Anotācija (ex-ante)

Aizsardzības ministrijas skatījumā šāds nacionālais regulējums, kas ir stingrāks par Vispārīgās datu aizsardzības regulā ietverto regulējumu, nepamatoti ierobežo valsts un pašvaldību institūciju tiesības izmantot mūsdienīgus, kvalitatīvus un drošības prasībām atbilstošus informācijas un komunikācijas tehnoloģiju produktus un pakalpojumus, kas ietver datu glabāšanu valstīs, kas nav ES un EEZ valstis.

Absolūts aizliegums glabāt datus vai virzīt interneta datu plūsmu caur tādu valstu teritoriju, kas nav ES un EEZ valstis, bet kas nodrošina pietiekamu datu aizsardzības līmeni, un nerada paaugstinātus kiberdrošības un/vai valsts drošības riskus, nebūtu samērīgs un neatspoguļotu likumdevēja pilnvarojuma mērķi – uzlabot informācijas un komunikācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas.

Vienlaikus, nebūtu pieļaujama valsts un pašvaldību institūciju datu glabāšana vai interneta datu plūsmas nodrošināšana caur tādu ārpus ES un EEZ esošo valstu teritoriju, kuru politika ir vērsta pret Latvijas Republikas valstisko neatkarību, suverenitāti, teritoriālo vienotību, valsts varu vai valsts iekārtu un tādu valstu teritoriju, kurās datu glabāšana vai interneta datu plūsmas nodrošināšana ir saistīta ar paaugstinātiem valsts drošības vai kiberdrošības riskiem, kā arī valstīs, par kuru datu aizsardzības līmeni Latvijas kompetentajām iestādēm nav informācijas. Tādējādi, Aizsardzības ministrijas skatījumā, uz minētajām valstīm, būtu saglabājams Noteikumu 5.¹ punktā ietvertais aizliegums.

Ņemot vērā iepriekš minēto, Aizsardzības ministrija ir izvērtējusi iespējas glabāt valsts un pašvaldību institūciju datus arī tādās valstīs, kas nav ES un EEZ valstis. Balstoties uz Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT.LV) un valsts drošības iestāžu rekomendācijām, būtu pieļaujams glabāt datus un virzīt interneta datu plūsmu arī caur to valstu teritoriju, kas nav ES un EEZ valstis, bet ir Ziemeļatlantijas līguma organizācijas (turpmāk – NATO) dalībvalstis. Savukārt, datu glabāšana un interneta datu plūsmas nodrošināšana ārpus ES, EEZ un NATO valstu teritorijas radītu nesamērīgu kaitējuma risku vitālajām valsts interesēm, un nebūtu pieļaujama.

Tādējādi, Aizsardzības ministrijas skatījumā, būtu nosakāms, ka valsts un pašvaldību institūcija, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, glabā datus NATO, ES vai EEZ dalībvalstī un interneta datu plūsmu virza NATO, ES un EEZ teritorijā, ja datu apmaiņa notiek NATO, ES un EEZ teritorijā.

Jāuzsver, ka minētā prasība ir Vispārējās datu aizsardzības regulā ietverto regulējumu papildinoša, proti, valsts un pašvaldību institūcijām, izņemot Latvijas Republikas diplomātiskās un konsulārās pārstāvniecības ārvalstīs, slēdzot līgumu par informācijas un komunikācijas tehnoloģiju pakalpojumu, būs jāpārliecinās par datu glabāšanas valsts izvēles atbilstību gan Vispārīgās datu aizsardzības regulas (attiecībā uz personas datiem), gan šo Noteikumu (attiecībā uz visiem datiem) prasībām.

Ņemot vērā, ka pastāv iespēja, ka kāda no NATO dalībvalstīm nespēs nodrošināt tādu personas datu apstrādes aizsardzības līmeni kā to paredz Vispārīgās datu aizsardzības regula un Noteikumi, valsts un pašvaldību institūcija būs tiesīga glabāt personas datus NATO dalībvalstī un virzīt interneta datu plūsmu šīs NATO dalībvalsts teritorijā, veicot personas datu apmaiņu šajā NATO dalībvalstī, ja vien attiecīgā NATO dalībvalsts spēj nodrošināt pietiekamu personas datu apstrādes aizsardzības līmeni.