Projekta ID
22-TA-3183Atzinuma sniedzējs
Latvijas Pašvaldību savienība
Atzinums iesniegts
09.04.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Noteikumu 19. punkts nosaka, ka “Šo noteikumu 18. punktā minētais ierobežojums neattiecas uz būtisko pakalpojumu sniedzēja, kurā fiziskā persona ir noteikta par kiberdrošības pārvaldnieku, pakļautībā esošiem būtisko pakalpojumu sniedzējiem un būtisko pakalpojumu sniedzējiem, kuru kapitāldaļu īpašnieks vai turētājs ir attiecīgais būtisko pakalpojumu sniedzējs, vai privāto tiesību juridisko personu, kas pilda valsts pārvaldes deleģētu uzdevumu”.
Iepriekšējā MK noteikumu versija, kas tika publicēta 2025. gada 24. janvārī, iekļāva šādu redakciju: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
Mēs saprotam, ka, veicot papildinājumus šajā punktā, augstāk minētais nosacījumus ir nejauši vai neapzināti izņemts. Lūdzam, Noteikumu 19. punktā iekļaut iepriekšējo nosacījumu: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
Informējam, ka, ja augstāk minētais nosacījums ir apzināti izņemts, tad šādas prasības noteikšana, mūsuprāt, būtu pārmērīga, limitējot kiberdrošības pārvaldnieka darbietilpību. Tā piemēram, tiešās pārvaldes iestādēs tādās kā mākslu izglītības kompetences centros, mākslas skolās, mūzikas skolās, vidusskolās, tehnikumos, muzejos, bibliotēkās, kuros bieži vien darbinieku skaits nepārsniedz 50 darbiniekus un tās savā būtībā nav salīdzināmas ar “vidēju” vai “lielu” uzņēmumu, augstāk minētā prasība būtiski samazinās kiberdrošības pārvaldnieku pieejamību tirgū, kas attiecīgi būtiski paaugstinās valsts un pašvaldību iestāžu, un valsts kapitālsabiedrību izmaksas Kiberdrošības pārvaldnieka nodrošināšanai.
Iepriekšējā MK noteikumu versija, kas tika publicēta 2025. gada 24. janvārī, iekļāva šādu redakciju: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
Mēs saprotam, ka, veicot papildinājumus šajā punktā, augstāk minētais nosacījumus ir nejauši vai neapzināti izņemts. Lūdzam, Noteikumu 19. punktā iekļaut iepriekšējo nosacījumu: “Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par amatu savienošanu”.
Informējam, ka, ja augstāk minētais nosacījums ir apzināti izņemts, tad šādas prasības noteikšana, mūsuprāt, būtu pārmērīga, limitējot kiberdrošības pārvaldnieka darbietilpību. Tā piemēram, tiešās pārvaldes iestādēs tādās kā mākslu izglītības kompetences centros, mākslas skolās, mūzikas skolās, vidusskolās, tehnikumos, muzejos, bibliotēkās, kuros bieži vien darbinieku skaits nepārsniedz 50 darbiniekus un tās savā būtībā nav salīdzināmas ar “vidēju” vai “lielu” uzņēmumu, augstāk minētā prasība būtiski samazinās kiberdrošības pārvaldnieku pieejamību tirgū, kas attiecīgi būtiski paaugstinās valsts un pašvaldību iestāžu, un valsts kapitālsabiedrību izmaksas Kiberdrošības pārvaldnieka nodrošināšanai.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Noteikumu 155. punkts nosaka, ka “Šo noteikumu 21.–81., 85. un 88. punktā noteiktās prasības piemēro no 2025. gada 1. jūlija”.
Ņemot vērā to, ka līdz 2025. gada 1. jūlijam ir atlikuši daži mēneši un iekšējo normatīvo aktu (piemēram, Kiberdrošības politikas, IKT resursu un informācijas sistēmu kataloga, Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde) kvalitatīva izstrāde, saskaņošana un apstiprināšana, kā arī darbinieku apmācības un novērtēšana, aizņem būtiskus resursus un var būt laikietilpīga, mēs rekomendējam šo termiņu aizvietot ar “piemēro no 2026. gada 1. janvāra”.
Ņemot vērā to, ka līdz 2025. gada 1. jūlijam ir atlikuši daži mēneši un iekšējo normatīvo aktu (piemēram, Kiberdrošības politikas, IKT resursu un informācijas sistēmu kataloga, Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde) kvalitatīva izstrāde, saskaņošana un apstiprināšana, kā arī darbinieku apmācības un novērtēšana, aizņem būtiskus resursus un var būt laikietilpīga, mēs rekomendējam šo termiņu aizvietot ar “piemēro no 2026. gada 1. janvāra”.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Noteikumu 4. pielikumā, “B klases” “konfidencialitātes klases” skaidrojumā ir iekļauts, ka “informācijas resurss satur ierobežotas pieejamības informāciju vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”.
Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5. panta 2. punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, arī informācija “par fiziskās personas privāto dzīvi” vai “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods, vai arī, piemēram, video novērošanas ieraksts, kas ļauj identificēt fizisku personu), tad šī informācijas sistēma (resurss) tiks klasificēts kā “B klases” informācijas resurss. Attiecīgi “B klases” informācijas resursiem ir jāveic rezerves kopiju veidošanu par pēdējām 365 dienām un jānodrošina citas prasības.
Vēlamies norādīt, ka šādas prasības izvirzīšana ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.
Mēs ieteiktu “B klases” “konfidencialitātes klases” skaidrojumu aizvietot ar šādu redakciju:
“informācijas resurss satur vismaz 5000 datu subjektu personas datus vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”; vai arī
“informācijas resurss satur vismaz 1000 datu subjektu īpašu kategoriju personas datus”.
Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5. panta 2. punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, arī informācija “par fiziskās personas privāto dzīvi” vai “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods, vai arī, piemēram, video novērošanas ieraksts, kas ļauj identificēt fizisku personu), tad šī informācijas sistēma (resurss) tiks klasificēts kā “B klases” informācijas resurss. Attiecīgi “B klases” informācijas resursiem ir jāveic rezerves kopiju veidošanu par pēdējām 365 dienām un jānodrošina citas prasības.
Vēlamies norādīt, ka šādas prasības izvirzīšana ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.
Mēs ieteiktu “B klases” “konfidencialitātes klases” skaidrojumu aizvietot ar šādu redakciju:
“informācijas resurss satur vismaz 5000 datu subjektu personas datus vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”; vai arī
“informācijas resurss satur vismaz 1000 datu subjektu īpašu kategoriju personas datus”.
Piedāvātā redakcija
-