Atzinums

No projekta izriet, ka Datu izplatīšanas un pārvaldības platforma ir valsts platforma un paaugstinātas drošības sistēma, kas piemērota datu (tajā skaitā personas datu) izplatīšanai un glabāšanai. Datu izplatīšanai paredzēts izmantot Datu izplatīšanas un pārvaldības platformas datu krātuvi, kurā datu devējs izvietos savā pārziņā esošās informācijas sistēmas datus, kurus paredzēts nodot datu saņēmējam.
Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) 5.panta 1.punkta a) apakšpunktā ir noteikts datu apstrādes likumības un godprātības princips, t.i., jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Godprātības princips būtībā ietver arī visus pārējos principus (likumīgumu, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti un konfidencialitāti, pārskata atbildību), jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti. Datu regulas 5.panta 1.punkta c) apakšpunktā ir ietverts datu minimizēšanas princips, proti, personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos.
Vēršam uzmanību, ka datu devējs kā informācijas sistēmas pārzinis ir atbildīgs par personas datu apstrādes atbilstību Datu regulai.
Gadījumos, kad normatīvajos aktos būs skaidri definēts datu apjoms, kas pienākas datu saņēmējam, datu devējam neradīsies lielas problēmas ar datu minimizēšanas principa ievērošanu. Savukārt, ja no normatīvajiem aktiem neizrietēs skaidrs datu apjoms, kas pienākas datu saņēmējam (piemēram, ja datu saņēmējs ir valsts drošības iestāde vai operatīvās darbības subjekts, kam pienākas piekļuve pie visiem informācijas sistēmas datiem), tad datu devējam radīsies problēmas ar datu minimizēšanas principa ievērošanu, jo nebūs iespējams definēt noteikto datu apjomu, kas būtu pieejams datu saņēmējam. Attiecīgajā gadījumā var rasties risks pārmērīgai datu apstrādei, jo Datu izplatīšanas un pārvaldības platformas datu krātuvē tiks izvietots lielāks datu apjoms, nekā datu saņēmējam būtu nepieciešams tajā brīdī (piemēram, datu saņēmējam uz mēneša pirmo datumu būs nepieciešami trīs datu koplekti no pavisam izvietotajiem 20 datu komplektiem. Pārējie 17 datu komplekti iespējams būs nepieciešami, piemēram, pēc mēneša, diviem mēnešiem, gada vai arī vispār nebūs nepieciešami).
2023.gada 8.augusta starpministriju sanāksmes par projektu laikā Iekšlietu ministrija vērsa Vides aizsardzības un reģionālās attīstības ministrijas uzmanību uz minēto risku. Vides aizsardzības un reģionālās attīstības ministrija solīja šo jautājumu pārrunāt ar Datu valsts inspekciju un attiecīgi precizēt projektu vai arī papildināt projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumu (anotāciju) ar attiecīgu (Datu valsts inspekcijas) skaidrojumu. Patlaban konstatējams, ka projekts nav precizēts un projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija) ar attiecīgo informāciju nav papildināta.
Ņemot vērā minēto, atkārtoti aicinām iepriekš minēto jautājumu pārrunāt ar Datu valsts inspekciju un attiecīgi vai nu precizēt projektu vai arī papildināt projekta sākotnējās ietekmes (ex-ante) novērtējuma ziņojumu (anotāciju) ar attiecīgu (Datu valsts inspekcijas) skaidrojumu.

-

Ievērojot to, ka PMLP 28.04.2023. iebildums netika ņemts vērā un veiktie precizējumi noteikumu projektā un anotācijā nav sasnieguši PMLP iebilduma būtību, PMLP turpina uzturēt šādu iebildumu:
Precizēt Noteikumu projekta 5.punktu un tā anotāciju attiecībā uz atbildības noteikšanu Pārzinim par fizisko personu datu aizsardzību noteikto obligāto tehnisko un organizatorisko prasību ievērošanu, nodrošinot tādas informācijas apriti, kas satur fizisko personu datus, kā arī atbildības ierobežošanu datu devējiem līdz brīdim, kad dati nokļūst DAGR krātuvē.
PMLP saskaņā ar Fizisko personu reģistra likuma 2.panta pirmo daļu ir Fizisko personu reģistra pārzinis. Tādējādi PMLP ir atbildīga par datu apstrādi Fizisko personu reģistrā, savukārt, attiecībā uz datu nodošanu DAGR datu krātuvē PMLP kā datu devējs var atbildēt par Fizisko personu reģistra datu aktualitāti un atbilstību normatīvajos aktos noteiktajām prasībām tikai uz datu nodošanas DAGR datu krātuvē brīdi, bet nevar būt atbildīga par to uzturēšanu DAGR datu krātuvē (piem., nemainīgumu, kvalitāti utt.). PMLP nevar uzņemties pilnu pārziņa atbildību attiecībā uz platformu, kuras pārzinis ir VRAA.
PMLP nevar būt atbildīga par to, ka dati, kas ir nodoti DAGR krātuvē ir aktuāli, jo PMLP nevar ietekmēt DAGR monitoringa risinājumu, kā arī datu izmaiņu aktualizēšanu un tā biežumu no DAGR puses.
Papildus PMLP norāda, ka saskaņā ar Fizisko personu reģistra likuma 15. pantu par ziņu savlaicīgu sniegšanu Pārvaldei un šo ziņu atbilstību tās apliecinošiem dokumentiem ir atbildīgi informācijas sniedzēji, nevis PMLP.
Turklāt saskaņā ar Valsts informācijas sistēmu likuma 1. panta 2. punktu valsts informācijas sistēmas pārzinis ir institūcija, kas normatīvajos aktos noteiktajā kārtībā organizē un vada valsts informācijas sistēmas darbību. Atbilstoši Valsts informācijas sistēmas likuma 8. panta 1. punktu Valsts informācijas sistēmas pārzinis saskaņā ar normatīvajiem aktiem nodrošina un atbild par datu vākšanu, reģistrēšanu, ievadīšanu, apstrādi, glabāšanu, izmantošanu, pārraidīšanu, publicēšanu, atbilstību iesniegtajiem datiem, aktualizēšanu, labošanu valsts informācijas sistēmā, kā arī datu kvalitāti valsts informācijas sistēmā vismaz šādā minimālajā apjomā — datu saskaņotība un salīdzināmība, izmantojot vienotus klasifikatorus un identifikatorus, kā arī pieejamība un skaidrība, aprakstot un darot pieejamus metadatus;
No iepriekš minētā ir secināms, ka tas informācijas sistēmas pārzinis, kurš vada informācijas sistēmas darbību ir atbildīgs par datu apstrādi un datu kvalitāti šajā informācijas sistēmā.

 

-

Ievērojot to, ka PMLP 28.04.2023. iebildums netika ņemts vērā un veiktie precizējumi noteikumu projektā un anotācijā nav sasnieguši PMLP iebilduma būtību, PMLP turpina uzturēt šādu iebildumu:
Precizēt Noteikumu projekta 6.punktu un tā anotāciju attiecībā uz atbildības noteikšanu Pārzinim par fizisko personu datu aizsardzību noteikto obligāto tehnisko un organizatorisko prasību ievērošanu, nodrošinot tādas informācijas apriti, kas satur fizisko personu datus, kā arī atbildības ierobežošanu datu devējiem līdz brīdim, kad dati nokļūst DAGR krātuvē.
PMLP saskaņā ar Fizisko personu reģistra likuma 2.panta pirmo daļu ir Fizisko personu reģistra pārzinis. Tādējādi PMLP ir atbildīga par datu apstrādi Fizisko personu reģistrā, savukārt, attiecībā uz datu nodošanu DAGR datu krātuvē PMLP kā datu devējs var atbildēt par Fizisko personu reģistra datu aktualitāti un atbilstību normatīvajos aktos noteiktajām prasībām tikai uz datu nodošanas DAGR datu krātuvē brīdi, bet nevar būt atbildīga par to uzturēšanu DAGR datu krātuvē (piem., nemainīgumu, kvalitāti utt.). PMLP nevar uzņemties pilnu pārziņa atbildību attiecībā uz platformu, kuras pārzinis ir VRAA.
PMLP nevar būt atbildīga par to, ka dati, kas ir nodoti DAGR krātuvē ir aktuāli, jo PMLP nevar ietekmēt DAGR monitoringa risinājumu, kā arī datu izmaiņu aktualizēšanu un tā biežumu no DAGR puses.
Papildus PMLP norāda, ka saskaņā ar Fizisko personu reģistra likuma 15. pantu par ziņu savlaicīgu sniegšanu Pārvaldei un šo ziņu atbilstību tās apliecinošiem dokumentiem ir atbildīgi informācijas sniedzēji, nevis PMLP.
Turklāt saskaņā ar Valsts informācijas sistēmu likuma 1. panta 2. punktu valsts informācijas sistēmas pārzinis ir institūcija, kas normatīvajos aktos noteiktajā kārtībā organizē un vada valsts informācijas sistēmas darbību. Atbilstoši Valsts informācijas sistēmas likuma 8. panta 1. punktu Valsts informācijas sistēmas pārzinis saskaņā ar normatīvajiem aktiem nodrošina un atbild par datu vākšanu, reģistrēšanu, ievadīšanu, apstrādi, glabāšanu, izmantošanu, pārraidīšanu, publicēšanu, atbilstību iesniegtajiem datiem, aktualizēšanu, labošanu valsts informācijas sistēmā, kā arī datu kvalitāti valsts informācijas sistēmā vismaz šādā minimālajā apjomā — datu saskaņotība un salīdzināmība, izmantojot vienotus klasifikatorus un identifikatorus, kā arī pieejamība un skaidrība, aprakstot un darot pieejamus metadatus;
No iepriekš minētā ir secināms, ka tas informācijas sistēmas pārzinis, kurš vada informācijas sistēmas darbību ir atbildīgs par datu apstrādi un datu kvalitāti šajā informācijas sistēmā.


 

-

Ņemot vērā VPIL sagatavotos grozījumus (22-TA-800), vienošanās par sadarbību tiks iekļauta VPIL 12. panta pirmās daļas 1. punktā un noteikta par publisko tiesību līgumu. Lai noslēgtu publisko tiesību līgumu valsts pārvaldes iestādei likumā jābūt noteiktam konkrētam deleģējumam šāda līguma slēgšanai.

-

Ņemot vērā to, ka PMLP 28.04.2023. iebildums tika ņemts vērā tikai daļēji, PMLP turpina uzturēt šādu iebildumu:
Precizēt Noteikumu projektu vai Noteikumu projekta anotāciju ar informāciju par to, kur būs noteiktas DAGR veiktspējas prasības.
 

-

Ņemot vērā VPIL sagatavotos grozījumus (22-TA-800), vienošanās par sadarbību tiks iekļauta VPIL 12. panta pirmās daļas 1. punktā un noteikta par publisko tiesību līgumu. Lai noslēgtu publisko tiesību līgumu valsts pārvaldes iestādei likumā jābūt noteiktam konkrētam deleģējumam šāda līguma slēgšanai. Attiecīgi šajā MK noteikumu projektā noteiktā nepieciešamība slēgt vienošanos iestāžu starpā nebūs saistoša jeb pamatojums šāda līguma slēgšanai. Iestāžu darbību regulējošo tiesību aktu saturā ienesams papildu deleģējums konkrēta publisko tiesību līguma slēgšanai konkrēta mērķa sasniegšanai.

-

VPIL grozījumu (22-TA-800) likumprojekta 6. pantā piedāvātajā 59. panta otrās daļas redakcijā paredzēts iestādei informēt tās iestādes augstāku iestādi, kura vienošanos nepilda. Attiecīgi, augstāka ranga tiesību aktā būs noteikta atšķirīga rīcība, ja puses nevarēs vienoties par nepieciešamo datu apjomu. Risinājums būs attiecināms tikai pirms pirmreizējas jeb sākotnējas vienošanās noslēgšanas.

-

Vēršu uzmanību, ka Datu devēju pārziņā esošo informācijas sistēmu darbību regulējošie normatīvie akti nosaka datu glabāšanas termiņu tikai attiecīgajā Datu devēja sistēmā, nevis “spoguļu” datu bāzē vai citā tehniskajā risinājumā. Ņemot vērā minēto, kā arī pamatojoties uz Vispārīgās datu aizsardzības regulas  5. panta 1.punkta a) un e) apakšpunktu (dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (...) tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (...)), sniedzu priekšlikumu precizēt Projekta 43. punktu, skaidri nosakot Datu devēja datu glabāšanas termiņus un nosacījumus Datu krātuvē. Gadījumā, ja Daru krātuve darbojas tikai kā attiecīgo sistēmu datu kopuma “spogulis”, kas atspoguļo tikai aktuālus Datu devēja datus (kas pastāvīgi atjaunojas atbilstoši attiecīgo informācijas sistēmu regulējošo normatīvo aktu prasībām), atrunāt to Projektā un Projekta anotācijā.
 

-

Starp kārtas skaitļa vārdu, kas apzīmēts cipariem un tam sekojošo vārdu (piemēram, 27.decembra) lietojama atstarpe (starp skaitli un vārdu liekama atstarpe), tādējādi norādot uz divu atsevišķi lasāmu vārdu esamību.
Rosinām precizēt visā anotācijas un noteikumu projekta tekstā.
 

-

1. DAGR pārzinis tiek uzskātīts par personas datu apstrādātāju atbilstoši Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Par personas datu drošību, kuri ir izvietoti DAGR platformā izplatīšanai no citām informācijas sistēmām atbild gan datu devējs (kā datu pārzinis), gan arī DAGR pārzinis (kā datu apstrādātājs) apbilstoši attiecīgajām Vispārīgās datu aizsardzības regulā izvirzītajām prasībām.
Ņemot vērā minēto, sniedzu šādu iebildumu: svītrot no Projekta anotācijas vārdus “Noteikumu projektā tiek nodalīta atbildība attiecībā uz personas datiem nosakot, ka DAGR pārzinis atbild tikai par tiem personas datiem, kas nepieciešami, lai nodrošinātu identificētu piekļuvi DAGR darbības organizēšanai (atbilstoši Ministru kabineta 2015.gada 28.jūlija noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10 un 15.11 apakšpunktiem), savukārt par personas datiem, kuri ir izvietoti izplatīšanai no citām informācijas sistēmām, atbild datu devējs, kurš ir atbildīgi par personas datu apstrādi attiecīgajā datu devēja informācijas sistēmā.” vai izteikt šādā redakcijā: “Noteikumu projektā tiek nodalīta atbildība attiecībā uz personas datiem nosakot, ka DAGR pārzinis ir datu pārzinis attiecibā uz tiem personas datiem, kas nepieciešami, lai nodrošinātu identificētu piekļuvi DAGR darbības organizēšanai (atbilstoši Ministru kabineta 2015.gada 28.jūlija noteikumu Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” 15.10 un 15.11 apakšpunktiem), savukārt personas datu, kuri ir izvietoti izplatīšanai no citām informācijas sistēmām, pārzinis ir  Datu devējs, kurš ir atbildīgs par personas datu apstrādi attiecīgajā datu devēja informācijas sistēmā.”.

2. Saskaņā ar VDAR 4. pantu  “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana […]. Ņemot vērā minēto, datu glabāšanas pakalpojumi (kā arī citas darbības ar personas datiem, t.sk. datu administrēšana, monitorings u.t.t.) ir datu apstrāde VDAR izpratnē.
Ņemot vērā minēto, sniedzu šādu iebildumu: izteikt Projekta anotācijā teikumu “DAGR pārzinim nebūs tiesības piekļūt un apstrādāt datu devēja datus DAGR datu krātuvē” šādā redakcijā: “DAGR pārzinim nebūs tiesības piekļūt personas datiem DAGR datu krātuvē un veikt jebkādu minēto datu apstrādi, izņemot šajos noteikumos noteikto.".

3. Projekta anotācijā ir skaidrots, ka “Datu devējs datus, tajā skaitā personas datus, DAGR uzglabā termiņā, kas noteikts saskaņā ar normatīvajos aktos noteiktajām prasībām”. Vēršu uzmanību, ka Datu devēju pārziņā esošo informācijas sistēmu darbību regulējošie normatīvie akti nosaka datu glabāšanas termiņu tikai attiecīgajā Datu devēja sistēmā, nevis “spoguļu” datu bāzē vai citā tehniskajā risinājumā.
Ņemot vērā minēto, sniedzu šādu iebildumu: precizēt Projekta anotāciju, lai tiktu sniegts skaidrs priekšstats par Datu devēja datu glabāšanas termiņiem un nosacījumiem Datu krātuvē. Gadījumā, ja Daru krātuve darbojas tikai kā attiecīgo sistēmu datu kopuma “spogulis”, atspoguļojot tikai aktuālus Datu devēja datus (kas pastāvīgi atjaunojas atbilstoši attiecīgo informācijas sistēmu regulējošo normatīvo aktu prasībām), atrunāt to Projektā un Projekta anotācijā.

-

1. DAGR pārzinis tiek uzskatīts par  personas datu apstrādātāju atbilstoši Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Par personas datu drošību, kuri ir izvietoti DAGR platformā izplatīšanai no citām informācijas sistēmām atbild gan datu devējs (kā datu pārzinis), gan arī DAGR pārzinis (kā datu apstrādātājs) apbilstoši attiecīgajām Vispārīgās datu aizsardzības regulā izvirzītajām prasībām.
2. 05.05.2022. grozījumu "Grozījumi Valsts informācijas sistēmu likumā" anotācijā ir norādīts, ka “Datu izplatīšanas un pārvaldības platforma (turpmāk - DAGR) būs viena no valsts platformām, kuras mērķis būs informācijas apmaiņas un sadarbspējas uzlabošana valsts pārvaldē, kā arī datu pieejamības nodrošināšana ar garantētiem piekļuves laikiem. Valsts pārvaldei tiks nodrošinātas iespējas apkopot potenciāli visu valsts iestāžu datus vienotā datu izplatīšanas platformā, kuru datu patērētāji varēs izmantot, lai izgūtu reāla laika datus no avotu informācijas sistēmām.”
Ņemot vērā minēto, sniedzu priekšlikumu izteikt Projekta 7.punktu šādā redakcijā:
"7. Pārzinis nodrošina:
7.1. Datu izplatīšanas un pārvaldības platformas tehnisko un organizatorisko prasību izpildi;
7.2. Datu devējiem iespēju veikt to pārziņā esošo datu uzkrāšanu izplatīšanai un izplatīšanu, nodrošinot Datu devēja datu pieejamību Datu saņēmējam reālā laikā ar sinhronizācijas intervālu, kuru nosaka vienošanās, kas ir noslēgta starp Datu devēju un Datu saņēmēju atbilstoši šo noteikumu 31. punktam.”.
Savukārt, pienākumu nodrošināt datu integritāti noteikt šo noteikumu 42.punktā (lūdzu sk. piedāvāto Projekta 42.punkta redakciju).

"7. Pārzinis nodrošina:
7.1. Datu izplatīšanas un pārvaldības platformas tehnisko un organizatorisko prasību izpildi;
7.2. Datu devējiem iespēju veikt to pārziņā esošo datu uzkrāšanu izplatīšanai un izplatīšanu, nodrošinot Datu devēja datu pieejamību Datu saņēmējam reālā laikā ar sinhronizācijas intervālu, kuru nosaka vienošanās, kas ir noslēgta starp Datu devēju un Datu saņēmēju atbilstoši šo noteikumu 31. punktam.”

Ņemot vērā Projekta 3.punktā noteikto: “Datu izplatīšanas un pārvaldības platforma ir valsts platforma un paaugstinātas drošības sistēma, kas piemērota datu (tajā skaitā personas datu) izplatīšanai un glabāšanai […]”, sniedzu priekšlikumu izteikt Projekta15. punktu šādā redakcijā:
“15. Datu krātuve ir paredzēta Datu devēja pārziņā esošo informācijas sistēmu datu izvietošanai, glabāšanai un izplatīšanai.”.
 

“15. Datu krātuve ir paredzēta Datu devēja pārziņā esošo informācijas sistēmu datu izvietošanai, glabāšanai un izplatīšanai.”

Precizēt teikumu ar atbilstošām pieturzīmēm, ievērojot interpunkciju.

-

DAGR pārzinis tiek uzskātīts par personas datu apstrādātāju atbilstoši Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Pamatojoties uz minēto, kā arī ņemot vērā priekšlikumu Projekta 7.punktam, sniedzu priekšlikumu izteikt Projekta 42. punktu šādā redakcijā:
"42. Pārzinis nodrošina:
42.1.  drošu un aizsargātu Datu devēja un Datu saņēmēja datu, tajā skaitā personas datu, apriti elektroniskā vidē, lai īstenotu Datu devēja un Datu saņēmēja datu apriti atbilstoši Datu devējam un Datu saņēmējam normatīvajos aktos noteiktajām funkcijām, uzdevumiem un tiesībām;
42.2. Datu krātuvē iekļauto Datu devēja datu pieejamību, integritāti un konfidencialitāti atbilstoši EIROPAS PARLAMENTA UN PADOMES REGULAS (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 28.panta prasībām.".
 

"42. Pārzinis nodrošina:
42.1.  drošu un aizsargātu Datu devēja un Datu saņēmēja datu, tajā skaitā personas datu, apriti elektroniskā vidē, lai īstenotu Datu devēja un Datu saņēmēja datu apriti atbilstoši Datu devējam un Datu saņēmējam normatīvajos aktos noteiktajām funkcijām, uzdevumiem un tiesībām;
42.2. Datu krātuvē iekļauto Datu devēja datu pieejamību, integritāti un konfidencialitāti atbilstoši EIROPAS PARLAMENTA UN PADOMES REGULAS (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 28.panta prasībām."