Projekta ID
22-TA-3012Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
19.12.2022.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Likumprojekts
Iebildums
Atbilstoši Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) 6. panta trešajam punktam Likumprojektā būtu skaidri jānosaka apstrādājamo datu veidi, jeb kategorijas. No Likumprojekta neizriet, kādi tieši identificējoši personas dati tiks apstrādāti.
Papildus, nosakot apstrādājamo personas datu veidus, Likumprojektā ir nosakāms arī veids, kādā plānots apstrādāt personas datus un attiecīgais datu subjektu loks uz kuru attiecināma datu apstrāde.Šobrīd no likumprojekta tekstā nav saprotāmas veicāmās personas datu apstrādes un to apjoms.
Lūdzam papildināt anotāciju un Likumprojektu ar personas datu veidiem, kuri tiks apstrādāti. Kā arī papildināt Likumprojekta Anotāciju, iekļaujot tajā informāciju, par datu subjektiem uz kuriem attiecas Likumprojektā noteiktie ierobežojumi un noteikt veidu kādā plānota datu apstrāde.
Papildus, nosakot apstrādājamo personas datu veidus, Likumprojektā ir nosakāms arī veids, kādā plānots apstrādāt personas datus un attiecīgais datu subjektu loks uz kuru attiecināma datu apstrāde.Šobrīd no likumprojekta tekstā nav saprotāmas veicāmās personas datu apstrādes un to apjoms.
Lūdzam papildināt anotāciju un Likumprojektu ar personas datu veidiem, kuri tiks apstrādāti. Kā arī papildināt Likumprojekta Anotāciju, iekļaujot tajā informāciju, par datu subjektiem uz kuriem attiecas Likumprojektā noteiktie ierobežojumi un noteikt veidu kādā plānota datu apstrāde.
Piedāvātā redakcija
-
2.
Likumprojekts
Iebildums
Datu regulas 39. apsvērums nosaka, ka lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Likumprojektā iegūto personas datu glabāšanas termiņi vispār nav noteikti.
Datu valsts inspekcijas ieskatā iegūtos persons datus būtu jādzēš pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas, bet no Likumprojekta 41. panta otrās daļas izriet, ka dažus personas datus uzglabās un analizēs arī pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas. Datu regula paredz noteikt kādi būs kritēriji, pēc kuriem vadoties, tiks noteikts datu glabāšanas termiņš, proti, kuri būs tie personas dati, kuri tiks uzglabāti arī pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas, un kuri būs tie personas dati, kuri nekavējoties tiks dzēsti.
Datu glabāšanas termiņam ir jābūt noteiktam skaidram un konkrētam. Ievērojot minēto, lūdzam precizēt Likumprojektu, nosakot konkrētu glabāšanas termiņu, veidojot skaidru un nepārprotamu regulējumu, kā arī Anotācijā sniegt skaidrojumu par izvēlētā glabāšanas termiņa pamatojumu.
Datu valsts inspekcijas ieskatā iegūtos persons datus būtu jādzēš pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas, bet no Likumprojekta 41. panta otrās daļas izriet, ka dažus personas datus uzglabās un analizēs arī pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas. Datu regula paredz noteikt kādi būs kritēriji, pēc kuriem vadoties, tiks noteikts datu glabāšanas termiņš, proti, kuri būs tie personas dati, kuri tiks uzglabāti arī pēc nepilnības, ievainojamības un kiberincidenta atrisināšanas, un kuri būs tie personas dati, kuri nekavējoties tiks dzēsti.
Datu glabāšanas termiņam ir jābūt noteiktam skaidram un konkrētam. Ievērojot minēto, lūdzam precizēt Likumprojektu, nosakot konkrētu glabāšanas termiņu, veidojot skaidru un nepārprotamu regulējumu, kā arī Anotācijā sniegt skaidrojumu par izvēlētā glabāšanas termiņa pamatojumu.
Piedāvātā redakcija
-
3.
Likumprojekts
Iebildums
Šī Likumprojekta panta daļa paredz, ka personas datus drīkst nodot šā likuma 11. panta pirmās daļas 3. un 4. punktā minētajām institūcijām. Šie punkti Likumprojekta 11. pantā paredz Kiberincidentu novēršanas institūciju uzdevumus, tādus kā - sniegt atbalstu valsts institūcijām valsts drošības sargāšanā un sadarboties ar Eiropas Savienības, ārvalstu un starptautisko organizāciju kompetentajām iestādēm un kiberincidentu novēršanas institūcijām. Datu valsts inspekcijai nav skaidrs, kas tieši šīs ir par institūcijām un kādi tieši personas dati tiks nodoti.
Ievērojot minēto, lūdzam precizēt Likumprojektu un atbilstoši papildināt anotāciju.
Ievērojot minēto, lūdzam precizēt Likumprojektu un atbilstoši papildināt anotāciju.
Piedāvātā redakcija
-
4.
Likumprojekts
Iebildums
Nepieciešams izprast darbību būtību ar personas datiem un personas datu nošķiršanas kritērijus - apstrādātajos un neapstrādātajos. Līdz ar to pirmšķietami, Datu valsts inspekcija nesaskata tiesisko pamatu atbilstoši Datu regulas 6. pantam vākt un glabāt neapstrādātus personas datus. Atbilstoši personas datu apstrādes principiem (Datu regulas 5. pants) ievāktajiem un uzglabātajiem personas datiem sevī ir jāietver tikai tāda informācija, kura ir nepieciešama personas datu apstrādes nolūkam ("datu minimizēšana"), ja personas dati nav vajadzīgi attiecīgajam nolūkam, tad tie tiek bez kavēšanās dzēsti ("precizitāte"), nevis nodoti tālāk Zemessardzei.
Lūgums labot Likumprojektu, neiekļaujot "neapstrādātu" personas datu nodošanu un glabāšanu kiberincidentu novēršanas institūcijās.
Lūgums labot Likumprojektu, neiekļaujot "neapstrādātu" personas datu nodošanu un glabāšanu kiberincidentu novēršanas institūcijās.
Piedāvātā redakcija
-
5.
Likumprojekts
Iebildums
Kā jau iepriekš tika minēts, Datu valsts inspekcija nesaskata tiesisko pamatu, atbilstoši Datu regulas 6. patam, vākt un glabāt neapstrādātus personas datus. Atbilstoši personas datu apstrādes principiem (Datu regulas 5. pants) ievāktajiem un uzglabātajiem personas datiem sevī ir jāietver tikai tāda informācija, kura ir nepieciešama personas datu apstrādes nolūkam ("datu minimizēšana"), ja personas dati nav vajadzīgi attiecīgajam nolūkam, tad tie tiek bez kavēšanās dzēsti ("precizitāte"), nevis nodoti tālāk Satversmes aizsardzības birojam.
Lūgums labot Likumprojektu neiekļaujot "neapstrādātu" personas datu nodošanu un glabāšanu kiberincidentu novēršanas institūcijās.
Lūgums labot Likumprojektu neiekļaujot "neapstrādātu" personas datu nodošanu un glabāšanu kiberincidentu novēršanas institūcijās.
Piedāvātā redakcija
-
6.
Anotācija (ex-ante)
1.3. Pašreizējā situācija, problēmas un risinājumi
Iebildums
Likumprojekta anotācijā ir noteikts, ka "Likumprojekta 40. pantā noteikti personas datu apstrādes kritēriji [...]", šie kritēriji ir noteikti Likumprojekta 41. pantā. Lūgums novērst neprecizitātes kļūdu Likumprojekta Anotācijā.
Šādas numurācijas neprecizitātes, ar Likumprojekta pantu tvēruma skaidrošanu, ir novērojamas arī citur, piemēram, skaidrojot 40. pantu Anotācijā tas ir minēts, kā 39. pants.
Šādas numurācijas neprecizitātes, ar Likumprojekta pantu tvēruma skaidrošanu, ir novērojamas arī citur, piemēram, skaidrojot 40. pantu Anotācijā tas ir minēts, kā 39. pants.
Piedāvātā redakcija
-
7.
Anotācija (ex-ante)
8.1.13. uz datu aizsardzību
Iebildums
Datu valsts inspekcija lūdz papildināt Likumprojekta anotāciju ar skaidru personas datu apstrādes nolūku, lai tiktu izpildīts Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 5. panta pirmā punkta "b" apakšpunkts.
Piedāvātā redakcija
-