Atzinums

Projekta ID
23-TA-2298
Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
27.11.2023.
Saskaņošanas rezultāts
Nesaskaņots

Iebildumi / Priekšlikumi

Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Datu regulas 45. apsvērums, 6. panta 3. punkts un 9. panta 3. punkts nosaka, ka, ja apstrāde ir nepieciešama, lai izpildītu uz pārzini attiecināmu juridisko pienākumu vai veselības pakalpojumu pārvaldības nodrošināšanas nolūkos, apstrādes pamatam vajadzētu būt noteiktam Savienības vai dalībvalsts tiesību aktos. No anotācijā un noteikumu projektā minētā ir secināms, ka personas dati (t.sk. veselības dati) tiks iegūti no Vienotās veselības informācijas sistēmas. Līdz ar to ir norādāms, ka personas datu apstrāde, pamatojoties uz Vienotās veselības informācijas sistēmas datiem, ir iejaukšanās fiziskās personas privātajā dzīvē, un šīs tiesības var ierobežot tikai likumā noteiktos gadījumos, ja tas ir samērīgi un nepieciešams leģitīma mērķa sasniegšanai. Ievērojot minēto, lūdzam papildināt anotāciju ar norādi, kurā likumā sadarbspējīgs vakcinācijas, testēšanas vai pārslimošanas sertifikāts ir minēts kā viens no nolūkiem, lai noteikti tiesību subjekti piekļūtu personas datiem, kas iegūti no Vienotās veselības informācijas sistēmas. Ja šis nolūks datu saņemšanai nekur nav minēts, nepieciešams atbilstošs regulējums normatīvajā aktā.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Ņemot vērā, ka saskaņā ar noteikumu projekta 8. punktu sertifikātu izsniedz, pamatojoties uz Vienotās veselības informācijas sistēmas datiem, un atbilstoši Datu regulas 5. panta 1. punkta (e) apakšpunktā minētajam glabāšanas ierobežojuma principam, lūdzam papildināt noteikumu projekta 8. punktu, norādot, ka personas dati, kas iegūti no Vienotās veselības informācijas sistēmas, pēc sertifikāta ģenerēšanas netiek uzglabāti.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Noteikumu projekta 10.punkta pirmais teikums nosaka, ka [..] sertifikāts ir pieejams vēl trīs mēnešus pēc tā derīguma termiņa beigām.
Ievērojot minēto un atbilstoši Datu regulas 5. panta 1. punkta (e) apakšpunktā noteiktajam glabāšanas ierobežojuma principam, lūdzam papildināt anotāciju, skaidrojot, kāpēc sertifikāts ir pieejams vēl trīs mēnešus, ja tam ir beidzies derīguma termiņš.
Tāpat nav saprotams jēdziena "pieejams" tvērums, proti, vai pēc trīs mēnešu termiņa dati tiek dzēsti vai tikai ierobežota piekļuve šiem datiem. Ievērojot minēto, precizējama tiesību norma un papildināma anotācija.
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
Atbilstoši noteikumu projekta 11.punkta pirmajam teikumam piekļuve personas datiem ir personai, kurai sertifikāts ir izsniegts, savukārt saskaņā ar otro teikumu tiek regulēts datu apjoms, kas redzams pārbaudes veicējam, proti, kā noprotams, pieeja šajā punktā norādītajiem personas datiem ir jebkurai personai, kurai ir piekļuve QR kodam. Ievērojot minēto, lai nerastos pārpratumi, lūdzam precizēt noteikumu projektu, norādot subjektu, kam ir tiesības piekļūt sertifikātā iekļautajiem personas datiem. Tāpat lūdzam anotācijā sniegt informāciju, vai persona, kura piekļūst šai informācijai, tiks identificēta un datu subjektam būs iespēja uzzināt, kuras personas ir saņēmušas un apstrādājušas viņas personas datus.
Piedāvātā redakcija
-
5.
Anotācija (ex-ante)
8.1.13. uz datu aizsardzību
Iebildums
Anotācijas 8.1.13. punktā ir minēts Datu regulas 6.panta 1.punkta (d) apakšpunktā noteiktais personas datu apstrādes tiesiskais pamats. Norādāms, ka uz šo tiesisko pamatu var atsaukties tikai apstrādei, kuras pamatā ir fiziskas personas dzīvībai svarīgas intereses un tā nevar būt acīmredzami balstīta uz citu tiesisko pamatu. Konkrētajā gadījumā minēto tiesisko pamatu piemērot nevar, jo
apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu (izsniegt sertifikātu pēc personas vai tās likumiskā pārstāvja pieprasījuma). Ievērojot minēto, lūdzam neatsaukties uz Datu regulas 6.panta 1.punkta (d) apakšpunktā noteikto personas datu apstrādes tiesisko pamatu.
Piedāvātā redakcija
-