Projekta ID
23-TA-2040Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
15.12.2023.
Saskaņošanas rezultāts
Saskaņots ar priekšlikumiem
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Anotācija (ex-ante)
8.1.13. uz datu aizsardzību
Priekšlikums
Attiecībā uz ietverto pamatojumu auditācijas pierakstu glabāšanai, Datu valsts inspekcija norāda sekojošo.
Fizisko personu datu apstrādes likuma (turpmāk - FPDAL) 37. panta trešā daļa nosaka, ka pārzinim ir tiesības nesniegt datu subjektam datu regulas 15. pantā minēto informāciju, ja tā rīcībā vairs nav auditācijas pierakstu, kuros pieejama datu subjekta pieprasītā informācija. Savukārt šī panta ceturtā daļa paredz, ka pārzinim nav pienākuma saglabāt auditācijas pierakstos informāciju tikai tādēļ, lai apmierinātu datu subjekta pieprasījumu.
Ņemot vērā minēto, nolūkā nodrošināt datu subjekta piekļuves tiesību īstenošanu, pārzinim nav pienākums auditācijas pierakstus glabāt divus gadus pēc ieraksta izdarīšanas.
FPDAL 37.panta pirmajā daļā paskaidrots auditācijas pierakstu veikšanas un glabāšanas nolūks, proti, auditācijas pieraksti ir analīzei pieejami reģistrēti dati par noteiktiem notikumiem informācijas sistēmā (piemēram, dati par piekļuvi informācijas sistēmai, datu ievadi, grozīšanu, dzēšanu un nosūtīšanu), līdz ar to primāri auditācijas pieraksti ir vērsti uz notikumu informācijas sistēmā izsekojamību jeb informācijas sistēmas drošību. Atzīmējams, ka auditācijas pieraksti satur personas datus, tādejādi, glabājot auditācijas pierakstus, tiek veikta personas datu apstrāde glabāšanas veidā. Viens no datu regulas personas datu apstrādes principiem nosaka, ka personas dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (“glabāšanas ierobežojums”). Ievērojot to, ka auditācijas pieraksti satur personas datus, FPDAL 37.panta otrā daļa ieviesta, lai ierobežotu personas datu glabāšanu auditācijas pierakstos, t.i., attiecīgās tiesību normas mērķis, nosakot auditācijas pierakstiem glabāšanas termiņu, ir ierobežot personas datu glabāšanu auditācijas pierakstos.
Tādējādi norādāms, ka auditācijas pierakstu glabāšanas termiņš ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ir nosakāms, izvērtējot konkrētās informācijas sistēmas drošības riskus.
Ņemot vērā augstāk norādīto, lūdzam izvērtēt šo jautājumu pēc būtības un precizēt pamatojumu auditācijas pierakstu glabāšanai.
Fizisko personu datu apstrādes likuma (turpmāk - FPDAL) 37. panta trešā daļa nosaka, ka pārzinim ir tiesības nesniegt datu subjektam datu regulas 15. pantā minēto informāciju, ja tā rīcībā vairs nav auditācijas pierakstu, kuros pieejama datu subjekta pieprasītā informācija. Savukārt šī panta ceturtā daļa paredz, ka pārzinim nav pienākuma saglabāt auditācijas pierakstos informāciju tikai tādēļ, lai apmierinātu datu subjekta pieprasījumu.
Ņemot vērā minēto, nolūkā nodrošināt datu subjekta piekļuves tiesību īstenošanu, pārzinim nav pienākums auditācijas pierakstus glabāt divus gadus pēc ieraksta izdarīšanas.
FPDAL 37.panta pirmajā daļā paskaidrots auditācijas pierakstu veikšanas un glabāšanas nolūks, proti, auditācijas pieraksti ir analīzei pieejami reģistrēti dati par noteiktiem notikumiem informācijas sistēmā (piemēram, dati par piekļuvi informācijas sistēmai, datu ievadi, grozīšanu, dzēšanu un nosūtīšanu), līdz ar to primāri auditācijas pieraksti ir vērsti uz notikumu informācijas sistēmā izsekojamību jeb informācijas sistēmas drošību. Atzīmējams, ka auditācijas pieraksti satur personas datus, tādejādi, glabājot auditācijas pierakstus, tiek veikta personas datu apstrāde glabāšanas veidā. Viens no datu regulas personas datu apstrādes principiem nosaka, ka personas dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (“glabāšanas ierobežojums”). Ievērojot to, ka auditācijas pieraksti satur personas datus, FPDAL 37.panta otrā daļa ieviesta, lai ierobežotu personas datu glabāšanu auditācijas pierakstos, t.i., attiecīgās tiesību normas mērķis, nosakot auditācijas pierakstiem glabāšanas termiņu, ir ierobežot personas datu glabāšanu auditācijas pierakstos.
Tādējādi norādāms, ka auditācijas pierakstu glabāšanas termiņš ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ir nosakāms, izvērtējot konkrētās informācijas sistēmas drošības riskus.
Ņemot vērā augstāk norādīto, lūdzam izvērtēt šo jautājumu pēc būtības un precizēt pamatojumu auditācijas pierakstu glabāšanai.
Piedāvātā redakcija
-