Projekta ID
22-TA-3705Atzinuma sniedzējs
Tieslietu ministrija
Atzinums iesniegts
13.04.2023.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Vēršam uzmanību uz to, ka no anotācijas teksta nevar izsecināt, kādām konkrēti psihosociālā atbalsta sniegšanā iesaistītajām institūcijām un cik lielā apjomā tiks nodoti personas dati. Līdz ar to, lūdzam anotācijā precīzi norādīt institūcijas, kurām tiks nodoti personas dati un norādīt nododamo datu kategorijas.
Norādām, ka ne projektā, ne anotācijā netiek paskaidrots, kādā veidā un ar kādiem līdzekļiem tiks nodrošinātas atbilstošas garantijas attiecībā uz datu subjekta tiesībām, nav saprotams, kādi tieši tehniskie un organizatoriskie pasākumi tiks veikti. Līdz ar to lūdzam papildināt anotāciju atbilstoši Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu datu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) noteiktajām prasībām, piemēram, atbilstošas garantijas attiecībā uz datu subjektu tiesībām varētu aptvert iespēju noteikt stingrākus noteikumus attiecībā uz piekļuvi datiem, aizliegumu nosūtīt minētos datus utt.
Norādām, ka ne projektā, ne anotācijā netiek paskaidrots, kādā veidā un ar kādiem līdzekļiem tiks nodrošinātas atbilstošas garantijas attiecībā uz datu subjekta tiesībām, nav saprotams, kādi tieši tehniskie un organizatoriskie pasākumi tiks veikti. Līdz ar to lūdzam papildināt anotāciju atbilstoši Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu datu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) noteiktajām prasībām, piemēram, atbilstošas garantijas attiecībā uz datu subjektu tiesībām varētu aptvert iespēju noteikt stingrākus noteikumus attiecībā uz piekļuvi datiem, aizliegumu nosūtīt minētos datus utt.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Datu regulas 5. panta 1. punkta a) apakšpunktā noteikts datu apstrādes likumības un godprātības princips, t.i., jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Savukārt pārzinim veicot personas datu apstrādi, ir jānodrošina godprātīga attieksme pret personas datiem.
Godprātības princips būtībā ietver arī visus pārējos principus (likumīgumu, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti un konfidencialitāti, pārskata atbildību, jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti). Jebkurai datu apstrādei ir nepieciešams tiesisks pamats un mērķis. No minētā secināms, ka, apstrādājot personu datus, ir jāvērtē, vai netiek apstrādāts lielāks daudzums personas datu nekā nepieciešams. Savukārt Datu regulas 5. panta 1. punkta c) apakšpunktā ir noteikts datu minimizēšanas princips, kas paredz, ka datu apstrāde ir adekvāta, atbildīga un ietvert tikai to, kas nepieciešams datu apstrādes nolūkam.
Ņemot vērā minēto, lūdzam izvērtēt kopsakarā projekta 23.1.7.1., 23.1.7.2 un 27.1.7.3. apakšpunktus un anotācijā skaidrot leģitīmo nolūku, kādēļ ir nepieciešama projektā ietverto personas datu apstrāde, kā arī pamatojumu (norādīt konkrētu normatīvo aktu, tā tiesību normu un to skaidrojumu), ka bez šo datu apstrādes (tostarp konkrētā apjoma) nav iespējams sasniegt attiecīgo mērķi, kā arī datu minimizēšanas principa ievērošanas nosacījumus. Turklāt projektā tiek paredzēts apstrādāt īpašo kategoriju datus (veselības dati), kurus saskaņā ar Datu regulas 9.pantu var apstrādāt tikai tad, ja pastāv kāds no minētajā pantā noteiktajiem pamatojumiem.
Godprātības princips būtībā ietver arī visus pārējos principus (likumīgumu, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti un konfidencialitāti, pārskata atbildību, jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti). Jebkurai datu apstrādei ir nepieciešams tiesisks pamats un mērķis. No minētā secināms, ka, apstrādājot personu datus, ir jāvērtē, vai netiek apstrādāts lielāks daudzums personas datu nekā nepieciešams. Savukārt Datu regulas 5. panta 1. punkta c) apakšpunktā ir noteikts datu minimizēšanas princips, kas paredz, ka datu apstrāde ir adekvāta, atbildīga un ietvert tikai to, kas nepieciešams datu apstrādes nolūkam.
Ņemot vērā minēto, lūdzam izvērtēt kopsakarā projekta 23.1.7.1., 23.1.7.2 un 27.1.7.3. apakšpunktus un anotācijā skaidrot leģitīmo nolūku, kādēļ ir nepieciešama projektā ietverto personas datu apstrāde, kā arī pamatojumu (norādīt konkrētu normatīvo aktu, tā tiesību normu un to skaidrojumu), ka bez šo datu apstrādes (tostarp konkrētā apjoma) nav iespējams sasniegt attiecīgo mērķi, kā arī datu minimizēšanas principa ievērošanas nosacījumus. Turklāt projektā tiek paredzēts apstrādāt īpašo kategoriju datus (veselības dati), kurus saskaņā ar Datu regulas 9.pantu var apstrādāt tikai tad, ja pastāv kāds no minētajā pantā noteiktajiem pamatojumiem.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Lasot apakšpunkta redakciju, veidojas priekšstats, ka tiks veikta konkrēto fizisko personu datu apstrāde. Iespējams, bija domāts “riskam pakļauto personu skaitu”? Lūdzam pārskatīt minēto apakšpunktu un izteikt to redakcijā, kas saskan ar pārējiem apakšpunktiem.
Piedāvātā redakcija
-
4.
Anotācija (ex-ante)
1.3. Pašreizējā situācija, problēmas un risinājumi
Iebildums
Lūdzam sadaļā "4.3.6.3. pasākuma ietvaros paredzēto atbalstāmo darbību īstenošanas nosacījumi" 1.punkta 3.apakšpunktā "3)elektroniskā datu apmaiņas rīka izstrāde datu apmaiņai starp bērnu slimnīcas informācijas sistēmām un SOPA" norādīt precīzu Datu regulas nosaukumu, proti, Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
Papildus vēršam Jūsu uzmanību, ka anotācijā minētā personas datu, tai skaitā veselības datu apmaiņa, izmantojot elektronisko datu apmaiņas rīku, ir īpašo kategoriju datu apstrāde un tā ir veicama saskaņā ar Datu regulas 9.pantu, proti, ja pastāv kāds no minētajā pantā noteiktajiem pamatojumiem. Ņemot vērā minēto, lūdzam anotācijā norādīt leģitīmo nolūku, kura dēļ ir nepieciešama projektā un anotācijā ietverto personas datu (arī īpašo kategoriju datu) apstrāde, kā arī pamatojumu (norādīt konkrētu normatīvo aktu, tā tiesību normu un to skaidrojumu), ka bez šo datu apstrādes (tostarp konkrētā apjoma) nav iespējams sasniegt attiecīgo mērķi, kā arī datu minimizēšanas principa ievērošanas nosacījumus. Turklāt termins "veselības dati" ir plaši interpretējams, līdz ar to pastāv riski pārmērīgai personu datu apstrādei. Aicinām izvērtēt un norādīt konkrētus apstrādājamo personu datu veidus.
Papildus vēršam Jūsu uzmanību, ka anotācijā minētā personas datu, tai skaitā veselības datu apmaiņa, izmantojot elektronisko datu apmaiņas rīku, ir īpašo kategoriju datu apstrāde un tā ir veicama saskaņā ar Datu regulas 9.pantu, proti, ja pastāv kāds no minētajā pantā noteiktajiem pamatojumiem. Ņemot vērā minēto, lūdzam anotācijā norādīt leģitīmo nolūku, kura dēļ ir nepieciešama projektā un anotācijā ietverto personas datu (arī īpašo kategoriju datu) apstrāde, kā arī pamatojumu (norādīt konkrētu normatīvo aktu, tā tiesību normu un to skaidrojumu), ka bez šo datu apstrādes (tostarp konkrētā apjoma) nav iespējams sasniegt attiecīgo mērķi, kā arī datu minimizēšanas principa ievērošanas nosacījumus. Turklāt termins "veselības dati" ir plaši interpretējams, līdz ar to pastāv riski pārmērīgai personu datu apstrādei. Aicinām izvērtēt un norādīt konkrētus apstrādājamo personu datu veidus.
Piedāvātā redakcija
-
5.
Noteikumu projekts
Priekšlikums
Lai nodrošinātu korektu atsauci uz Datu regulu, lūdzam precizēt apakšpunktu atbilstoši piedāvātajai redakcijai.
Piedāvātā redakcija
28.2. personas datu apstrādi veic saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula);