Atzinums

PAZIŅOJUMS:
Valsts digitālās attīstības aģentūra informē, ka 07.11.2024 plkst. 22:00-23:59 notiks plānoti tehniskie darbi, kuru laikā var tik traucēta autentifikācija ar visiem autentifikācijas rīkiem.
Projekta ID
21-TA-1168
Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
09.03.2022.
Saskaņošanas rezultāts
Nesaskaņots

Iebildumi / Priekšlikumi

Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Datu valsts inspekcija norāda uz to, ka no noteikumu projekta anotācijas 8.1.13. apakšpunkta izriet, ka noteikumu projekts neskar datu aizsardzības jomu. Savukārt noteikumu projekta 15.punktā ir noteikts, ka Eiropas maksājumu elektronisko iekasēšanas sistēmu pakalpojumu (turpmāk – EETS) sniedzēji (sniedz EETS Latvijā) uztur sarakstus, kuros iekļauj tās nederīgās transportlīdzekļos uzstādītās iekārtas, kuras ir saistītas ar EETS līgumiem, kas noslēgti ar EETS lietotājiem. Minētajā punktā norādīts, ka sarakstus (nederīgo transportlīdzeklī uzstādītu iekārtu sarakstus) uztur, ievērojot normatīvajos aktos, kas regulē personas datu aizsardzību noteiktās prasības. Ievērojot minēto, nav saprotams, vai ar normatīvo aktu plānots regulēt personas datu apstrādi, tostarp, paredzot tiesisko pamatu šādai apstrādei.

Datu valsts inspekcija paskaidro, ka jebkura datu apstrādes darbība ir atļauta, ja pastāv kāds no Vispārīgās datu aizsardzības regulas (turpmāk - Datu regula) 6.panta 1.punktā noteiktajiem tiesiskajiem pamatiem. Datu regulas 6.panta 1.punkta “c” apakšpunkts nosaka, ka apstrāde ir vajadzīga, apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu. Savukārt Datu regulas 6.panta 3.punkts paredz, ka Datu regulas 6.panta 1.punkta “c” apakšpunktā minēto apstrādes pamatu nosaka ar Eiropas Savienības tiesību aktiem vai dalībvalsts tiesību aktiem, kas piemērojami pārzinim. Arī Datu regulas 45.apsvērumā skaidrots, ka apstrādei, kas veikta, lai izpildītu uz pārzini attiecināmu juridisku pienākumu, ir jābūt noteiktai Eiropas Savienības vai dalībvalsts tiesību aktos. Līdz ar to, gadījumā, ja ar noteikumu projektu plānots nostiprināt tiesības veikt personas datu apstrādi, uzturot saraukstus, tajā būtu jāparedz visi nosacījumi, kas norādīti  Datu regulas 6.panta 3.punktā. Proti, šobrīd piedāvātā noteikumu projekta 15.punkta redakcija nerada atsevišķu tiesisko pamatu personas datu apstrādei. 

Tāpat, ja ar noteikumu projektu plānots regulēt personas datu apstrādi, ir jāizstrādā šādas datu apstrādes detalizēts regulējums. No piedāvātā punkta redakcijas šobrīd, piemēram, nav skaidrs, vai un kādi konkrēti personas dati tiek iekļauti sarakstā sasaistē ar norādi par nederīgu transportlīdzeklī uzstādītu iekārtu. Vai sarakstā iekļauti personas dati (piem., vārds, uzvārds, dzīvesvietas adrese, mašīnas reģ.nr., elektroniska pasta adrese, kontkttālrunis, bankas konts, u.c. identifiktori) arī par konkrētu EETS lietotāju noteikumu projekta 2.6.izpratnē (fizisku vai juridisku personu). Tāpat nav skaidrs, cik ilgi sarakstā iekļautā informācija tiek glabāta. Nav arī uzskaitītas, kādas datu apstrādes procedūras tiek saprastas ar “sarakstu uzturēšanu”.

Ievērojot minēto, noteikumu projektā ietverams regulējums, kas nosaka konkrēti kādi personas dati tiek iekļauti sarakstā, ar kādām personas datu apstrādes darbībām izpaužas saraksta uzturēšana, cik ilgi sarakstā iekļautā informācija tiek glabāta.

Savukārt gadījumā, ja ar noteikumu projektu netiek paredzēts jauns tiesiskais pamats personas datu apstrādei, norāde par to, ka jānodrošina normatīvajos aktos, kas regulē personas datu aizsardzību noteiktās prasības, ir svītrojama, jo, ņemot vērā to, ka jekburai personai ir pienākums ievērot normatīvos aktus, šādai tiesību normai nav juridiskās slodzes.
 
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Datu valsts inspekcija vērš uzmanību uz to, ka no noteikumu projekta 37.punkta kontekstā ar noteikumu projekta 16.punktu var izdarīt pieņēmumu, ka katram EETS sniedzējam būs sava līgumslēgšanas politika, nevis visiem EETS sniedzējiem vienāda.
Saskaņā ar Datu regulas 5.pantu personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā, kā arī personas datu apstrāde ietver tikai to, kas nepieciešams apstrādes nolūkos.
Datu valsts inspekcija lūdz sniegt skaidrojumu, vai visi EETS sniedzēji līdz ar līguma noslēgšanu ar EETS lietotāju plāno apstrādāt viena veida personas datus,kā arī kam tie tiks nodoti, cik ilgi tie tiks uzglabāti.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Datu valsts inspekcija kontekstā ar noteikuma projekta 15.punktu (tsk. attiecīgi Inspekcijas izteikto iebildumu) norāda uz to, ka no piedāvātā noteikuma projekta 37.punkta viennozīmīgi nevar izdarīt secinājumus par uz EETS sniedzēja pienākumiem un EETS lietotāja tiesībām, kas izriet no piemērojamiem tiesību aktiem par personas datu aizsardzību. 
Saskaņā ar Datu regulas 5.pantu personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā, kā arī personas datu apstrāde ietver tikai to, kas nepieciešams apstrādes nolūkos.
Noteikumu projekta 37.punktā nav norādes par to, kādus personas datus plānots konkrēti apstrādāt ar līguma noslēgšanu, cik ilgs ir to glabāšanas ilgums, kam tie tiks nodoti.Normai būtu jābūt tik skaidrai, lai datu subjekts saprastu, kādam nolūkam, kādā apjomā un kam viņa dati tiks nodoti. 
Ievērojot minēto, lūdzam noteikumu projekta 37.punktu atbilstoši precizēt vai svītrot norādi uz personas datu aizsardzības normatīvajiem aktiem, jo pārzinim ir pienākums ievērot Datu regulu neatkarīgi no tā, vai šāds pienākums tam ir vai nav paredzēts speciālajās tiesību normās. Turklāt šāda vienas datu subjekta tiesības izcelšana var radīt maldīgu priekšstatu, ka pārējās datu subjekta tiesības pārzinim nav jāievēro.
Tāpat no noteikumu projekta 37.punkta kontekstā ar noteikumu projekta 16.punktu EETS sniedzēji, kas ir reģistrēti Latvijā kā EETS sniedzēji, savā tīmekļa vietnē publicē savu līgumslēgšanas politiku attiecībā uz EETS lietotājiem, var izdarīt pieņēmumu, ka katram EETS sniedzējam būs sava līgumslēgšanas politika, nevis visiem EETS sniedzējiem vienāda. Līdz ar to Datu valsts inspekcija lūdz sniegt skaidrojumu, vai visi EETS sniedzēji līdz ar līguma noslēgšanu ar EETS lietotāju plāno apstrādāt viena veida personas datus,kā arī kam tie tiks nodoti, cik ilgi tie tiks uzglabāti.
Piedāvātā redakcija
-