Projekta ID
25-TA-1209Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
30.07.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
MK sēdes protokollēmuma projekts
Iebildums
No sagatavotā informatīvā ziņojumu “Par eIDAS 2.0 regulas prasību ieviešanu” un protokollēmuma projektiem secināms, ka Datu valsts inspekcijai (turpmāk – Inspekcija) līdz 2025. gada 31. decembrim jāiesniedz Viedās administrācijas un reģionālās attīstības ministrijai informāciju par datu aizsardzības prasībām, lai nodrošinātu valsts sertifikācijas shēmas izstrādi.
Pirmkārt, norādām,ka datu aizsardzības prasības ir noteiktas Vispārīgajā datu aizsardzības regulā Nr.2016/679 (turpmāk - Datu regula). Līdz ar to nevar tikt noteiktas nekādas citas datu aizsardzības prasības ārpus tām, kuras jau noteiktās Datu regulā. Līdz ar to būtu saprotams, kas ir domāts informatīvajā ziņojumā un protokollēmumā ar terminu datu aizsardzības prasības. Paskaidrojam, ka datu aizsardzības prasības neizdomā katrai atsevišķai sistēmai. Konkrētai sistēmai var noteikt ieviešamas tehniskās un organizatoriskās prasības,kā arī garantijas datu subjektu tiesību nodrošināšanai, lai nodrošinātu personas datu aizsardzības prasības. Un šajā gadījumā tā ir pārziņa atbildība vai institūcijas, kura ir atbildīga par konkrētas sistēmas tehnisko prasību noteikšanu, atbildība. Šādas tehniskās un organizatoriskās prasības noteic tā struktūra, kura ir atbildīga par konkrētas arhitektūras un sistēmas izstrādi, sākotnēji veicot datu aizsardzības ietekmes novērtējumu (NIDA) un definējot veicamo datu apstrādi, riskus, kā arī prasības, kuras būtu ieviešamas, lai riskus novērstu vai mazinātu. Ņemot vērā informatīvajā ziņojumā noteikto, par atbildīgu šajā gadījumā būtu nosakāma VARAM,jo tieši VARAM ir uzdots izstrādāts EDIM arhitektūras prasības.
Datu valsts inspekcija ir personas datu uzraudzības iestāde, kuras primārais uzdevums ir uzraudzīt datu apstrādes atbilstību normatīvo aktu prasībām. Datu regula paredz,ka pārzinis ir atbildīgs par tehnisko un organizatorisko prasību noteikšanu un NIDA veikšanu. Līdz ar to Inspekcija nevar pati izstrādāt konkrētas tehniskās un organizatoriskās prasības konkrētai sistēmai,kuras pārzinis ir cita persona, un pēc tam veikt to uzraudzību. Šajā gadījumā atbilstoši Datu regulas 57. panta 1. punkta c) un g) apakšpunktiem uzraudzības iestāde sniedz atzinumus un konsultācijas valsts parlamentam, valdībai un citām institūcijām par tiesību aktiem un administratīvajiem pasākumiem, kas ietekmē fizisku personu tiesības un brīvības datu aizsardzības jomā. Līdz ar to Inspekcija savas kompetences ietvaros var sniegt viedokli par organizatoriskām un tehniskām prasībām, kas izriet no eIDAS 2.0 regulas un ir būtiskas valsts sertifikācijas shēmas izstrādes procesā.
Lai gan Fizisko personu datu apstrādes likuma (turpmāk – Datu likums) 4. panta 5. punkts paredz, ka Inspekcija atbilstoši savai kompetencei var piedalīties normatīvo aktu un attīstības plānošanas dokumentu projektu izstrādē, šī piedalīšanās ir izprotama kā ekspertīzes un ieteikumu sniegšana, nevis kā līdzatbildība par regulējuma galīgo redakciju. Līdzdalība normatīvā regulējuma izstrādē nedrīkst tikt interpretēta tā, ka Inspekcija kļūst par regulējuma izstrādātāju tādā pašā nozīmē kā nozari regulējošās ministrijas. Tās funkcija šajā procesā ir konsultatīva un analītiska, sniedzot ieteikumus, lai nodrošinātu, ka izstrādātajā regulējumā ir pienācīgi integrētas personas datu aizsardzības prasības.
Ņemot vērā iepriekš minēto, Inspekcija aicina precizēt informatīvajā ziņojumā un protokollēmuma projektā noteikto uzdevumu, skaidri norādot, ka tās iesaiste valsts sertifikācijas shēmas izstrādē ir konsultatīva. Proti, Inspekcija sniedz atzinumus, priekšlikumus un rekomendācijas par personas datu aizsardzības prasībām, nepildot regulējuma izstrādātāja funkciju. Savukārt konkrētas prasības ir jānoteic tai institūcijai, kura izstrādā pašas shēmas arhitektūru un saturu.
Pirmkārt, norādām,ka datu aizsardzības prasības ir noteiktas Vispārīgajā datu aizsardzības regulā Nr.2016/679 (turpmāk - Datu regula). Līdz ar to nevar tikt noteiktas nekādas citas datu aizsardzības prasības ārpus tām, kuras jau noteiktās Datu regulā. Līdz ar to būtu saprotams, kas ir domāts informatīvajā ziņojumā un protokollēmumā ar terminu datu aizsardzības prasības. Paskaidrojam, ka datu aizsardzības prasības neizdomā katrai atsevišķai sistēmai. Konkrētai sistēmai var noteikt ieviešamas tehniskās un organizatoriskās prasības,kā arī garantijas datu subjektu tiesību nodrošināšanai, lai nodrošinātu personas datu aizsardzības prasības. Un šajā gadījumā tā ir pārziņa atbildība vai institūcijas, kura ir atbildīga par konkrētas sistēmas tehnisko prasību noteikšanu, atbildība. Šādas tehniskās un organizatoriskās prasības noteic tā struktūra, kura ir atbildīga par konkrētas arhitektūras un sistēmas izstrādi, sākotnēji veicot datu aizsardzības ietekmes novērtējumu (NIDA) un definējot veicamo datu apstrādi, riskus, kā arī prasības, kuras būtu ieviešamas, lai riskus novērstu vai mazinātu. Ņemot vērā informatīvajā ziņojumā noteikto, par atbildīgu šajā gadījumā būtu nosakāma VARAM,jo tieši VARAM ir uzdots izstrādāts EDIM arhitektūras prasības.
Datu valsts inspekcija ir personas datu uzraudzības iestāde, kuras primārais uzdevums ir uzraudzīt datu apstrādes atbilstību normatīvo aktu prasībām. Datu regula paredz,ka pārzinis ir atbildīgs par tehnisko un organizatorisko prasību noteikšanu un NIDA veikšanu. Līdz ar to Inspekcija nevar pati izstrādāt konkrētas tehniskās un organizatoriskās prasības konkrētai sistēmai,kuras pārzinis ir cita persona, un pēc tam veikt to uzraudzību. Šajā gadījumā atbilstoši Datu regulas 57. panta 1. punkta c) un g) apakšpunktiem uzraudzības iestāde sniedz atzinumus un konsultācijas valsts parlamentam, valdībai un citām institūcijām par tiesību aktiem un administratīvajiem pasākumiem, kas ietekmē fizisku personu tiesības un brīvības datu aizsardzības jomā. Līdz ar to Inspekcija savas kompetences ietvaros var sniegt viedokli par organizatoriskām un tehniskām prasībām, kas izriet no eIDAS 2.0 regulas un ir būtiskas valsts sertifikācijas shēmas izstrādes procesā.
Lai gan Fizisko personu datu apstrādes likuma (turpmāk – Datu likums) 4. panta 5. punkts paredz, ka Inspekcija atbilstoši savai kompetencei var piedalīties normatīvo aktu un attīstības plānošanas dokumentu projektu izstrādē, šī piedalīšanās ir izprotama kā ekspertīzes un ieteikumu sniegšana, nevis kā līdzatbildība par regulējuma galīgo redakciju. Līdzdalība normatīvā regulējuma izstrādē nedrīkst tikt interpretēta tā, ka Inspekcija kļūst par regulējuma izstrādātāju tādā pašā nozīmē kā nozari regulējošās ministrijas. Tās funkcija šajā procesā ir konsultatīva un analītiska, sniedzot ieteikumus, lai nodrošinātu, ka izstrādātajā regulējumā ir pienācīgi integrētas personas datu aizsardzības prasības.
Ņemot vērā iepriekš minēto, Inspekcija aicina precizēt informatīvajā ziņojumā un protokollēmuma projektā noteikto uzdevumu, skaidri norādot, ka tās iesaiste valsts sertifikācijas shēmas izstrādē ir konsultatīva. Proti, Inspekcija sniedz atzinumus, priekšlikumus un rekomendācijas par personas datu aizsardzības prasībām, nepildot regulējuma izstrādātāja funkciju. Savukārt konkrētas prasības ir jānoteic tai institūcijai, kura izstrādā pašas shēmas arhitektūru un saturu.
Piedāvātā redakcija
-
2.
MK sēdes protokollēmuma projekts
Iebildums
Protokollēmuma projekta 6. punktā paredzēts, ka Inspekcija kopā ar Viedās administrācijas un reģionālās attīstības ministriju un Aizsardzības ministriju izstrādā normatīvā akta projektu par valsts sertifikācijas shēmas funkcionālajām, kiberdrošības un datu aizsardzības prasībām. Saskaņā ar Datu likuma 4. panta 5. punktu Inspekcijai ir tiesības piedalīties normatīvo aktu projektu izstrādē un sniegt viedokli par citu institūciju sagatavotajiem projektiem. Tomēr šī piedalīšanās ir interpretējama kā konsultatīva līdzdalība, nevis kā līdzatbildība par regulējuma galīgo izstrādi.
Ņemot vērā Inspekcijas neatkarīgo statusu un tās funkciju kā personas datu apstrādes uzraudzības iestādei, kas nostiprināts Datu regulas 52. pantā, tās iesaiste regulējuma izstrādes procesā nedrīkst radīt situāciju, kurā tā pēc būtības kļūst par regulējuma izstrādātāju un vēlāk par tā piemērošanas uzraugu ar sodošām funkcijām. Šāda situācija varētu radīt uzticēšanās risku un interešu konflikta iespaidu.
Tāpēc 6. punktā paredzētā Inspekcijas iesaiste būtu formulējama tā, lai tās loma normatīvā akta projekta sagatavošanas procesā aprobežotos ar konsultatīvu līdzdalību – sniedzot atzinumus, priekšlikumus un rekomendācijas par personas datu aizsardzības aspektiem, vienlaikus saglabājot uzraudzības iestādes neatkarību.
Ņemot vērā minēto, Inspekcija aicina precizēt 6. punktā paredzēto uzdevumu (tostarp, precizējot Informatīvo ziņojumu), skaidri nosakot, ka tās iesaiste normatīvā akta izstrādē ir konsultatīva – tā sniedz atzinumus un rekomendācijas par personas datu aizsardzības prasībām, bet nepilda regulējuma izstrādātāja funkciju. Šāds formulējums nodrošinātu Datu regulas 52. pantā nostiprinātās uzraudzības iestādes neatkarības principa ievērošanu un atbilstu Inspekcijas kompetencei, kā noteikts Datu likuma 4. panta 5. punktā.
Ņemot vērā Inspekcijas neatkarīgo statusu un tās funkciju kā personas datu apstrādes uzraudzības iestādei, kas nostiprināts Datu regulas 52. pantā, tās iesaiste regulējuma izstrādes procesā nedrīkst radīt situāciju, kurā tā pēc būtības kļūst par regulējuma izstrādātāju un vēlāk par tā piemērošanas uzraugu ar sodošām funkcijām. Šāda situācija varētu radīt uzticēšanās risku un interešu konflikta iespaidu.
Tāpēc 6. punktā paredzētā Inspekcijas iesaiste būtu formulējama tā, lai tās loma normatīvā akta projekta sagatavošanas procesā aprobežotos ar konsultatīvu līdzdalību – sniedzot atzinumus, priekšlikumus un rekomendācijas par personas datu aizsardzības aspektiem, vienlaikus saglabājot uzraudzības iestādes neatkarību.
Ņemot vērā minēto, Inspekcija aicina precizēt 6. punktā paredzēto uzdevumu (tostarp, precizējot Informatīvo ziņojumu), skaidri nosakot, ka tās iesaiste normatīvā akta izstrādē ir konsultatīva – tā sniedz atzinumus un rekomendācijas par personas datu aizsardzības prasībām, bet nepilda regulējuma izstrādātāja funkciju. Šāds formulējums nodrošinātu Datu regulas 52. pantā nostiprinātās uzraudzības iestādes neatkarības principa ievērošanu un atbilstu Inspekcijas kompetencei, kā noteikts Datu likuma 4. panta 5. punktā.
Piedāvātā redakcija
-