23-TA-49: Noteikumu projekts (Grozījumi)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Grozījums Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Ministrijas / iestādes iniciatīva
Apraksts
Ministru kabineta noteikumu projekts "Grozījums Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"" (turpmāk – noteikumu projekts) sagatavots pēc Aizsardzības ministrijas iniciatīvas.
1.2. Mērķis
Mērķa apraksts
Noteikumu projekts izstrādāts, lai novērstu nepamatotu ierobežojumu valsts un pašvaldību institūcijām glabāt datus un nodrošināt interneta datu plūsmu tajās Ziemeļatlantijas līguma organizācijas (turpmāk – NATO) valstīs, kas nav Eiropas Savienības (turpmāk - ES) un Eiropas Ekonomikas zonas (turpmāk - EEZ) valstis.
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Ministru kabineta 2015. gada 28. jūlija noteikumu Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" (turpmāk – Noteikumi) 5.1 punkts nosaka, ka valsts un pašvaldību institūcija, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, glabā datus ES vai EEZ valstī un interneta datu plūsmu virza ES un EEZ teritorijā, ja datu apmaiņa notiek ES un EEZ teritorijā.
Savukārt Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula Nr. 2016/679 (ES) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – Vispārīgā datu aizsardzības regula) nosaka, ka personas datus apstrādā (un tostarp glabā) ES un EEZ valstīs. Tāpat Vispārīgās datu aizsardzības regulas 45. pants nosaka, ka personas datus var nosūtīt uz trešo valsti vai starptautisko organizāciju, ja Eiropas Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni.
Tādējādi pašreiz valsts un pašvaldību institūcijas, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, ir tiesīgas glabāt datus, tostarp personu datus, tikai un vienīgi ES un EEZ valstu teritorijā.
Savukārt Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula Nr. 2016/679 (ES) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – Vispārīgā datu aizsardzības regula) nosaka, ka personas datus apstrādā (un tostarp glabā) ES un EEZ valstīs. Tāpat Vispārīgās datu aizsardzības regulas 45. pants nosaka, ka personas datus var nosūtīt uz trešo valsti vai starptautisko organizāciju, ja Eiropas Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni.
Tādējādi pašreiz valsts un pašvaldību institūcijas, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, ir tiesīgas glabāt datus, tostarp personu datus, tikai un vienīgi ES un EEZ valstu teritorijā.
Problēmas un risinājumi
Problēmas apraksts
Aizsardzības ministrijas skatījumā šāds nacionālais regulējums, kas ir stingrāks par Vispārīgās datu aizsardzības regulā ietverto regulējumu, nepamatoti ierobežo valsts un pašvaldību institūciju tiesības izmantot mūsdienīgus, kvalitatīvus un drošības prasībām atbilstošus informācijas un komunikācijas tehnoloģiju produktus un pakalpojumus, kas ietver datu glabāšanu valstīs, kas nav ES un EEZ valstis.
Absolūts aizliegums glabāt datus vai virzīt interneta datu plūsmu caur tādu valstu teritoriju, kas nav ES un EEZ valstis, bet kas nodrošina pietiekamu datu aizsardzības līmeni, un nerada paaugstinātus kiberdrošības un/vai valsts drošības riskus, nebūtu samērīgs un neatspoguļotu likumdevēja pilnvarojuma mērķi – uzlabot informācijas un komunikācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas.
Vienlaikus, nebūtu pieļaujama valsts un pašvaldību institūciju datu glabāšana vai interneta datu plūsmas nodrošināšana caur tādu ārpus ES un EEZ esošo valstu teritoriju, kuru politika ir vērsta pret Latvijas Republikas valstisko neatkarību, suverenitāti, teritoriālo vienotību, valsts varu vai valsts iekārtu un tādu valstu teritoriju, kurās datu glabāšana vai interneta datu plūsmas nodrošināšana ir saistīta ar paaugstinātiem valsts drošības vai kiberdrošības riskiem, kā arī valstīs, par kuru datu aizsardzības līmeni Latvijas kompetentajām iestādēm nav informācijas. Tādējādi, Aizsardzības ministrijas skatījumā, uz minētajām valstīm, būtu saglabājams Noteikumu 5.1 punktā ietvertais aizliegums.
Absolūts aizliegums glabāt datus vai virzīt interneta datu plūsmu caur tādu valstu teritoriju, kas nav ES un EEZ valstis, bet kas nodrošina pietiekamu datu aizsardzības līmeni, un nerada paaugstinātus kiberdrošības un/vai valsts drošības riskus, nebūtu samērīgs un neatspoguļotu likumdevēja pilnvarojuma mērķi – uzlabot informācijas un komunikācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas.
Vienlaikus, nebūtu pieļaujama valsts un pašvaldību institūciju datu glabāšana vai interneta datu plūsmas nodrošināšana caur tādu ārpus ES un EEZ esošo valstu teritoriju, kuru politika ir vērsta pret Latvijas Republikas valstisko neatkarību, suverenitāti, teritoriālo vienotību, valsts varu vai valsts iekārtu un tādu valstu teritoriju, kurās datu glabāšana vai interneta datu plūsmas nodrošināšana ir saistīta ar paaugstinātiem valsts drošības vai kiberdrošības riskiem, kā arī valstīs, par kuru datu aizsardzības līmeni Latvijas kompetentajām iestādēm nav informācijas. Tādējādi, Aizsardzības ministrijas skatījumā, uz minētajām valstīm, būtu saglabājams Noteikumu 5.1 punktā ietvertais aizliegums.
Risinājuma apraksts
Ņemot vērā iepriekš minēto, Aizsardzības ministrija ir izvērtējusi iespējas glabāt valsts un pašvaldību institūciju datus arī tādās valstīs, kas nav ES un EEZ valstis. Balstoties uz Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT.LV) un valsts drošības iestāžu rekomendācijām, būtu pieļaujams glabāt datus un virzīt interneta datu plūsmu arī caur to valstu teritoriju, kas nav ES un EEZ valstis, bet ir Ziemeļatlantijas līguma organizācijas (turpmāk – NATO) dalībvalstis. Savukārt, datu glabāšana un interneta datu plūsmas nodrošināšana ārpus ES, EEZ un NATO valstu teritorijas radītu nesamērīgu kaitējuma risku vitālajām valsts interesēm, un nebūtu pieļaujama.
Tādējādi, Aizsardzības ministrijas skatījumā, būtu nosakāms, ka valsts un pašvaldību institūcija, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, glabā datus NATO, ES vai EEZ dalībvalstī un interneta datu plūsmu virza NATO, ES un EEZ teritorijā, ja datu apmaiņa notiek NATO, ES un EEZ teritorijā.
Jāuzsver, ka minētā prasība ir Vispārējās datu aizsardzības regulā ietverto regulējumu papildinoša, proti, valsts un pašvaldību institūcijām, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, slēdzot līgumu par informācijas un komunikācijas tehnoloģiju pakalpojumu, būs jāpārliecinās par datu glabāšanas valsts izvēles atbilstību gan Vispārīgās datu aizsardzības regulas (attiecībā uz personas datiem), gan šo Noteikumu (attiecībā uz visiem datiem) prasībām.
Ņemot vērā, ka pastāv iespēja, ka kāda no NATO dalībvalstīm nespēs nodrošināt tādu personas datu apstrādes aizsardzības līmeni kā to paredz Vispārīgās datu aizsardzības regula un Noteikumi, valsts un pašvaldību institūcija būs tiesīga glabāt personas datus NATO dalībvalstī un virzīt interneta datu plūsmu šīs NATO dalībvalsts teritorijā, veicot personas datu apmaiņu šajā NATO dalībvalstī, ja vien attiecīgā NATO dalībvalsts spēj nodrošināt pietiekamu personas datu apstrādes aizsardzības līmeni.
Tādējādi, Aizsardzības ministrijas skatījumā, būtu nosakāms, ka valsts un pašvaldību institūcija, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, glabā datus NATO, ES vai EEZ dalībvalstī un interneta datu plūsmu virza NATO, ES un EEZ teritorijā, ja datu apmaiņa notiek NATO, ES un EEZ teritorijā.
Jāuzsver, ka minētā prasība ir Vispārējās datu aizsardzības regulā ietverto regulējumu papildinoša, proti, valsts un pašvaldību institūcijām, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, slēdzot līgumu par informācijas un komunikācijas tehnoloģiju pakalpojumu, būs jāpārliecinās par datu glabāšanas valsts izvēles atbilstību gan Vispārīgās datu aizsardzības regulas (attiecībā uz personas datiem), gan šo Noteikumu (attiecībā uz visiem datiem) prasībām.
Ņemot vērā, ka pastāv iespēja, ka kāda no NATO dalībvalstīm nespēs nodrošināt tādu personas datu apstrādes aizsardzības līmeni kā to paredz Vispārīgās datu aizsardzības regula un Noteikumi, valsts un pašvaldību institūcija būs tiesīga glabāt personas datus NATO dalībvalstī un virzīt interneta datu plūsmu šīs NATO dalībvalsts teritorijā, veicot personas datu apmaiņu šajā NATO dalībvalstī, ja vien attiecīgā NATO dalībvalsts spēj nodrošināt pietiekamu personas datu apstrādes aizsardzības līmeni.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
-
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Nē
5.3. Cita informācija
Apraksts
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Jā
Skaidrojums
Sabiedrības līdzdalība nav paredzēta, jo projekts skar tikai valsts un pašvaldību institūcijas.
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Nē
7.5. Cita informācija
-
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
Paredzams, ka projekts pozitīvi ietekmēs valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību, jo paplašinās valsts un pašvaldību institūcijām pieejamo informācijas un komunikācijas tehnoloģiju produktu un pakalpojumu klāstu, vienlaikus saglabājot augstu kiberdrošības līmeni.
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Jā
Apraksts
Paredzams, ka projekts pozitīvi ietekmēs datu aizsardzības normatīvo regulējumu, novēršot nepamatotu aizliegumu valsts un pašvaldību institūcijām glabāt datus un nodrošināt interneta datu plūsmu caur to NATO valstu teritoriju, kas nav Eiropas Savienības un Eiropas Ekonomikas zonas valstis, vienlaikus saglabājot augstu datu aizsardzības līmeni.
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
-
Pielikumi