Projekta ID
22-TA-3183Atzinuma sniedzējs
Veselības ministrija
Atzinums iesniegts
10.04.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
DRS: Noteikumu 17.punkts nosaka, ka “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā”.
Esošajā gadījumā IKT kritiskās infrastruktūras īpašniekam vai tiesiskā valdītājam, izsludinot iepirkumu par kiberdrošības pārvaldnieka pakalpojumu, būs nepieciešams publiski izpaust informāciju par to, ka attiecīgais subjekts ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, kas rada papildus kiberdrošības draudus šim subjektam un ir pretrunā ar likumu “Par valsts noslēpumu” un uz šī likuma pamata izdotajiem Ministru kabineta noteikumiem.
Papildus, šāda prasības noteikšana būtiski paaugstinās iestādes izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Tā piemēram, ir sagaidāms, ka ārpakalpojuma sniedzēju iespējas piedāvāt kiberdrošības pārvaldnieka pakalpojumu būs ierobežotas un visticamāk ārpakalpojuma sniedzēji nepiedalīsies šādos iepirkumos vai arī piedāvās ārpakalpojumu sniedzēji piedāvās kiberdrošības pārvaldniekus, kuru praktiskās iemaņas un zināšanas visticamāk nebūs tik profesionālas, vai arī maksa par šādu pakalpojumu sniegšanu būs nesamērīgi lielas.
Esošajā gadījumā IKT kritiskās infrastruktūras īpašniekam vai tiesiskā valdītājam, izsludinot iepirkumu par kiberdrošības pārvaldnieka pakalpojumu, būs nepieciešams publiski izpaust informāciju par to, ka attiecīgais subjekts ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, kas rada papildus kiberdrošības draudus šim subjektam un ir pretrunā ar likumu “Par valsts noslēpumu” un uz šī likuma pamata izdotajiem Ministru kabineta noteikumiem.
Papildus, šāda prasības noteikšana būtiski paaugstinās iestādes izmaksas Kiberdrošības pārvaldnieka nodrošināšanai. Tā piemēram, ir sagaidāms, ka ārpakalpojuma sniedzēju iespējas piedāvāt kiberdrošības pārvaldnieka pakalpojumu būs ierobežotas un visticamāk ārpakalpojuma sniedzēji nepiedalīsies šādos iepirkumos vai arī piedāvās ārpakalpojumu sniedzēji piedāvās kiberdrošības pārvaldniekus, kuru praktiskās iemaņas un zināšanas visticamāk nebūs tik profesionālas, vai arī maksa par šādu pakalpojumu sniegšanu būs nesamērīgi lielas.
Piedāvātā redakcija
a. “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku vairāk kā trijos būtisko pakalpojumu sniedzējos, kas ir IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji”; vai arī
b. “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citam būtisko pakalpojumu sniedzējam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs”.
b. “Fiziska persona, kura noteikta par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citam būtisko pakalpojumu sniedzējam, kas ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs”.
2.
Noteikumu projekts
Iebildums
DRS: Noteikumu 4.pielikumā, B klases “”konfidencialitātes klases” skaidrojumā ir iekļauts, ka “informācijas resurss satur ierobežotas pieejamības informāciju vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”.
Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5.panta 2.punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, arī informācija “par fiziskās personas privāto dzīvi” vai “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods, vai arī, piemēram, video novērošanas ieraksts, kas ļauj identificēt fizisku personu), tad šī informācijas sistēma (resurss) tiks klasificēts kā B klases informācijas resurss. Attiecīgi B klases informācijas resursiem ir jāveic rezerves kopiju veidošanu par pēdējām 365 dienām un jānodrošina citas prasības.
Vēlamies norādīt, ka šādas prasības izvirzīšana ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas
sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.
Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5.panta 2.punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, arī informācija “par fiziskās personas privāto dzīvi” vai “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods, vai arī, piemēram, video novērošanas ieraksts, kas ļauj identificēt fizisku personu), tad šī informācijas sistēma (resurss) tiks klasificēts kā B klases informācijas resurss. Attiecīgi B klases informācijas resursiem ir jāveic rezerves kopiju veidošanu par pēdējām 365 dienām un jānodrošina citas prasības.
Vēlamies norādīt, ka šādas prasības izvirzīšana ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas
sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.
Piedāvātā redakcija
Mēs ieteiktu B klases “konfidencialitātes klases” skaidrojumu aizvietot ar šādu redakciju:
a. “informācijas resurss satur vismaz 5000 datu subjektu personas datus vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”; vai arī
b. “informācijas resurss satur vismaz 1000 datu subjektu īpašu kategoriju personas datus”.