Projekta ID
25-TA-453Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
19.11.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Likumprojekts (grozījumi)
"(8) Ministru kabinets nosaka Latvijas iedzīvotāju nāves cēloņu datu bāzes pārzini, šajā valsts informācijas sistēmā iekļaujamās informācijas apjomu un apstrādes kārtību, kā arī nosacījumus piekļuves nodrošināšanai valsts informācijas sistēmā iekļautajai informācijai."
Iebildums
No likumprojekta anotācijas 1.3. apakšpunkta izriet, ka Latvijas iedzīvotāju nāves cēloņu datubāzē tiek apkopota informācija par Latvijas iedzīvotāju un Latvijā mirušo ārvalstnieku medicīniskajiem nāves cēloņiem. Attiecīgi šī apkopotā informācija tālāk tiek nodota konkrētām institūcijām statistikas veidošanai. No minētā Datu valsts inspekcija secina, ka datu apstrādes mērķis datubāzē ir statistikas par mirušajiem apkopošana.
Vēršam uzmanību, ka Datu regulu atbilstoši tās 27. apsvēruma punktā minētajam nepiemēro mirušu personu personas datiem. Vienlaikus, ja nāves cēlonis ir ģenētiska saslimšana vai pārmantojama slimība (piemēram, HIV, atsevišķi vēžu veidi), šāda informācija attieksies arī uz dzīvām personām un līdz ar to Datu regula būs piemērojama. Līdz ar to ir nepieciešams skaidrs tiesiskais pamats un datu apstrādes nolūks attiecībā uz gadījumiem, kad dati tiks izmantoti citām nolūkam nevis statistikas nolūkam, un potenciāli apstrāde var skart arī dzīvas personas, kuras ir mirušo personu radinieki.
Paskaidrojam, ka atbilstoši Datu regulas 6. panta 3. punktam apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras.
Ievērojot minēto, lūdzam papildināt likumprojektu, norādot planoto konkrētas sistēmas datu apstrādes nolūku, kā arī anotācijā norādot tiesisko pamatu atbilstoši Datu regulas 6. un 9. pantam.
Vēršam uzmanību, ka Datu regulu atbilstoši tās 27. apsvēruma punktā minētajam nepiemēro mirušu personu personas datiem. Vienlaikus, ja nāves cēlonis ir ģenētiska saslimšana vai pārmantojama slimība (piemēram, HIV, atsevišķi vēžu veidi), šāda informācija attieksies arī uz dzīvām personām un līdz ar to Datu regula būs piemērojama. Līdz ar to ir nepieciešams skaidrs tiesiskais pamats un datu apstrādes nolūks attiecībā uz gadījumiem, kad dati tiks izmantoti citām nolūkam nevis statistikas nolūkam, un potenciāli apstrāde var skart arī dzīvas personas, kuras ir mirušo personu radinieki.
Paskaidrojam, ka atbilstoši Datu regulas 6. panta 3. punktam apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras.
Ievērojot minēto, lūdzam papildināt likumprojektu, norādot planoto konkrētas sistēmas datu apstrādes nolūku, kā arī anotācijā norādot tiesisko pamatu atbilstoši Datu regulas 6. un 9. pantam.
Piedāvātā redakcija
-
2.
Likumprojekts (grozījumi)
Iebildums
Ar likumprojektu paredzēts papildināt Ārstniecības likuma 78. pantu ar jaunu piekto daļu, kas noteic pienākumu veselības aprūpes pakalpojumu sniedzējam iepazīties ar pacienta datiem veselības informācijas sistēmā. Datu valsts inspekcija neapšauba, ka ārstam ir nepieciešama pilnvērtīga informācija par pacientu, lai sniegtu kvalitatīvu veselības aprūpi.
Vienlaikus, ņemot vērā, ka Ministru kabineta noteikumus par obligātām drošības un tehniskajām prasībām plānots izdot līdz 2026. gada 30. decembrim, Inspekcijas ieskatā vispirms noteikt pienākumu apstrādāt personas datus un tikai pēctam risināt tehniskos jautājumus, neatbilst Datu regulas prasībām. Proti, Inspekcijai ir bažas par to, vai datu apjoms, kādam piekļūs ārstējošais ārsts, būs atbilstošs un samērīgs iepretim nolūkam. Ņemot vērā, ka Inspekcijas rīcībā bija nonākusi informācija, ka praksē nestrādā pacienta tiesības noteikt liegumu piekļūt konkrētiem personas datiem, rodas bažas, ka tehnisko risinājumu trūkums varētu radīt situāciju, kad ārstējošais ārsts piekļūst jebkādai informācijai, tostarp vēsturiskajai, par pacientu, kas potenciāli nav nepieciešama ārstniecības mērķu sasniegšanai. Tādējādi atsevišķi neizdalot piekļuves apjomu atbilstoši konkrēta ārstējošā ārsta specialitātei vai ārstniecības mērķim.
Ņemot vērā minēto, gadījumā, ja ārsts atbilstoši 78. panta piektajai daļai varēs piekļūt jebkādai informācijai par pacientu, tostarp arī vēsturiskajai un tādai, kas nebūtu nepieciešama pacienta ārstēšanai, lūdzam rast iespēju līdz Ministru kabineta noteikumu spēkā stāšanās nodrošināt atbilstošas tehniskās prasības pacientu personas datu informācijas sistēmām.
Vienlaikus, ņemot vērā, ka Ministru kabineta noteikumus par obligātām drošības un tehniskajām prasībām plānots izdot līdz 2026. gada 30. decembrim, Inspekcijas ieskatā vispirms noteikt pienākumu apstrādāt personas datus un tikai pēctam risināt tehniskos jautājumus, neatbilst Datu regulas prasībām. Proti, Inspekcijai ir bažas par to, vai datu apjoms, kādam piekļūs ārstējošais ārsts, būs atbilstošs un samērīgs iepretim nolūkam. Ņemot vērā, ka Inspekcijas rīcībā bija nonākusi informācija, ka praksē nestrādā pacienta tiesības noteikt liegumu piekļūt konkrētiem personas datiem, rodas bažas, ka tehnisko risinājumu trūkums varētu radīt situāciju, kad ārstējošais ārsts piekļūst jebkādai informācijai, tostarp vēsturiskajai, par pacientu, kas potenciāli nav nepieciešama ārstniecības mērķu sasniegšanai. Tādējādi atsevišķi neizdalot piekļuves apjomu atbilstoši konkrēta ārstējošā ārsta specialitātei vai ārstniecības mērķim.
Ņemot vērā minēto, gadījumā, ja ārsts atbilstoši 78. panta piektajai daļai varēs piekļūt jebkādai informācijai par pacientu, tostarp arī vēsturiskajai un tādai, kas nebūtu nepieciešama pacienta ārstēšanai, lūdzam rast iespēju līdz Ministru kabineta noteikumu spēkā stāšanās nodrošināt atbilstošas tehniskās prasības pacientu personas datu informācijas sistēmām.
Piedāvātā redakcija
-
3.
Anotācija (ex-ante)
1.3. Pašreizējā situācija, problēmas un risinājumi
Iebildums
Likumprojekta anotācijas 1.3. apakšpunktā sadaļā Datu apstrādes nosacījumi ārstniecības iestāžu informācijas sistēmās (pacientu datu apstrādes informācijas sistēmās) un šo sistēmu sertifikācija norādīts, ka esošā kārtība balstīta uzticības principā, kas negarantē pietiekošu personu sensitīvo datu aizsardzību. Vienlaikus ar likumprojektu plānots paplašināt personas datu apstrādi, saglabājot tehniskās prasības, kas balstītas uzticības principā.
Datu valsts inspekcija vērš uzmanību, ka saskaņā ar Datu regulas 32. panta 1. punktu ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam [..]. Nebūtu pieļaujams, ka vairākus gadus pēc jaunas plānotās personas datu apstrādes tiek ieviestas konkrētas tehniskās un drošības prasības. Šādas prasības ir jāievieš pirms uzsāktās datu apstrādes. Jāņem vērā, ka Ministru kabinets izdod noteikumus, kas nosaka obligātās drošības un tehniskās prasības pacientu datu apstrādes informācijas sistēmām, līdz 2026. gada 30. decembrim.
Ņemot vērā minēto un to, ka pacientu datu informācijas sistēmas satur īpašu kategoriju datus, kas ir sensitīva informācija, lūdzam izvērtēt iespēju saīsināt termiņu Ministru kabineta noteikumu izdošanai vai arī noteikt pagaidu obligātās drošības prasības līdz brīdim, kad tiks izdoti Ministru kabineta noteikumi.
Datu valsts inspekcija vērš uzmanību, ka saskaņā ar Datu regulas 32. panta 1. punktu ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam [..]. Nebūtu pieļaujams, ka vairākus gadus pēc jaunas plānotās personas datu apstrādes tiek ieviestas konkrētas tehniskās un drošības prasības. Šādas prasības ir jāievieš pirms uzsāktās datu apstrādes. Jāņem vērā, ka Ministru kabinets izdod noteikumus, kas nosaka obligātās drošības un tehniskās prasības pacientu datu apstrādes informācijas sistēmām, līdz 2026. gada 30. decembrim.
Ņemot vērā minēto un to, ka pacientu datu informācijas sistēmas satur īpašu kategoriju datus, kas ir sensitīva informācija, lūdzam izvērtēt iespēju saīsināt termiņu Ministru kabineta noteikumu izdošanai vai arī noteikt pagaidu obligātās drošības prasības līdz brīdim, kad tiks izdoti Ministru kabineta noteikumi.
Piedāvātā redakcija
-