir tādas normatīvā akta normas, kas tieši nosaka informācijas izmantošanas, nodošanas vai izsniegšanas ierobežojumus vai aizliegumus, vai paredz īpašu informācijas pieprasīšanas un sniegšanas kārtību. Speciālais regulējums attiecas, piemēram, uz šādām informācijas kategorijām:
— valsts drošības interesēs aizsargājamā informācija (Valsts drošības iestāžu likuma 17. un 19. pants, Ministru kabineta 2004. gada 26. oktobra noteikumi Nr. 887);
— valsts noslēpuma objekti un informācija, kas klasificēta atbilstoši likumam „Par valsts noslēpumu";
— veselības dati un to sekundārā izmantošana (Eiropas Parlamenta un Padomes 2025. gada 11. februāra Regula (ES) 2025/327 par Eiropas veselības datu telpu, Pacientu tiesību likums, Ārstniecības likums);
— īpašas kategorijas personas dati VDAR 9. panta izpratnē (dati par rasi vai etnisko izcelsmi, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, ģenētiskie dati, biometriskie dati personas unikālai identificēšanai, veselības dati, dati par dzimumdzīvi vai seksuālo orientāciju);
— kredītiestāžu klientu un darījumu informācija, uz kuru attiecas neizpaužamu ziņu (komercnoslēpuma) režīms saskaņā ar Kredītiestāžu likuma 63. pantu;
— adopcijas un aizgādnības lietu informācija (Bērnu tiesību aizsardzības likums, Civillikums);
— operatīvās darbības informācija un izmeklēšanas datu konfidencialitāte (Operatīvās darbības likums, Kriminālprocesa likums);
Tas, ka iestādes darbību regulē atsevišķs likums, pats par sevi nepadara šo likumu par speciālu regulējumu informācijas nodošanas izpratnē. Speciāls aprites režīms attiecas tikai uz konkrēti definētām informācijas kategorijām, nevis uz visu attiecīgās iestādes rīcībā esošo informāciju.
Datu sniedzēja darbību regulējoša likuma esamība pati par sevi nav pamats atteikties nodot informāciju Pārvaldei. Datu sniedzēja pienākums nodot informāciju Pārvaldei izriet no VPIL 54. panta septītās daļas, kas ir datu sniedzējam tieši piemērojams likums un nosaka pienākumu sniegt Pārvaldei drošajā informācijas apstrādes vidē iekļaujamo informāciju. Vairums datu sniedzēju darbību regulējošos likumu un Ministru kabineta noteikumu jau ietver normas, kas paredz informācijas sniegšanu citām iestādēm to funkciju izpildei.
Datu sniedzējs, saņemot Pārvaldes pieprasījumu, izvērtē, vai konkrētajai pieprasītajai informācijai ir piemērojams speciāls aprites režīms, un, ja šaubas pastāv, sazinās ar Pārvaldi, lai vienotos par konkrētās informācijas nodošanas iespējamību un kārtību. Šaubu gadījumā piemērojams sadarbības princips VPIL 54. panta otrās daļas izpratnē, nevis automātisks atteikums.
5.3. Pārvaldes konsultatīvās funkcijas tvērums
Pārvaldes konsultatīvā funkcija aptver tikai vispārīgu informāciju par drošajā informācijas apstrādes vidē iekļaujamo datu kategorijām, izmantošanas iespējām, datu apvienošanas iespējām un apstrādes vispārīgajiem ierobežojumiem. Konsultācijas saturs atbilst Pārvaldes kā drošās informācijas apstrādes vides nodrošinātāja kompetencei un nepārsniedz to.
Datu sniedzēja metodiskā vadība attiecībā uz konkrētās informācijas sistēmas darbību un datu apstrādes specifiskajiem noteikumiem saglabājas attiecīgo datu sniedzēja kompetencē saskaņā ar normatīvajiem aktiem, kas reglamentē šo informācijas sistēmu darbību. Pārvalde šajā kompetences jomā neiejaucas.
Pārvalde konsultatīvajā funkcijā balstās uz publiski pieejamu informāciju par valsts informācijas sistēmām un to saturu, kā arī uz iestādes pieprasījumā norādīto. Ja iestādei rodas detalizēti jautājumi par konkrētas informācijas sistēmas datu saturu, struktūru, kvalitāti vai izsniegšanas kārtību, Pārvalde iestādi novirza uz attiecīgo datu sniedzēju vai uzdod personīgi tam jautājumus.
Noteikumu projekts neparedz datu sniedzēju pienākumu sniegt Pārvaldei detalizētu metodisko informāciju vai apmācības par to pārziņā esošo informācijas sistēmu darbību, datu apstrādes noteikumiem vai izsniegšanas kārtību. Pārvaldei nepieciešamās tehniskās ziņas par konkrētajā pieprasījumā nepieciešamajiem datiem tiek precizētas tikai pēc konkrēta pieprasījuma saņemšanas un attiecas uz konkrētajā gadījumā nepieciešamo informāciju, nevis uz vispārīgu apmācību par sistēmas darbību. Tādējādi noteikumu projekts neparedz Pārvaldes un datu sniedzēju kompetenču pārklāšanos, neuzliek datu sniedzējam papildu metodiskās vadības pienākumu un nerada papildu administratīvo slogu datu sniedzējam.
5.4. Papildu pieprasījumu izvērtēšana saderības principa kontekstā
Noteikumu projekta 10. punkts paredz, ka iestādes papildu informācijas pieprasījums viena pieprasījuma ietvaros tiek vērtēts saderības principa kontekstā. Ja papildu apstrāde ir saderīga ar sākotnēji izvērtēto informācijas apstrādes mērķi un atbilst iepriekš veiktajam tiesiskā pamata izvērtējumam, atkārtota izvērtēšana nav nepieciešama. Ja papildu pieprasījums maina apstrādes mērķi vai citādi pārsniedz sākotnējā tiesiskā pamata izvērtējuma tvērumu, Pārvalde veic atkārtotu pieprasījuma izvērtēšanu Noteikumu 5. punktā noteiktajā kārtībā.
Saderības izvērtējums ir tiesiska procedūra, kuras ietvaros Pārvalde pārbauda papildu pieprasījuma satura sakritību ar sākotnējo apstrādes mērķi. Šāda diferencēta pieeja nodrošina samērīgu administratīvo slogu un vienlaikus garantē, ka katra apstrādes paplašināšana ārpus sākotnējā mērķa tiek pakļauta atkārtotai juridiskai pārbaudei.
6. Informācijas saņemšana no datu sniedzējiem
Datu sniedzējs informāciju nodod Pārvaldei, izmantojot tā informācijas sistēmā jau esošos datu apstrādes un nodošanas risinājumus. Datu sniedzējam nav pienākuma izveidot jaunus tehniskus risinājumus, ja datu sniedzēja informācijas sistēmas tehniskās iespējas tādu izveidi nepieļauj vai tas radītu nesamērīgu administratīvo un finansiālo slogu. Šādos gadījumos Pārvalde un datu sniedzējs vienojas par iespējām izmantot alternatīvu informācijas nodošanas veidu sadarbības ietvaros saskaņā ar VPIL VII. nodaļu, ja tehniski to ir iespējams izdarīt un ir īstenojams piešķirtā budžeta ietvaros.
Datu saņemšanai no datu sniedzēja tiks izmantota Datu izplatīšanas un pārvaldības platforma, iepriekš izvērtējot tās izmantošanas lietderīgumu.
7. Piekļuves piešķiršana drošajai informācijas apstrādes videi
Pārvalde, piešķirot piekļuvi drošajai informācijas apstrādes videi, nosaka darbības organizatoriskos un drošības aspektus, tostarp piekļuves tiesību piešķiršanas kārtību, lietotāju atbildību, informācijas izmantošanas nosacījumus un rezultātu izneses kontroli drošajā informācijas apstrādes vidē.
Strīdi par Pārvaldes pieņemto lēmumu par piekļuves atteikumu drošajai informācijas apstrādes videi tiek risināti VPIL noteiktajā kārtībā, kā arī piemērojot VPIL VII. nodaļā noteikto par iestāžu savstarpējo sadarbību.
8. Iestādes pienākumi, apstrādājot informāciju drošajā informācijas apstrādes vidē
Iestādei, apstrādājot informāciju drošajā informācijas apstrādes vidē, jāievēro:
(1) Noteikumos paredzētie apstrādes nosacījumi;
(2) spēkā esošajos normatīvajos aktos noteiktās informācijas un personas datu apstrādes drošības prasības, tostarp VDAR, Nacionālo kiberdrošības likumu un Ministru kabineta 2025. gada 25. jūnija noteikumu Nr. 397 „Minimālās kiberdrošības prasības" prasības;
(3) Pārvaldes noteiktās tehniskās lietošanas un drošības prasības, kas nepieciešamas, lai Pārvalde varētu izpildīt savus pienākumus saskaņā ar šiem noteikumiem, tostarp:
— nodrošināt informācijas apstrādes rezultātu izneses kontroli (piemēram, izneses pieprasījumu noformēšanas kārtība, anonimizēšanas pārbaudes nosacījumi);
— uzraudzīt iestādes piekļuves tiesību izmantošanu un piekļuves žurnālu uzturēšanu;
— novērst tehniskus vai organizatoriskus pārkāpumus;
— nodrošināt drošās informācijas apstrādes vides integritāti un visu lietotāju datu konfidencialitāti.
9. Maksas pakalpojumu apmērs
Informācijas sagatavošana un konsultācijas par informācijas apstrādes iespējām drošajā informācijas apstrādes vidē iestādēm tiek nodrošinātas bez maksas. Noteikumu 12. punktā noteiktā maksa attiecas tikai uz drošās informācijas apstrādes vides tehnisko resursu (serveru jaudas, datu apstrādes resursu, tīkla resursu) izmantošanu. Līdzīgi kā jau šobrīd drošās informācijas apstrādes vidi var izmantot Statistikas likumā noteiktajā kārtībā un maksa ir noteikta Pārvaldes maksas pakalpojumu cenrādī (Ministru kabineta 2022. gada 10. maija noteikumi Nr. 274 „Centrālās statistikas pārvaldes maksas pakalpojumu cenrādis", https://likumi.lv/ta/id/332257).
Ņemot vērā, ka Pārvaldei ir paredzēta datu centra migrācija pie atsevišķa tehnisko resursu uzturētāja, noteikumu projektā paredzētā maksa ir noteikta atbilstoši tehnisko resursu nodrošinātāja noteiktajām izmaksām.
Tādējādi pieprasījuma iesniedzējam, plānojot drošās informācijas apstrādes vides izmantošanu, jāizvērtē pieprasāmās informācijas apjoma un apstrādes ilguma faktiskā nepieciešamība, vienlaikus ievērojot personas datu apstrādes minimizācijas principu un samērojot pieprasījuma apjomu ar tehnisko resursu izmantošanas izmaksām, lai nodrošinātu valsts budžeta līdzekļu lietderīgu izlietojumu Publiskas personas finanšu līdzekļu un mantas izšķērdēšanas novēršanas likuma izpratnē.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
-
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Nē
5.3. Cita informācija
Apraksts
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
Ekonomikas ministrijaNevalstiskās organizācijas
NēCits
Nē6.2. Sabiedrības līdzdalības organizēšanas veidi
Veids
Publiskā apspriešana
Saite uz sabiedrības līdzdalības rezultātiem
https://tapportals.mk.gov.lv/public_participation/afcf2386-6472-4e51-80a8-de822acfc17a
6.3. Sabiedrības līdzdalības rezultāti
Viedokļi nav iesniegti
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Jā
7.1. Projekta izpildē iesaistītās institūcijas
Institūcijas
- Centrālā statistikas pārvalde
- Datu valsts inspekcija
7.2. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.3. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
Nē
-
2. Tiks likvidēta institūcija
Nē
-
3. Tiks veikta esošās institūcijas reorganizācija
Nē
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Jā
Centrālās statistikas pārvaldes funkcijas tiek paplašinātas datu pārvaldības jomā, paredzot tai jaunu uzdevumu — nodrošināt drošās informācijas apstrādes vides pārvaldību saskaņā ar Valsts pārvaldes iekārtas likuma 54. panta septīto daļu. Pārvalde uzņemas iestāžu pieprasījumu izvērtēšanu, piekļuves nodrošināšanu drošajai videi, tās tehnisko uzturēšanu un izneses kontroli. Šis uzdevums papildina Pārvaldes esošās funkcijas oficiālās statistikas un valsts datu pārvaldības jomā un nostiprina tās lomu kā kompetences centru drošai datu apstrādei valsts pārvaldē.
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Jā
Drošās informācijas apstrādes vides darbība efektivizē Centrālās statistikas pārvaldes iekšējos datu apstrādes procesus, nodrošinot vienotu, centralizētu vidi iestāžu datu pieprasījumu apkalpošanai. Tas ļauj Pārvaldei optimizēt resursu izmantošanu, samazināt atkārtotu datu sagatavošanas darbu, kā arī standartizēt piekļuves piešķiršanas, tehniskā atbalsta un kontroles procesus. Vienlaikus tiek pilnveidota sadarbība ar datu sniedzējiem un datu lietotājiem, izmantojot vienotus tehniskos un procesuālos risinājumus.
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Jā
Centrālās statistikas pārvalde paplašina savas drošās informācijas apstrādes vides izmantošanas iespējas.
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Jā
Centrālās statistikas pārvalde optimizē procesus, lai esošo cilvēkresursu ietvaros, nodrošinātu savas drošās informācijas apstrādes vides izmantošanas iespējas citām iestādēm.
8. Cita informācija
Nē
-
7.5. Cita informācija
Tiesību akta projekta īstenošana tiks nodrošināta esošo budžeta līdzekļu ietvaros, un tas neparedz papildu finansējuma piešķiršanu vai jaunu institūciju izveidi.
Tieši iesaistītā institūcija ir Centrālā statistikas pārvalde, kas izveido un uztur drošo informācijas apstrādes vidi un nodrošina pieprasījumu izvērtēšanu un piekļuves piešķiršanu.
Personas datu apstrādes uzraudzību drošajā informācijas apstrādes vidē veic Datu valsts inspekcija.
Datu pieprasītāju (iestāžu, kas iesniedz pieprasījumu drošās informācijas apstrādes vides izmantošanai) un datu sniedzēju (iestāžu, kuru rīcībā ir pieprasītā informācija) loks ir nenoteikts un konkretizējas tikai brīdī, kad iestāde iesniedz attiecīgu pieprasījumu.
Projekts precizē un strukturē jau pastāvošus sadarbības un informācijas apstrādes procesus, kas tiek īstenoti institūciju kompetences un piešķirto resursu ietvaros, līdz ar to papildu ietekme uz institucionālo kapacitāti vai budžetu netiek radīta.
Tiesību akta projekts var radīt ietekmi uz datu sniedzēju iestādēm cilvēkresursu un tehnisko resursu izmantošanas izteiksmē, sagatavojot datus nodošanai Pārvaldei. Šī ietekme nav iepriekš precīzi prognozējama, jo tā ir atkarīga no konkrētā pieprasījuma apjoma un sarežģītības. Sadarbība notiek valsts pārvaldes iekārtas sadarbības principa ietvaros, izmantojot datu turētāja informācijas sistēmas jau esošos datu apmaiņas un nodošanas risinājumus, neradot pienākumu izveidot jaunus tehniskus risinājumus, ja datu turētājam tādu izveides iespēju nav.
Drošās informācijas apstrādes vides darbība un izmantošanas kārtība detalizēti aprakstīta anotācijas 1.3. sadaļā.
Tieši iesaistītā institūcija ir Centrālā statistikas pārvalde, kas izveido un uztur drošo informācijas apstrādes vidi un nodrošina pieprasījumu izvērtēšanu un piekļuves piešķiršanu.
Personas datu apstrādes uzraudzību drošajā informācijas apstrādes vidē veic Datu valsts inspekcija.
Datu pieprasītāju (iestāžu, kas iesniedz pieprasījumu drošās informācijas apstrādes vides izmantošanai) un datu sniedzēju (iestāžu, kuru rīcībā ir pieprasītā informācija) loks ir nenoteikts un konkretizējas tikai brīdī, kad iestāde iesniedz attiecīgu pieprasījumu.
Projekts precizē un strukturē jau pastāvošus sadarbības un informācijas apstrādes procesus, kas tiek īstenoti institūciju kompetences un piešķirto resursu ietvaros, līdz ar to papildu ietekme uz institucionālo kapacitāti vai budžetu netiek radīta.
Tiesību akta projekts var radīt ietekmi uz datu sniedzēju iestādēm cilvēkresursu un tehnisko resursu izmantošanas izteiksmē, sagatavojot datus nodošanai Pārvaldei. Šī ietekme nav iepriekš precīzi prognozējama, jo tā ir atkarīga no konkrētā pieprasījuma apjoma un sarežģītības. Sadarbība notiek valsts pārvaldes iekārtas sadarbības principa ietvaros, izmantojot datu turētāja informācijas sistēmas jau esošos datu apmaiņas un nodošanas risinājumus, neradot pienākumu izveidot jaunus tehniskus risinājumus, ja datu turētājam tādu izveides iespēju nav.
Drošās informācijas apstrādes vides darbība un izmantošanas kārtība detalizēti aprakstīta anotācijas 1.3. sadaļā.
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Nē
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Jā
Apraksts
Projekts skar personas datu apstrādi, jo tas nosaka kārtību, kādā Pārvalde drošajā informācijas apstrādes vidē iekļauj un apstrādā valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju, tostarp personas datus. Personas datu apstrāde tiks veikta saskaņā ar VDAR 6. panta 1. punkta e) apakšpunktu sabiedrības interesēs, ievērojot Valsts pārvaldes iekārtas likuma 54. panta septītajā daļā noteiktos mērķus un citus piemērojamos normatīvos aktus.
Projektā ir iestrādāti datu aizsardzības principi, jo īpaši datu minimizācijas princips. Iestādei, iesniedzot pieprasījumu, obligāti jānorāda apstrādes tiesiskais pamats, mērķis, nepieciešamais datu apjoms un jāsniedz apraksts par personas datu minimizācijas principa ievērošanu. Pārvalde, izvērtējot pieprasījumu, pārbauda apstrādes tiesisko pamatu un nepieciešamo informācijas apjomu un nosaka nodrošināmo informācijas detalizācijas pakāpi, prioritāri nodrošinot anonimizētus datus, ja tas nav iespējams – pseidonimizētus datus, un tikai izņēmuma gadījumos – identificējamus datus.
Par pieprasījuma tiesiskumu, informācijas, tai skaitā personas datu, apjomu un nepieciešamību atbild Pārvalde un iestāde, kas pieprasījusi piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē.
Redakcija sagatavota līdzīgi kā spēkā esošajos Ministru kabineta 2026. gada 13. janvāra noteikumos Nr. 12 „Kārtība, kādā Mākslīgā intelekta centrs organizē speciālo regulatīvo vidi un datu apstrādi", kuru 16. punkts nosaka: „Datu devējs, saņemot centra pieprasījumu personas datu izsniegšanai, kurā ir norādīts personas datu apstrādes tiesiskais pamats, nolūks, apjoms, kā arī cita nepieciešamā tehniskā informācija, izsniedz pieprasītos datus saskaņā ar centra izdoto administratīvo aktu. Par pieprasījuma tiesiskumu, personas datu apjomu un nepieciešamību atbild centrs."
Personas datu apstrāde notiek Pārvaldes izveidotajā un uzturētajā drošajā informācijas apstrādes vidē, kurā ir noteikta piekļuves tiesību pārvaldība, lietotāju lomu sadalījums, rezultātu iznese bez personas datiem, kā arī tehniski un organizatoriski drošības pasākumi. Piekļuve videi tiek piešķirta tikai rakstiski saskaņotām personām, un Pārvaldei ir tiesības liegt piekļuvi, ja tiek konstatēti pārkāpumi.
Papildus uzraudzības mehānismu nodrošina Datu valsts inspekcija, kas ne retāk kā reizi trijos gados veic personas datu apstrādes revīziju drošajā informācijas apstrādes vidē un ir tiesīga pieprasīt informāciju par tehniskajiem un organizatoriskajiem risinājumiem, piekļuves žurnāliem un sadarbības noformējumu. Pārvalde nodrošina Datu valsts inspekcijas norādījumu izpildi un konstatēto pārkāpumu novēršanu noteiktajos termiņos.
Tādējādi projektā ir paredzēti gan preventīvi (minimizācija, anonimizācija, piekļuves kontrole), gan uzraudzības (revīzijas, piekļuves žurnāli, tiesības liegt piekļuvi) mehānismi personas datu aizsardzības nodrošināšanai.
Projektā ir iestrādāti datu aizsardzības principi, jo īpaši datu minimizācijas princips. Iestādei, iesniedzot pieprasījumu, obligāti jānorāda apstrādes tiesiskais pamats, mērķis, nepieciešamais datu apjoms un jāsniedz apraksts par personas datu minimizācijas principa ievērošanu. Pārvalde, izvērtējot pieprasījumu, pārbauda apstrādes tiesisko pamatu un nepieciešamo informācijas apjomu un nosaka nodrošināmo informācijas detalizācijas pakāpi, prioritāri nodrošinot anonimizētus datus, ja tas nav iespējams – pseidonimizētus datus, un tikai izņēmuma gadījumos – identificējamus datus.
Par pieprasījuma tiesiskumu, informācijas, tai skaitā personas datu, apjomu un nepieciešamību atbild Pārvalde un iestāde, kas pieprasījusi piekļuvi informācijas apstrādei drošajā informācijas apstrādes vidē.
Redakcija sagatavota līdzīgi kā spēkā esošajos Ministru kabineta 2026. gada 13. janvāra noteikumos Nr. 12 „Kārtība, kādā Mākslīgā intelekta centrs organizē speciālo regulatīvo vidi un datu apstrādi", kuru 16. punkts nosaka: „Datu devējs, saņemot centra pieprasījumu personas datu izsniegšanai, kurā ir norādīts personas datu apstrādes tiesiskais pamats, nolūks, apjoms, kā arī cita nepieciešamā tehniskā informācija, izsniedz pieprasītos datus saskaņā ar centra izdoto administratīvo aktu. Par pieprasījuma tiesiskumu, personas datu apjomu un nepieciešamību atbild centrs."
Personas datu apstrāde notiek Pārvaldes izveidotajā un uzturētajā drošajā informācijas apstrādes vidē, kurā ir noteikta piekļuves tiesību pārvaldība, lietotāju lomu sadalījums, rezultātu iznese bez personas datiem, kā arī tehniski un organizatoriski drošības pasākumi. Piekļuve videi tiek piešķirta tikai rakstiski saskaņotām personām, un Pārvaldei ir tiesības liegt piekļuvi, ja tiek konstatēti pārkāpumi.
Papildus uzraudzības mehānismu nodrošina Datu valsts inspekcija, kas ne retāk kā reizi trijos gados veic personas datu apstrādes revīziju drošajā informācijas apstrādes vidē un ir tiesīga pieprasīt informāciju par tehniskajiem un organizatoriskajiem risinājumiem, piekļuves žurnāliem un sadarbības noformējumu. Pārvalde nodrošina Datu valsts inspekcijas norādījumu izpildi un konstatēto pārkāpumu novēršanu noteiktajos termiņos.
Tādējādi projektā ir paredzēti gan preventīvi (minimizācija, anonimizācija, piekļuves kontrole), gan uzraudzības (revīzijas, piekļuves žurnāli, tiesības liegt piekļuvi) mehānismi personas datu aizsardzības nodrošināšanai.
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
-
Pielikumi