Atzinums

Ņemot vērā, ka noteikumu projekta 9.¹5. un 9.¹8.apakšpunktos ir paredzēta procedūra domēna vārdu lietotāju pārbaudei, kas cita starpā paredz arī fizisko personu datu apstrādi, t.sk., domēna vārda lietotāju identitāti apliecinošu dokumentu pārbaudi, lūdzam noteikumu projekta anotācijā noteikt, ka izstrādājot rīcībpolitikas, kas skar personas datu apstrādi, ir nepieciešams izstrādāt personas datu apstrādes procedūras, kas atbilst Vispārīgā datu aizsardzības regulā ietvertajiem principiem un nosacījumiem attiecībā uz personas datu apstrādi, glabāšanu, labošanu un dzēšanu.

-

Eiropas Parlamenta un Padomes 2022.gada 14. decembra Direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148, 28.panta 2.punkts nosaka, ka reģistrā ir jābūt ietvertai informācijai, kas ļautu identificēt domēnu nosaukumu turētājus un to kontaktpunktus, uzskaitot datu veidus, kuri ir jāiekļauj reģistrā, un kas atbilst datiem, kas šobrīd jau ir iekļauti noteikumu projekta 6.² punktā. Noteikumu projekta 6.² punkta redakcija nosaka, ka par domēna vārda lietotājiem tiek vākta informācija, kas nepieciešama un pietiekama lietotāju identificēšanai un saziņai ar tiem. Vēršam uzmanību, ka atbilstoši Vispārīgās datu aizsardzības regulas 5.panta 1.punkta c) apakšpunktam datu pārzinis, veicot datu apstrādi, nodrošina datu minimizēšanas principa ievērošanu, proti, apstrādā tikai tos datus, kas nepieciešami apstrādes nolūkos. Ņemot vērā iepriekš minēto, lūdzam dzēst no noteikumu projekta 6.² punkta redakcijas vārdu "vismaz", uzskaitot tikai tos datu veidus, kas nepieciešami lietotāju identificēšanai. Vienlaikus, ja jau šobrīd ir prognozējams un zināms, ka attiecībā uz lietotāju identificēšanu ir nepieciešama arī kāda cita papildus informācija, lūdzam to iekļaut noteikumu projektā. Lūdzam attiecīgi precizēt arī noteikumu projekta anotāciju

"6.2 Reģistra uzturētājs domēna vārdu lietotājiem un kontaktpersonām pieprasa un reģistrā glabā informāciju, kas nepieciešama un pietiekama lietotāju identificēšanai un saziņai ar tiem. Šāda informācija ietver:"

Vispārīgās datu aizsardzības regulas 6.pants nosaka, ka, lai veiktu personas datu apstrādi, ir nepieciešams noteikt šīs apstrādes nolūku, kā arī tiesisko pamatu. Savukārt, Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148", 28.panta 5.punkts nosaka, ka informācijas pieprasījumiem ir jābūt likumīgiem un pamatotiem, kā arī piekļuve reģistrā iekļautajai informācijai ir jānodrošina gan tiesībaizsardzības un citām kompetentajām iestādēm, gan privāto tiesību juridiskām un fiziskām personām, ja tiek aizskartas to leģitīmās intereses. 

Vēršam uzmanību, ka šobrīd no tiesību normas redakcijas nav saprotami ne nolūki, kādiem dati var tikt izsniegti, ne skaidri definētas iestādes, kam tie var tikt izsniegti. 

Ņemot vērā minēto, lūdzam izteikt pašreizējo noteikuma projekta 7.5.apakšpunktu tādā redakcijā, kas skaidri noteiktu reģistrā iekļauto datu apstrādes nolūku, kā arī datu apstrādes tiesisko pamatu. Piemēram nolūkā novērst un apkarotu domēnu vārdu sistēmas ļaunprātīgu izmantošanu, kā arī novērst un atklātu kiberincidentus, personas dati tiek izsniegti institūcijām, kam šim nolūkam atbilstošas funkcijas noteiktas normatīvajā aktā. Ja tiesību normā tiks iekļauts konkrēts nolūks, zudīs arī nepieciešamība izsmeļoši definēt iestādes, kurām ir piekļuve konkrētajai informācijai, jo to noteikts šo institūciju funkcijas.

Papildus iesakām noteikuma projektu sadalīt 2 daļās - paredzot personas datu apstrādi tiesībaizsardzības iestāžu un kompetento iestāžu vajadzībām, kā arī paredzot iespēju fiziskām un juridiskām personām lūgt piekļuvi reģistra datiem, ja tās spēj pamatot savas leģitīmās intereses personas datu apstrādes nolūku ietvaros. Proti, nebūtu pieļaujams, ka informācija tiek pieprasīta tādiem leģitīmiem nolūkiem, kuri nekādā veidā nav saistīti ar sākotnējo apstrādes mērķi.

Šāda skaidri definēta un noteikta sistēma palīdzēs datu pārzinim, saņemot datu piekļuves pieprasījumus, izvērtēt un identificēt, vai pieprasījumi atbilst noteikumu projektā noteiktajiem apstrādes nolūkiem, un vai pieprasītajam ir tiesiskais pamats saņemt piekļuvi šiem datiem. 

"7.5. lai novērstu un apkarotu domēnu vārdu sistēmas ļaunprātīgu izmantošanu, kā arī novērstu un atklātu kiberincidentus, sniegt tiesībaizsardzības iestādēm, kiberincidentu novēršanas institūcijām un citām kompetentajām iestādēm to normatīvajos aktos noteikto funkciju veikšanai, piekļuvi konkrēta domēna vārda reģistrācijas datiem, tostarp nepubliskajiem datiem, kas vajadzīgi prasītās piekļuves mērķim, kā arī 72 stundu laikā pēc piekļuves pieprasījumu saņemšanas atbildēt uz tiem;
7.6. gadījumos, kas saitīti ar domēnu vārdu sistēmas pārkāpumiem privāto tiesību jomā, sniegt fiziskām un juridiskām personām pēc to pamatotiem pieprasījumiem, piekļuvi konkrēta domēna vārda reģistrācijas datiem, tostarp nepubliskajiem datiem, kas vajadzīgi prasītās piekļuves mērķiem, kā arī 72 stundu laikā pēc piekļuves pieprasījumu saņemšanas atbildēt uz tiem. "

Lūdzam noteikumu projektā saskaņot terminu lietojumu, piemēram, 9.¹5.apakšpunktā (verifikācija/pārbaude); 9.¹8.apakšpunktā (verifikācija (pārbaude) vai tikai verifikācija)

-

Aicinām precizēt apakšpunkta redakciju, saskaņojot to ar Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 attiecīgās normas formulējumu (111.apsvērums), tādējādi skaidri nosakot, ka reģistra uzturētājam ir pienākums pārbaudīt vismaz vienu domēna vārda lietotāja saziņas līdzekli.

"9¹.8.3. tiek nodrošināta domēna vārda lietotāja vismaz viena saziņas līdzekļa verifikācija;"

Aicinām norādīt, ka attiecīgajiem datiem tiek nodrošināta bezmaksas piekļuve, nevis notiek "datu izpaušana".

" 9.¹8.6. piekļuve 7.5. , 8.3.1. un  8.3.2. apakšpunktā norādītajiem datiem tiek nodrošināta bez maksas."