Atzinums

Noteikumu projekta "Grozījums Ministru kabineta 2004.gada 7.septembra noteikumos Nr. 776 "Valsts tiesu medicīnas ekspertīzes centra nolikums"  (turpmāk – noteikumu projekts) 4.punktā, kas nosaka Valsts tiesu medicīnas ekspertīzes centra uzdevumus, īstenojot tam noteiktās funkcijas, piedāvāta šāda redakcija 4.11.apakšpunktam : “veidot, uzturēt un papildināt centra pārziņā esošo valsts informācijas sistēmu “Tiesu medicīnas ekspertīžu informācijas sistēma” un izmantot to šo noteikumu 4.1., 4.2., 4.8., 4.9. un 4.10.apakšpunktā noteikto uzdevumu izpildē”.

Attiecībā uz to Datu valsts inspekcija norāda, ka valsts informācijas sistēmas “Tiesu medicīnas ekspertīžu informācijas sistēma” darbībai ir jābūt noteiktai ar normatīvo aktu (likumu). Tas izriet no Datu Regulas 6.panta 3.punkta, kurā ietverta prasība par valsts iestādes veiktās fizisko personu personas datu apstrādes noteikšanu tiesību aktā (likumā). Proti, Datu regulas 6.panta 3.punkts paredz, ka Datu regulas 1.punkta “c” apakšpunktā minēto apstrādes pamatu nosaka ar Eiropas Savienības tiesību aktiem vai dalībvalsts tiesību aktiem, kas piemērojami pārzinim. Datu regulas 6.panta 3.punkta prasība attiecināma arī uz Valsts tiesu medicīnas ekspertīžu centra veikto fizisko personu personas datu apstrādi Tiesu medicīniskās ekspertīzes informācijas sistēmā. Kā paskaidrots noteikumu projekta anotācijas 11.lpp., tad Tiesu medicīnas ekspertīžu informācijas sistēmas īstenotās personas datu apstrādes mērķis noteikts ar ārēju normatīvu tiesību aktu un atbilst Vispārīgās datu aizsardzības regulas (Regula Nr. 2016/679) (turpmāk – Datu regula) 5.pantam un 6.panta pirmā punkta “c” apakšpunktam (apstrāde ir nepieciešama, lai izpildītu uz pārzini attiecināmu saistošu juridisku pienākumu) un “f” apakšpunktam (apstrāde ir nepieciešama, lai pārzinis izpildītu tam deleģētos valsts pārvaldes uzdevumus).

Datu valsts inspekcija vērš noteikumu projekta izstrādātāja uzmanību uz to, ka atbilstoši Datu regulas (45) apsvērumam, ja apstrādi veic saskaņā ar uz pārzini attiecināmu juridisku pienākumu, vai ja apstrāde nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, apstrādes pamatam vajadzētu būt noteiktam Savienības vai dalībvalsts tiesību aktos, [..] turklāt minētajā tiesību aktā varētu precizēt vispārējos nosacījumus, kas paredzēti šajā regulā, kura reglamentē personas datu apstrādes likumīgumu, izstrādāt norādes, kā noteikt pārzini, apstrādājamo personas datu veidu, attiecīgos datu subjektus, vienības, kurām personas dati var tikt izpausti, apstrādes nolūka ierobežojumus, glabāšanas laikposmu un citus pasākumus, lai nodrošinātu likumīgu un godprātīgu apstrādi.
Arī Valsts informācijas sistēmu likuma 5.pants noteic, ka valsts informācijas sistēmu izveido, pamatojoties uz normatīvajiem aktiem, kuros norādīti vismaz: 1) valsts informācijas sistēmas pārzinis; 2) valsts informācijas sistēmā iekļaujamā informācija; 3) valsts informācijas sistēmas pārzinim noteiktās funkcijas, uzdevumi un mērķi, kuru izpildei nepieciešamās informācijas apriti nodrošina, izveidojot valsts informācijas sistēmu; 4) kārtību, kādā nodod informāciju iekļaušanai valsts informācijas sistēmā; 5) nosacījumi piekļuves nodrošināšanai valsts informācijas sistēmā iekļautajai informācijai.

Datu valsts inspekcija vērš uzmanību uz to, ka saskaņā ar Datu regulas 35.pantu, ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Šāds ietekmes novērtējums  saskaņā ar Datu regulas prasībām ir bijis jāizstrādā arī Valsts tiesu medicīnas ekspertīzes centram kā pārzinim Datu regulas izpratnē.

Datu valsts inspekcija neatrod norādes par tiesību aktu (likumu), kas reglamentē  Valsts tiesu medicīnas ekspertīzes centra datu apstrādi Tiesu medicīnas ekspertīžu informācijas sistēmā. Normatīvajā aktā nepieciešams ietvert arī regulējumu fizisko personu datu apstrādei Tiesu medicīnas ekspertīžu informācijas sistēmā, paredzot fizisko personu personas datu apstrādes pārzini, nolūkus, apstrādājamo datu veidus, attiecīgos datu subjektus, vienības, kurām personas dati var tikt izpausti, apstrādes nolūka ierobežojumus, glabāšanas laikposmu un citus pasākumus.

Attiecībā uz minēto Datu valsts inspekcija konstatē, ka noteikumu projekta anotācijā iekļauta šāda informācija: "Galvenā informācijas sistēmā iekļaujamā informācija ir noteikta MK rīkojuma Nr. 532 1.punktā apstiprinātajā  "Tiesu medicīnas ekspertīzes un izpētes procesu optimizācija un attīstība" aprakstā".  Datu valsts inspekcijas ieskatā no minētā apraksta (sk. https://likumi.lv/ta/id/293775-par-informacijas-sabiedribas-attistibas-pamatnostadnu-ieviesanu-publiskas-parvaldes-informacijas-sistemu-joma-merkarhitekturas) nav viennozīmīgi izdarāmi secinājumi par informācijas sistēmā iekļaujamo informāciju (t.sk. apstrādājamo personas datu kategorijām, personas datiem). No minētā apraksta, piemēram, izriet, ka Tiesu medicīniskās ekspertīzes informācijas sistēma sastāvēs no vairākiem moduļiem.
Datu valsts inspekcija vērš uzmanību uz to, ka, piemēram, audu paraugi ir uzskatāmi par personas datiem šī jēdziena plašākā nozīmē, īpaši, ja to iegūšanas mērķi saistīti ar datu apstrādi. Audu paraugi var sniegt daudz plašāku privātu informāciju ne tikai par konkrētās personas, bet arī tās tuvinieku veselību.
Līdz ar to atbilstoši Datu regulas 6.panta 3.punktā un Valsts informācijas sistēmu likuma 5.panta pirmās daļas 2.punktā noteiktajam normatīvajā aktā nepieciešams konkrēti norādīt valsts informācijas sistēmā – Tiesu medicīniskās ekspertīzes informācijas sistēmā – iekļaujamo informāciju.

Datu valsts inspekcija attiecībā uz noteikumu projekta anotācijā iekļauto informāciju:"[..] atbilstoši MK rīkojumam Nr. 532 informācijas sistēmai nav paredzēta trešo pušu piekļuve, veicot grozījumus Nolikumā, netiek noteikta kārtība, kādā nodod informāciju iekļaušanai valsts informācijas sistēmā un nosacījumi piekļuves nodrošināšanai valsts informācijas sistēmā iekļautajai informācijai", norāda uz to, ka atbilstoši Datu regulas 6.panta 3.punkta, Valsts informācijas sistēmu likuma 5.panta pirmās daļas 5.punktam, Valsts tiesu medicīnas ekspertīzes centram jānodrošina, tas, lai  normatīvajā aktā būtu iekļauti nosacījumi piekļuves nodrošināšanai valsts informācijas sistēmā iekļautajai informācijai. Ar to saprotams, ka normatīvajā aktā (likumā) nepieciešams norādīt vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti.

Datu valsts inspekcija norāda uz to, ka noteikumu projekta anotācijas 8.1.13.punktā norādīts, ka Tiesu medicīnas ekspertīžu informācijas sistēmas īstenotās personas datu apstrādes mērķis [..] atbilst Datu regulas 5.pantam. No minētā Datu valsts inspekcijai nav saprotams, cik ilgi Tiesu medicīniskās ekspertīzes informācijas sistēmā pieejamā informācija (personas datu kategorijas) tiks uzglabāta. 
Atbilstoši vispārīgajiem personas datu aizsardzības principiem personas datus drīkst glabāt tikai tik ilgi, cik tas nepieciešams tam konkrētajam nolūkam, kura dēļ dati tika iegūti. Līdz ar to nav pieļaujama personas datu glabāšana tikai tāpēc, ka teorētiski kaut kad tie atkal varētu noderēt tādam pašam nolūkam vai kādiem vēl nezināmiem nolūkiem. Datu valsts inspekcijas ieskatā pārzinim normatīvajā aktā  (likumā) nepieciešams norādīt, cik ilgi Tiesu medicīniskās ekspertīzes informācijas sistēmā pieejamā informācija (personas datu kategorijas) tiks uzglabāta.


 

-