Projekta ID
23-TA-2711Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
09.02.2024.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Inspekcija uztur 08.01.2024. sniegto iebildumu, jo:
1) minētajā normā nav noteikts konkrēts auditācijas pierakstu glabāšanas termiņš. Proti, norma nosaka maksimālo glabāšanas termiņu, vienlaikus pieļaujot, ka šie dati var tik dzēsti arī ātrāk;
2) norma nosaka, ka auditācijas pierakstus norādīto termiņu ir nepieciešams glabāt, lai tos izmantotu sistēmas uzturēšanai un Centra funkciju izpildei. Vienlaikus anotācijas 8.1.13. apakšpunktā skaidrots, ka auditācijas pierakstu glabāšanas termiņš 24 mēneši ir nosakāms tikai ar mērķi nodrošināt pierādījumus disciplinārlietās.
Inspekcija vērš uzmanību, ka Fizisko personu datu apstrādes likuma (turpmāk - FPDAL) 37. panta pirmajā daļā paskaidrots auditācijas pierakstu veikšanas un glabāšanas nolūks, proti, auditācijas pieraksti ir analīzei pieejami reģistrēti dati par noteiktiem notikumiem informācijas sistēmā (piemēram, dati par piekļuvi informācijas sistēmai, datu ievadi, grozīšanu, dzēšanu un nosūtīšanu), līdz ar to primāri auditācijas pieraksti ir vērsti uz notikumu informācijas sistēmā izsekojamību jeb informācijas sistēmas drošību. Atzīmējams, ka auditācijas pieraksti satur personas datus, tādejādi, glabājot auditācijas pierakstus, tiek veikta personas datu apstrāde glabāšanas veidā. Viens no Datu regulas personas datu apstrādes principiem nosaka, ka personas dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (“glabāšanas ierobežojums”). Ievērojot to, ka auditācijas pieraksti satur personas datus, FPDAL 37.panta otrā daļa ieviesta, lai ierobežotu personas datu glabāšanu auditācijas pierakstos, t.i., attiecīgās tiesību normas mērķis, nosakot auditācijas pierakstiem glabāšanas termiņu, ir ierobežot personas datu glabāšanu auditācijas pierakstos.
Tādējādi norādāms, ka auditācijas pierakstu glabāšanas termiņš ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ir nosakāms, izvērtējot konkrētās informācijas sistēmas drošības riskus.
Ņemot vērā augstāk norādīto, lūdzam izvērtēt šo jautājumu pēc būtības un normā noteikt skaidru auditācijas pierakstu glabāšanas termiņu, piemērām, nosakot, ka auditācijas pieraksti glabājās 24 mēnešus, kā arī anotācijā precizēt pamatojumu auditācijas pierakstu glabāšanai, paskaidrojot kādiem mērķiem un nolūkiem auditācijas pieraksti varētu tikt izmantoti.
1) minētajā normā nav noteikts konkrēts auditācijas pierakstu glabāšanas termiņš. Proti, norma nosaka maksimālo glabāšanas termiņu, vienlaikus pieļaujot, ka šie dati var tik dzēsti arī ātrāk;
2) norma nosaka, ka auditācijas pierakstus norādīto termiņu ir nepieciešams glabāt, lai tos izmantotu sistēmas uzturēšanai un Centra funkciju izpildei. Vienlaikus anotācijas 8.1.13. apakšpunktā skaidrots, ka auditācijas pierakstu glabāšanas termiņš 24 mēneši ir nosakāms tikai ar mērķi nodrošināt pierādījumus disciplinārlietās.
Inspekcija vērš uzmanību, ka Fizisko personu datu apstrādes likuma (turpmāk - FPDAL) 37. panta pirmajā daļā paskaidrots auditācijas pierakstu veikšanas un glabāšanas nolūks, proti, auditācijas pieraksti ir analīzei pieejami reģistrēti dati par noteiktiem notikumiem informācijas sistēmā (piemēram, dati par piekļuvi informācijas sistēmai, datu ievadi, grozīšanu, dzēšanu un nosūtīšanu), līdz ar to primāri auditācijas pieraksti ir vērsti uz notikumu informācijas sistēmā izsekojamību jeb informācijas sistēmas drošību. Atzīmējams, ka auditācijas pieraksti satur personas datus, tādejādi, glabājot auditācijas pierakstus, tiek veikta personas datu apstrāde glabāšanas veidā. Viens no Datu regulas personas datu apstrādes principiem nosaka, ka personas dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (“glabāšanas ierobežojums”). Ievērojot to, ka auditācijas pieraksti satur personas datus, FPDAL 37.panta otrā daļa ieviesta, lai ierobežotu personas datu glabāšanu auditācijas pierakstos, t.i., attiecīgās tiesību normas mērķis, nosakot auditācijas pierakstiem glabāšanas termiņu, ir ierobežot personas datu glabāšanu auditācijas pierakstos.
Tādējādi norādāms, ka auditācijas pierakstu glabāšanas termiņš ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ir nosakāms, izvērtējot konkrētās informācijas sistēmas drošības riskus.
Ņemot vērā augstāk norādīto, lūdzam izvērtēt šo jautājumu pēc būtības un normā noteikt skaidru auditācijas pierakstu glabāšanas termiņu, piemērām, nosakot, ka auditācijas pieraksti glabājās 24 mēnešus, kā arī anotācijā precizēt pamatojumu auditācijas pierakstu glabāšanai, paskaidrojot kādiem mērķiem un nolūkiem auditācijas pieraksti varētu tikt izmantoti.
Piedāvātā redakcija
Sistēma auditē datu apstrādi. Auditācijas pierakstus sistēmā glabā 24 mēnešus un izmanto sistēmas uzturēšanai un Centra funkciju izpildei.
2.
Noteikumu projekts
Priekšlikums
Vēršam uzmanību, ka no minētās normas redakcijas skaidri neizriet vai ir sniedzama informācija par gāzes balonu tirdzniecības vietu vai arī par šādas tirdzniecības vietas atbildīgo fizisko personu. Skaidrības nodrošināšanai, lūdzam precizēt 8.1. apakšpunkta redakciju.
Piedāvātā redakcija
-