Atzinums

Noteikumu projektā ietvertais pienākums iestādei apmaksāt tehnisko resursu izmantošanas izmaksas nav pietiekami precizēts un pēc būtības nav šā noteikumu projekta regulējuma priekšmets. Nav skaidrs izmaksu aprēķināšanas mehānisms, izmaksu prognozēšanas kārtība, saskaņošanas procedūra un tas, vai iestādei pirms informācijas apstrādes ir iespēja izvērtēt un plānot attiecīgās izmaksas. Šāda redakcija var radīt situāciju, ka iestādei tiek piestādīts rēķins par iepriekš nesaskaņotām izmaksām.

Svītrot noteikumu projekta 12. punktu.

-

Projektā nav pietiekami noregulēts informācijas nodošanas veids un drošības prasības informācijas nodošanas laikā. Anotācijā norādīts, ka datu turētājs ir attiecīgo datu pārzinis līdz brīdim, kad dati tiek nodoti Pārvaldei, tādēļ jābūt skaidram, kurš nosaka drošu datu nodošanas kanālu un aizsardzības prasības “data in transit” posmā.
Papildināt III nodaļu ar jaunu punktu šādā redakcijā: “Datu turētājs nodod Pārvaldei informāciju Pārvaldes noteiktajā veidā, ievērojot Pārvaldes noteiktās informācijas nodošanas drošības prasības.”

-

Punkta redakcijā lietotais jēdziens “metadati” nav pietiekami skaidrs un var tikt interpretēts pārāk plaši, ietverot ne tikai datu struktūru aprakstošu tehnisko informāciju, bet arī datu izmaiņu vēsturi, piekļuves žurnālus, notikumu žurnālus vai citu informāciju, kas var saturēt personas datus. Lai novērstu neskaidrību par nododamās informācijas apjomu un nepieļautu nesamērīgu personas datu nodošanu, nepieciešams precizēt, kādi ar informāciju saistītie dati ir nododami Pārvaldei.

Datu turētājs nodod Pārvaldei pieprasīto informāciju un tās apstrādei nepieciešamo datu struktūru aprakstošo tehnisko informāciju, ievērojot tā darbību regulējošajos normatīvajos aktos noteiktos informācijas nodošanas ierobežojumus. Pārvalde pēc datu turētāja pieprasījuma informē to par informācijas apstrādes tiesisko pamatu

No noteikumu projekta un anotācijas nav saprotams Centrālās statistikas pārvaldes uzturētās drošās informācijas apstrādes vides statuss — vai tā ir atsevišķa informācijas sistēma vai Pārvaldes esošajā IKT infrastruktūrā izveidota vide. Šis jautājums ir būtisks, lai noteiktu piemērojamās kiberdrošības, pārvaldības, klasifikācijas un atbildības prasības.

Nepieciešams papildināt anotāciju ar skaidrojumu par drošās informācijas apstrādes vides statusu, norādot, vai tā ir atsevišķa informācijas sistēma vai Pārvaldes IKT infrastruktūras ietvaros izveidots tehnoloģisks risinājums, kā arī norādot tās pārvaldības modeli, atbildīgo institūciju un piemērojamās drošības prasības.

-

Ņemot vērā, ka drošajā informācijas apstrādes vidē tiks apstrādāta valsts informācijas sistēmās un institūciju informācijas sistēmās esoša informācija, tai skaitā personas dati, anotācijā nepieciešams norādīt atbilstību Ministru kabineta 2025. gada 25. jūnija noteikumiem Nr. 397 “Minimālās kiberdrošības prasības”. Šie noteikumi nosaka minimālās kiberdrošības prasības, kā arī prasības tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai.

Papildināt anotāciju ar šādu skaidrojumu: “Drošā informācijas apstrādes vide tiek izstrādāta, uzturēta un pārvaldīta atbilstoši Ministru kabineta 2025. gada 25. jūnija noteikumiem Nr. 397 “Minimālās kiberdrošības prasības”, tai skaitā nodrošinot tās klasifikāciju un piemērojamo kiberdrošības prasību izpildi.”

-

Piedāvājam normu pārformulēt lakoniskāk un precizēt Pārvaldes izvērtējuma kritērijus, lai nodrošinātu skaidru un vienveidīgu normas piemērošanu.

5. Pārvalde izvērtē pieprasījumā norādītā informācijas apstrādes mērķa, tiesiskā pamata un pieprasītās informācijas apjoma atbilstību normatīvajiem aktiem un pieņem lēmumu par piekļuves piešķiršanu drošajai informācijas apstrādes videi vai atteikumu.

Normatīvajā tekstā vēlams izvairīties no konstrukcijas “ir tiesīga”, ja pietiek ar “var”.

Pārvalde var pieprasīt papildu ziņas un dokumentus, kas nepieciešami pieprasījuma izvērtēšanai, un iestāde tos sniedz Pārvaldei.

Ja sadarbību ar datu turētāju noformē Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā, būtu lietderīgi tieši norādīt, ka sadarbības dokumentā ietver arī informācijas nodošanas drošības prasības. Anotācijā jau skaidrots, ka starpresoru vienošanās ar datu turētājiem nosaka nodošanas kārtību, apstrādes nosacījumus, drošības prasības un pušu atbildību.

Pārvalde ar datu turētāju noformē sadarbību Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā, nosakot informācijas nodošanas kārtību, drošības prasības, apstrādes nosacījumus un pušu atbildību.”

"Pārvaldes noteiktajā kārtībā" ir pārāk plašs. Ārējā normatīvajā aktā jānosaka vismaz pamatprasības, bet Pārvaldes nosacījumi var precizēt tehniskos un drošības aspektus.

Iestāde informāciju drošajā informācijas apstrādes vidē apstrādā atbilstoši šiem noteikumiem un Pārvaldes noteiktajām drošības un lietošanas prasībām.

Nav pietiekami skaidrs izneses kontroles sadalījums starp iestādi un Pārvaldi. Jāprecizē atbildības robežas.

Iestāde nodrošina sākotnējo informācijas apstrādes rezultāta pārbaudi pirms tā izneses ārpus drošās informācijas apstrādes vides. Pārvalde veic sekundāro pārbaudi un atļauj iznest tikai tādu rezultātu, kas nesatur personas datus.