Projekta ID
26-TA-449Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
30.04.2026.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
1. Noteikumi nosaka kārtību, kādā:
Iebildums
No noteikumu projekta teksta un tam pievienotās anotācijas nav viennozīmīgi un pietiekami skaidri saprotams, kas konkrēti ir Centrālās statistikas pārvaldes (turpmāk – Pārvalde) izveidotā un uzturētā drošā informācijas apstrādes vide, kā arī kāda ir šīs vides juridiskā ietekme uz personas datu apstrādi.
Ja ar drošo vidi ir domāts līdzīgi Eiropas veselības datu telpas regulai, proti, “droša apstrādes vide” ir fiziska vai virtuāla vide un organizatoriskie līdzekļi, ar ko nodrošina atbilstību Savienības tiesību aktiem, piemēram, Regulai (ES) 2016/679, jo īpaši attiecībā uz datu subjektu tiesībām, intelektuālā īpašuma tiesībām, un komercijas un statistikas konfidencialitāti, integritāti un piekļuvi, kā arī piemērojamajiem valsts tiesību aktiem un kas ļauj subjektam, kurš nodrošina drošu apstrādes vidi, noteikt un uzraudzīt visas datu apstrādes darbības, tai skaitā datu attēlošanu, uzglabāšanu, lejupielādi un eksportēšanu un atvasināto datu aprēķināšanu ar skaitļošanas algoritmiem, tad tas būtu iekļaujams anotācijā.
Grozījumi Valsts pārvaldes iekārtas likumā (pieņemti 05.02.2026.) un to anotācija paredz Pārvaldei uzdevumu izveidot un uzturēt drošu informācijas apstrādes vidi valsts informācijas sistēmās un institūciju informācijas sistēmās esošās informācijas apstrādei. Savukārt ar noteikumu projektu datu turētājiem (iestādēm - Valsts pārvaldes iekārtas likuma 1. panta 3. punkta izpratnē) tiek noteikts pienākums nodot Pārvaldei datus, tostarp personas datus, iekļaušanai minētajā drošajā informācijas apstrādes vidē.
Vienlaikus anotācijas 1.3. sadaļā ir norādīts, ka datu turētājs ir attiecīgo personas datu pārzinis līdz brīdim, kad dati tiek nodoti Pārvaldei. Tomēr ne noteikumu projekts, ne grozījumi Valsts pārvaldes iekārtas likumā, ne arī Statistikas likums tieši un nepārprotami nenosaka Pārvaldi kā personas datu pārzini vai kopīgu pārzini attiecībā uz personas datiem pēc to nodošanas drošajā informācijas apstrādes vidē.
Ņemot vērā minēto, no noteikumu projekta vai Pārvaldi regulējošajiem normatīvajiem aktiem nav iespējams skaidri secināt:
- kāds ir drošās informācijas apstrādes vides statuss;
- vai un kurā apstrādes posmā Pārvalde uzņemas personas datu pārziņa, kopīga pārziņa vai apstrādātāja lomu;
- kā mainās datu turētāja kā personas datu pārziņa atbildība pēc datu nodošanas Pārvaldei.
Līdz ar to Datu valsts inspekcija lūdz noteikumu anotācijā skaidri un nepārprotami noformulēt:
– drošās informācijas apstrādes vides jēdziena saturu;
– personas datu apstrādes lomu sadalījumu starp datu turētāju un Pārvaldi pēc datu nodošanas drošajā informācijas apstrādes vidē;
– Pārvaldes statusu personas datu aizsardzības tiesību izpratnē (pārzinis, kopīgs pārzinis vai apstrādātājs).
Ja ar drošo vidi ir domāts līdzīgi Eiropas veselības datu telpas regulai, proti, “droša apstrādes vide” ir fiziska vai virtuāla vide un organizatoriskie līdzekļi, ar ko nodrošina atbilstību Savienības tiesību aktiem, piemēram, Regulai (ES) 2016/679, jo īpaši attiecībā uz datu subjektu tiesībām, intelektuālā īpašuma tiesībām, un komercijas un statistikas konfidencialitāti, integritāti un piekļuvi, kā arī piemērojamajiem valsts tiesību aktiem un kas ļauj subjektam, kurš nodrošina drošu apstrādes vidi, noteikt un uzraudzīt visas datu apstrādes darbības, tai skaitā datu attēlošanu, uzglabāšanu, lejupielādi un eksportēšanu un atvasināto datu aprēķināšanu ar skaitļošanas algoritmiem, tad tas būtu iekļaujams anotācijā.
Grozījumi Valsts pārvaldes iekārtas likumā (pieņemti 05.02.2026.) un to anotācija paredz Pārvaldei uzdevumu izveidot un uzturēt drošu informācijas apstrādes vidi valsts informācijas sistēmās un institūciju informācijas sistēmās esošās informācijas apstrādei. Savukārt ar noteikumu projektu datu turētājiem (iestādēm - Valsts pārvaldes iekārtas likuma 1. panta 3. punkta izpratnē) tiek noteikts pienākums nodot Pārvaldei datus, tostarp personas datus, iekļaušanai minētajā drošajā informācijas apstrādes vidē.
Vienlaikus anotācijas 1.3. sadaļā ir norādīts, ka datu turētājs ir attiecīgo personas datu pārzinis līdz brīdim, kad dati tiek nodoti Pārvaldei. Tomēr ne noteikumu projekts, ne grozījumi Valsts pārvaldes iekārtas likumā, ne arī Statistikas likums tieši un nepārprotami nenosaka Pārvaldi kā personas datu pārzini vai kopīgu pārzini attiecībā uz personas datiem pēc to nodošanas drošajā informācijas apstrādes vidē.
Ņemot vērā minēto, no noteikumu projekta vai Pārvaldi regulējošajiem normatīvajiem aktiem nav iespējams skaidri secināt:
- kāds ir drošās informācijas apstrādes vides statuss;
- vai un kurā apstrādes posmā Pārvalde uzņemas personas datu pārziņa, kopīga pārziņa vai apstrādātāja lomu;
- kā mainās datu turētāja kā personas datu pārziņa atbildība pēc datu nodošanas Pārvaldei.
Līdz ar to Datu valsts inspekcija lūdz noteikumu anotācijā skaidri un nepārprotami noformulēt:
– drošās informācijas apstrādes vides jēdziena saturu;
– personas datu apstrādes lomu sadalījumu starp datu turētāju un Pārvaldi pēc datu nodošanas drošajā informācijas apstrādes vidē;
– Pārvaldes statusu personas datu aizsardzības tiesību izpratnē (pārzinis, kopīgs pārzinis vai apstrādātājs).
Piedāvātā redakcija
-
2.
Noteikumu projekts
16. Pārvalde no datu turētāja saņemto valsts informācijas sistēmās un institūciju informācijas sistēmās esošo informāciju var izmantot Statistikas likumā noteikto funkciju izpildei.
Iebildums
Noteikumu projekta regulējums par personas datu apstrādi drošajā informācijas apstrādes vidē nav pietiekami skaidri nošķirts no Statistikas likumā paredzētās statistisko datu apstrādes, kā arī nav savstarpēji saskaņots ar Statistikas likuma 17. panta piektajā daļā noteiktajām prasībām.
Statistikas likuma 17. panta piektā daļa imperatīvi nosaka, ka fiziskās personas dati, kas iegūti oficiālās statistikas nodrošināšanai, anonimizējami nekavējoties pēc to iegūšanas, pārbaudes un savienošanas, izņemot gadījumus, kad personas dati joprojām ir nepieciešami oficiālās statistikas nodrošināšanai. Tāpat likums uzliek pienākumu statistikas iestādei nodrošināt identificējošo datu atsevišķu un drošu glabāšanu no pārējiem datiem.
Vienlaikus no noteikumu projekta 16. punkta (kas paredz Pārvaldes tiesības no datu turētājiem saņemto informāciju izmantot Statistikas likumā noteikto funkciju izpildei) un 22. punkta (kas paredz personas datu glabāšanu līdz diviem gadiem ar tiesībām tos izmantot citu pieprasījumu izpildei vai statistikas funkcijām) kā arī regulējuma par pieprasījumu apstrādes mērķiem kopumā, neizriet skaidrs un nepārprotams tiesiskais mehānisms, kā praksē tiek nodrošināta:
- savlaicīga personas datu anonimizēšana atbilstoši Statistikas likuma 17. panta piektajai daļai;
- stingrs nošķīrums starp personas datu apstrādi publiskās pārvaldes analītisko uzdevumu veikšanai un statistisko datu apstrādi oficiālās statistikas vajadzībām;
- identificējošo datu atsevišķa un droša glabāšana, ja personas dati uz laiku saglabājami oficiālās statistikas nodrošināšanai.
Tādējādi noteikumu projektā faktiski tiek atstāta atklāta iespēja ilgstošai personas datu apstrādei un atkārtotai izmantošanai bez skaidri noteikta brīža, kurā personas dati, ievērojot Statistikas likumu, zaudē personas datu statusu Vispārīgās datu aizsardzības regulas izpratnē. Šāda pieeja rada risku gan mērķa ierobežojuma principa, gan datu minimizācijas un glabāšanas ierobežojuma principa pārkāpumam.
Ņemot vērā minēto, nepieciešams:
– noteikumu projektā vai tā anotācijā skaidri nostiprināt personas datu apstrādes un statistisko datu apstrādes nošķīrumu;
– noteikt, ka personas datu turpmāka izmantošana Statistikas likumā noteikto funkciju izpildei ir pieļaujama tikai saskaņā ar Statistikas likuma 17. panta piekto daļu;
– nepārprotami formulēt anonimizācijas brīdi, izņēmuma gadījumus un identificējošo datu nošķirtas glabāšanas kārtību;
– novērst interpretācijas iespēju, ka drošā informācijas apstrādes vide kalpo par pastāvīgu personas datu glabāšanas un atkārtotas izmantošanas platformu ārpus statistikas regulējuma robežām.
Inspekcija pauž bažas, ka personas datu glabāšana divus gadus "citām, nenoteiktām vajadzībām kaut kad nākotnē", ir neatbilstoša Datu regulas 5. pantā ietvertajam nolūka ierobežojuma, datu minimizēšanas un glabāšanas ierobežojuma principam.
Statistikas likuma 17. panta piektā daļa imperatīvi nosaka, ka fiziskās personas dati, kas iegūti oficiālās statistikas nodrošināšanai, anonimizējami nekavējoties pēc to iegūšanas, pārbaudes un savienošanas, izņemot gadījumus, kad personas dati joprojām ir nepieciešami oficiālās statistikas nodrošināšanai. Tāpat likums uzliek pienākumu statistikas iestādei nodrošināt identificējošo datu atsevišķu un drošu glabāšanu no pārējiem datiem.
Vienlaikus no noteikumu projekta 16. punkta (kas paredz Pārvaldes tiesības no datu turētājiem saņemto informāciju izmantot Statistikas likumā noteikto funkciju izpildei) un 22. punkta (kas paredz personas datu glabāšanu līdz diviem gadiem ar tiesībām tos izmantot citu pieprasījumu izpildei vai statistikas funkcijām) kā arī regulējuma par pieprasījumu apstrādes mērķiem kopumā, neizriet skaidrs un nepārprotams tiesiskais mehānisms, kā praksē tiek nodrošināta:
- savlaicīga personas datu anonimizēšana atbilstoši Statistikas likuma 17. panta piektajai daļai;
- stingrs nošķīrums starp personas datu apstrādi publiskās pārvaldes analītisko uzdevumu veikšanai un statistisko datu apstrādi oficiālās statistikas vajadzībām;
- identificējošo datu atsevišķa un droša glabāšana, ja personas dati uz laiku saglabājami oficiālās statistikas nodrošināšanai.
Tādējādi noteikumu projektā faktiski tiek atstāta atklāta iespēja ilgstošai personas datu apstrādei un atkārtotai izmantošanai bez skaidri noteikta brīža, kurā personas dati, ievērojot Statistikas likumu, zaudē personas datu statusu Vispārīgās datu aizsardzības regulas izpratnē. Šāda pieeja rada risku gan mērķa ierobežojuma principa, gan datu minimizācijas un glabāšanas ierobežojuma principa pārkāpumam.
Ņemot vērā minēto, nepieciešams:
– noteikumu projektā vai tā anotācijā skaidri nostiprināt personas datu apstrādes un statistisko datu apstrādes nošķīrumu;
– noteikt, ka personas datu turpmāka izmantošana Statistikas likumā noteikto funkciju izpildei ir pieļaujama tikai saskaņā ar Statistikas likuma 17. panta piekto daļu;
– nepārprotami formulēt anonimizācijas brīdi, izņēmuma gadījumus un identificējošo datu nošķirtas glabāšanas kārtību;
– novērst interpretācijas iespēju, ka drošā informācijas apstrādes vide kalpo par pastāvīgu personas datu glabāšanas un atkārtotas izmantošanas platformu ārpus statistikas regulējuma robežām.
Inspekcija pauž bažas, ka personas datu glabāšana divus gadus "citām, nenoteiktām vajadzībām kaut kad nākotnē", ir neatbilstoša Datu regulas 5. pantā ietvertajam nolūka ierobežojuma, datu minimizēšanas un glabāšanas ierobežojuma principam.
Piedāvātā redakcija
-
3.
Anotācija (ex-ante)
8.1.13. uz datu aizsardzību
Iebildums
Saskaņā ar Ministru kabineta 2021. gada 7. septembra noteikumu Nr. 617 “Tiesību akta projekta sākotnējās ietekmes izvērtēšanas kārtība” 22. punktu tiesību akta projekta anotācija izstrādājama, ievērojot sagatavotās vadlīnijas un tajās ietvertās rekomendācijas. Tādējādi anotācijai ir ne tikai informatīva, bet arī metodoloģiska funkcija, nodrošinot pilnvērtīgu un strukturētu projekta ietekmes izvērtējumu.
Ņemot vērā, ka noteikumu projekts paredz personas datu apstrādi, anotācijas 8.1.13. sadaļā būtu nepieciešams sniegt izvērstu un saturiski pilnvērtīgu izvērtējumu par ietekmi uz personas datu aizsardzību, tostarp:
– aprakstīt personas datu apstrādes veidus un apjomu;
– identificēt personas datu apstrādes nolūkus un tiesiskos pamatus;
– raksturot personas datu apstrādes subjektus un to lomu sadalījumu;
– norādīt galvenos riskus datu subjektu tiesību un brīvību aizsardzībai, kā arī paredzētos risku mazināšanas pasākumus.
Pašreizējā anotācijas redakcija šo prasību tvērumā nav pietiekami izvērsta un neatbilst Valsts kancelejas izstrādātajām vadlīnijām “Vadlīnijas tiesību akta projekta sākotnējās ietekmes novērtēšanai un novērtējuma ziņojuma sagatavošanai vienotajā tiesību aktu izstrādes un saskaņošanas portālā”, kurās datu aizsardzības horizontālajai ietekmei paredzēta detalizēta un strukturēta analīze.
Ņemot vērā minēto, Inspekcija aicina pārstrādāt un papildināt anotācijas 8.1.13. sadaļu.
Ņemot vērā, ka noteikumu projekts paredz personas datu apstrādi, anotācijas 8.1.13. sadaļā būtu nepieciešams sniegt izvērstu un saturiski pilnvērtīgu izvērtējumu par ietekmi uz personas datu aizsardzību, tostarp:
– aprakstīt personas datu apstrādes veidus un apjomu;
– identificēt personas datu apstrādes nolūkus un tiesiskos pamatus;
– raksturot personas datu apstrādes subjektus un to lomu sadalījumu;
– norādīt galvenos riskus datu subjektu tiesību un brīvību aizsardzībai, kā arī paredzētos risku mazināšanas pasākumus.
Pašreizējā anotācijas redakcija šo prasību tvērumā nav pietiekami izvērsta un neatbilst Valsts kancelejas izstrādātajām vadlīnijām “Vadlīnijas tiesību akta projekta sākotnējās ietekmes novērtēšanai un novērtējuma ziņojuma sagatavošanai vienotajā tiesību aktu izstrādes un saskaņošanas portālā”, kurās datu aizsardzības horizontālajai ietekmei paredzēta detalizēta un strukturēta analīze.
Ņemot vērā minēto, Inspekcija aicina pārstrādāt un papildināt anotācijas 8.1.13. sadaļu.
Piedāvātā redakcija
-
4.
Noteikumu projekts
24. Veicot revīziju, Datu valsts inspekcija ir tiesīga pieprasīt informāciju par drošajā informācijas apstrādes vides tehniskajiem un organizatoriskajiem risinājumiem, piekļuves tiesību pārvaldību, piekļuves žurnāliem un Pārvaldes un iestāžu noformētajām sadarbībām Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā.
Priekšlikums
Noteikumu projekta 24. punktā paredzētās Datu valsts inspekcijas tiesības pēc būtības jau izriet no Vispārīgās datu aizsardzības regulas 58. panta 1. punkta b) un f) apakšpunkta un Fizisko personu datu apstrādes likuma 5. panta. Ņemot vērā, ka ar noteikumu projektu nevar ierobežot inspekcijai Vispārīgā datu aizsardzības regulā un Fizisko personu datu apstrādes likumā noteiktās tiesības, aicinām noteikumu projekta 24. punktu precizēt vai anotācijas skaidrojumā norādīt, ka šajā punktā noteiktās Inspekcijas pilnvaras īstenojamas kopsakarā ar Vispārīgo datu aizsardzības regulu un Fizisko personu datu apstrādes likumu, neierobežojot to tiešu piemērošanu.
Piedāvātā redakcija
Veicot revīziju, Datu valsts inspekcijai ir Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) un Fizisko personu datu apstrādes likumā noteiktās tiesības, tostarp, pieprasīt informāciju par drošajā informācijas apstrādes vides tehniskajiem un organizatoriskajiem risinājumiem, piekļuves tiesību pārvaldību, piekļuves žurnāliem un Pārvaldes un iestāžu noformētajām sadarbībām Valsts pārvaldes iekārtas likuma VII nodaļā noteiktajā kārtībā.