Projekta ID
22-TA-2640Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
02.05.2023.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
No noteikumu projekta “Datu izplatīšanas un pārvaldības platformas noteikumi” (turpmāk – noteikumu projekts) 3. punkta izriet, ka Datu izplatīšanas un pārvaldības platformas (turpmāk – DAGR) pārzinis ir Valsts reģionālās attīstības aģentūra (turpmāk – VRAA), savukārt no 4. punkta izriet, ka personas datu apstrādes kontekstā VRAA ir uzskatāma par pārzini tikai attiecībā uz tiem personu datiem, kas nepieciešami, lai “nodrošinātu piekļuvi DAGR darbības organizēšanai atbilstoši normatīvajiem aktiem, kas nosaka kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām.”
Inspekcija skaidro, ka nolūks “piekļuve DARG darbības organizēšanai” nav skaidri saprotams. Nav skaidrs, vai nolūks ir tikai nodrošināt piekļuvi DAGR, līdz ar to tiks apstrādāti tikai, piemēram, personu identifikācijas dati, vai arī “darbības organizēšanai” nepieciešams apstrādāt arī kādus citus personu datus. Iespējams, ka nolūks ir precizēts noteikumu projekta 36. punktā, bet tādā gadījumā būtu jāveic labojumi 4. punktā, precizējot personu datu apstrādes nolūku, kā arī, iespējams, jāintegrē 36. punkts 4. punktā, lai radītu skaidrību par VRAA veikto personu datu apstrādi.
Inspekcija paskaidro, ka normā, kurā paredzēta un skaidrota personu datu apstrāde, par kuru kā pārzinis atbild VRAA, būtu skaidri jānorāda vai jābūt iespējai skaidri izsecināt sekojošu informāciju: datu subjektus, kuru datus paredzēts apstrādāt (vai vismaz subjektu kategorijas), datu veidus, skaidru nolūku datu apstrādei, datu glabāšanas termiņu, vienības, kam dati tiks nodoti un kādā nolūkā.
Inspekcija skaidro, ka nolūks “piekļuve DARG darbības organizēšanai” nav skaidri saprotams. Nav skaidrs, vai nolūks ir tikai nodrošināt piekļuvi DAGR, līdz ar to tiks apstrādāti tikai, piemēram, personu identifikācijas dati, vai arī “darbības organizēšanai” nepieciešams apstrādāt arī kādus citus personu datus. Iespējams, ka nolūks ir precizēts noteikumu projekta 36. punktā, bet tādā gadījumā būtu jāveic labojumi 4. punktā, precizējot personu datu apstrādes nolūku, kā arī, iespējams, jāintegrē 36. punkts 4. punktā, lai radītu skaidrību par VRAA veikto personu datu apstrādi.
Inspekcija paskaidro, ka normā, kurā paredzēta un skaidrota personu datu apstrāde, par kuru kā pārzinis atbild VRAA, būtu skaidri jānorāda vai jābūt iespējai skaidri izsecināt sekojošu informāciju: datu subjektus, kuru datus paredzēts apstrādāt (vai vismaz subjektu kategorijas), datu veidus, skaidru nolūku datu apstrādei, datu glabāšanas termiņu, vienības, kam dati tiks nodoti un kādā nolūkā.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
No noteikumu projekta 6. punkta izriet, ka datu devējs ir atbildīgs par tā pārziņā esošās informācijas sistēmu datiem, kuri iekļauti DAGR datu krātuvē.
No normas būtībā izriet, ka VRAA nav uzskatāma par pārzini attiecībā uz DAGR platformā veikto personu datu apstrādi – gan apriti starp dažādām datu devēju un datu saņēmēju informācijas sistēmām, gan arī datu uzkrāšanu, jo, kā norādīts noteikumu projekta 4. punktā, VRAA uzskatāma par pārzini tikai attiecībā uz to personu datu apstrādi, kas nepieciešama piekļuvei DAGR un darbības organizēšanai.
Inspekcija norāda, ka šāda VRAA pozīcija par datu apstrādes pārziņu atbildību būtu pieņemama tikai pie apstākļa, ja DAGR sistēma ir tikai kā rīks, kuru izmantojot, notiek informācijas apmaiņa starp dažādām informācijas sistēmām un faktiski VRAA kā DAGR pārzinis nekādā veidā neietekmē šajā apritē esošos datus un ar tiem nesaskaras – nenosaka nedz datu apstrādes nolūkus, nedz līdzekļus, tostarp, piemēram, apstrādes darbības.
Tajā pat laikā, ja dati DAGR tiek uzkrāti, kā tas izriet, piemēram, no noteikumu projekta 6., 10.4., 14. punktiem, tad šī datu apstrāde jau ir uzskatāma par atsevišķu datu apstrādi, kurai ir nepieciešams savs nolūks. No noteikumu projekta izriet, ka DAGR mērķis ir nodrošināt informācijas apmaiņu jeb apriti, bet nevis datu uzkrāšanu.
Ievērojot minēto, Inspekcija norāda, ka no noteikumu projekta nav saprotams, kāds ir datu uzkrāšanas nolūks, kādus personu datus plānots uzkrāt un cik ilgi, kā arī, vai un kam minētie dati tiks nodoti un kādā nolūkā.
Papildus Inspekcija norāda, ka nav arī saprotams, vai uzkrāšana tiešām ir absolūti nepieciešama un vai mērķi, kam noteikumu projektā paredzēts uzkrāt datus, nav iespējams sasniegt kādā citā, personas tiesības uz datu aizsardzību mazāk ierobežojošā veidā. Inspekcija skaidro, ka saskaņā ar Vispārīgās datu aizsardzības regulas 5. panta 1. punkta “b” apakšpunktā nostiprināto nolūka ierobežojuma pricpipu, ir aizliegts veikt tādu datu apstrādi, kas nav nepieciešama konkrētā nolūka sasniegšanai. Ievērojot minēto, Inspekcijas ieskatā būtu jāizvērtē, vai datu uzkrāšana ir tiešām nepieciešama un ja ir, tad noteikumos būtu jāprecizē informācija par šo datu apstrādi, norādot skaidri nolūku, informāciju par to, kādi dati tiks uzkrāti, cik ilgi, kam tie tiks nodoti un kādā nolūkā.
Inspekcija vēlas arī uzsvērt, ka datu uzkrāšana ir uzskatāma par atsevišķu datu apstrādi (datu glabāšanu), tāpēc attiecībā uz šo datu apstrādi būtu jāpārvērtē, kurš ir konkrētās datu apstrādes pārzinis (kurš nosaka šīs datu apstrādes nolūku un līdzekļus tā sasniegšanai) – ja tā ir VRAA, tad, attiecībā uz uzkrāšanu krātuvē, pārzinis būtu VRAA. Ja nolūki ir vairāki (gan VRAA, gan informācijas sistēmas pārziņa noteikti), tad datu apstrādei datu krātuvē VRAA un informācijas sistemas pārziņi uzskatāmi par koppārziņiem.
No normas būtībā izriet, ka VRAA nav uzskatāma par pārzini attiecībā uz DAGR platformā veikto personu datu apstrādi – gan apriti starp dažādām datu devēju un datu saņēmēju informācijas sistēmām, gan arī datu uzkrāšanu, jo, kā norādīts noteikumu projekta 4. punktā, VRAA uzskatāma par pārzini tikai attiecībā uz to personu datu apstrādi, kas nepieciešama piekļuvei DAGR un darbības organizēšanai.
Inspekcija norāda, ka šāda VRAA pozīcija par datu apstrādes pārziņu atbildību būtu pieņemama tikai pie apstākļa, ja DAGR sistēma ir tikai kā rīks, kuru izmantojot, notiek informācijas apmaiņa starp dažādām informācijas sistēmām un faktiski VRAA kā DAGR pārzinis nekādā veidā neietekmē šajā apritē esošos datus un ar tiem nesaskaras – nenosaka nedz datu apstrādes nolūkus, nedz līdzekļus, tostarp, piemēram, apstrādes darbības.
Tajā pat laikā, ja dati DAGR tiek uzkrāti, kā tas izriet, piemēram, no noteikumu projekta 6., 10.4., 14. punktiem, tad šī datu apstrāde jau ir uzskatāma par atsevišķu datu apstrādi, kurai ir nepieciešams savs nolūks. No noteikumu projekta izriet, ka DAGR mērķis ir nodrošināt informācijas apmaiņu jeb apriti, bet nevis datu uzkrāšanu.
Ievērojot minēto, Inspekcija norāda, ka no noteikumu projekta nav saprotams, kāds ir datu uzkrāšanas nolūks, kādus personu datus plānots uzkrāt un cik ilgi, kā arī, vai un kam minētie dati tiks nodoti un kādā nolūkā.
Papildus Inspekcija norāda, ka nav arī saprotams, vai uzkrāšana tiešām ir absolūti nepieciešama un vai mērķi, kam noteikumu projektā paredzēts uzkrāt datus, nav iespējams sasniegt kādā citā, personas tiesības uz datu aizsardzību mazāk ierobežojošā veidā. Inspekcija skaidro, ka saskaņā ar Vispārīgās datu aizsardzības regulas 5. panta 1. punkta “b” apakšpunktā nostiprināto nolūka ierobežojuma pricpipu, ir aizliegts veikt tādu datu apstrādi, kas nav nepieciešama konkrētā nolūka sasniegšanai. Ievērojot minēto, Inspekcijas ieskatā būtu jāizvērtē, vai datu uzkrāšana ir tiešām nepieciešama un ja ir, tad noteikumos būtu jāprecizē informācija par šo datu apstrādi, norādot skaidri nolūku, informāciju par to, kādi dati tiks uzkrāti, cik ilgi, kam tie tiks nodoti un kādā nolūkā.
Inspekcija vēlas arī uzsvērt, ka datu uzkrāšana ir uzskatāma par atsevišķu datu apstrādi (datu glabāšanu), tāpēc attiecībā uz šo datu apstrādi būtu jāpārvērtē, kurš ir konkrētās datu apstrādes pārzinis (kurš nosaka šīs datu apstrādes nolūku un līdzekļus tā sasniegšanai) – ja tā ir VRAA, tad, attiecībā uz uzkrāšanu krātuvē, pārzinis būtu VRAA. Ja nolūki ir vairāki (gan VRAA, gan informācijas sistēmas pārziņa noteikti), tad datu apstrādei datu krātuvē VRAA un informācijas sistemas pārziņi uzskatāmi par koppārziņiem.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Noteikumu projekta 8. punktā ir norādīts DAGR mērķis - nodrošināt "vairāku institūciju" informācijas aprites un apstrādes funkciju un uzdevumu izpildi.
Inspekcija norāda, ka no patreizējā formulējuma nav saprotams, vai DAGR ir tikai rīks informācijas apmaiņai, vai arī informācija tiek citādi apstrādāta pašā DAGR un tajā glabāta, kā izriet no 6., 10.4. un 14. punkta (šis jautājums izvērstāk skaidrots pie iebilduma noteikumu projekta 6. punktam). Ievērojot minēto, noteikumu projekta 8. punktā būtu jāprecizē normas saturs, lai būtu izprotams DAGR mērķis - norādot visus nolūkus, arī attiecībā uz datu glabāšanu DAGR. Tāpat būtu jāprecizē arī formulējums “vairākas institūcijas”.
Inspekcija norāda, ka no patreizējā formulējuma nav saprotams, vai DAGR ir tikai rīks informācijas apmaiņai, vai arī informācija tiek citādi apstrādāta pašā DAGR un tajā glabāta, kā izriet no 6., 10.4. un 14. punkta (šis jautājums izvērstāk skaidrots pie iebilduma noteikumu projekta 6. punktam). Ievērojot minēto, noteikumu projekta 8. punktā būtu jāprecizē normas saturs, lai būtu izprotams DAGR mērķis - norādot visus nolūkus, arī attiecībā uz datu glabāšanu DAGR. Tāpat būtu jāprecizē arī formulējums “vairākas institūcijas”.
Piedāvātā redakcija
-