Atzinums

Atkārtoti lūdzam norādīt noteikumu projekta 6.9.1. apakšpunktā apstrādājamo personas datu glabāšanas termiņu. Vēršam uzmanību, ka Datu regulas 5. panta 2. punktā ir noteikts pārskatatbildības princips, kas paredz, ka datu pārzinim ir jāspēj uzskatāmi pierādīt, ka datu apstrādes jomā ir ievēroti visi Datu regulas 5. panta 1. punktā noteiktie datu apstrādes principi, tai skaitā arī datu minimizēšanas princips (5.panta 1. punkta c) apakšpunkts). Līdz ar to datu pārzinim ir jāspēj pamatot, kāpēc konkrētajā situācijā ir izvēlēts attiecīgais personas datu apstrādes un glabāšanas termiņš. Vēršam uzmanību, ka izstrādes procesā esošie MK noteikumi "Noteikumi par minimālajām kiberdrošības prasībām" (TA-3183), uz kuriem VARAM atsaucas anotācijā, nosaka tikai minimālās prasības, kas ir attiecināmas uz pakalpojumu sniedzējiem IKT jomā, taču datu pārzinim ir jāizvērtē katrs datu apstrādes gadījums atsevišķi un jāpamato, kāpēc šajā situācijā ir izvēlēts attiecīgais datu apstrādes veids un termiņš. Papildus tam norādām, ka MK noteikumu projekts "Noteikumi par minimālajām kiberdrošības prasībām" (TA-3183) nosaka tikai auditācijas pierakstu glabāšanas termiņus, taču neparedz lietotāju autentifikācijas datu glabāšanas termiņu. Ņemot vērā iepriekš minētos apsvērumus, lūdzam noteikumu projektā vai tā anotācijā iekļaut skaidru informāciju par apstrādājamo personas datu glabāšanas termiņiem, īpaši ievērojot to, ka šobrīd nav spēkā esoša regulējuma, kas šos termiņus noteiktu.

-