Projekta ID
25-TA-1390Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
16.10.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
No Noteikumu projekta vai tā anotācijas nav saprotams, kurš subjekts (VID vai ziņojošais pakalpojuma sniedzējs) konkrētajā datu apstrādes posmā būs uzskatāms par pārzini. Šāda skaidrojuma trūkums rada neskaidrību attiecībā uz datu subjekta tiesību īstenošanu, jo saskaņā ar Vispārīgās datu aizsardzības regulas (Datu regula) 3. nodaļu datu subjektam ir jāspēj viennozīmīgi identificēt pārzini, tādejādi spējot realizēt savas Datu regulā noteiktās tiesības.
Inspekcijas ieskatā, Noteikumu projektā vai vismaz tā anotācijā būtu jāiekļauj skaidra norāde par pārziņa statusu, lai nodrošinātu atbilstību Datu regulas prasībām un skaidru atbildības sadalījumu starp iesaistītajām pusēm.
Ņemot vērā minēto, lūdzam papildināt Noteikumu projektu vai tā anotāciju ar pārziņu lomas sadalījumu, skaidri norādot, kurš subjekts ir datu pārzinis un kādā veidā datu subjekts var realizēt savas tiesības.
Inspekcijas ieskatā, Noteikumu projektā vai vismaz tā anotācijā būtu jāiekļauj skaidra norāde par pārziņa statusu, lai nodrošinātu atbilstību Datu regulas prasībām un skaidru atbildības sadalījumu starp iesaistītajām pusēm.
Ņemot vērā minēto, lūdzam papildināt Noteikumu projektu vai tā anotāciju ar pārziņu lomas sadalījumu, skaidri norādot, kurš subjekts ir datu pārzinis un kādā veidā datu subjekts var realizēt savas tiesības.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Noteikumu projekta 43. punkts paredz, ka ziņojošais kriptoaktīvu pakalpojumu sniedzējs glabā informāciju piecus gadus, bet, pamatojoties uz “objektīviem kritērijiem”, var pagarināt glabāšanas termiņu līdz desmit gadiem. Šāds nosacījums neatbilst Datu regulas prasībām.
Saskaņā ar Datu regulas 5. panta 1. punkta e) apakšpunktu personas dati jāglabā formā, kas ļauj identificēt datu subjektus ne ilgāk, kā tas nepieciešams nolūkiem, kuru dēļ dati tiek apstrādāti (glabāšanas ierobežojuma princips). Savukārt no 6. panta 1. punkta c) un e) apakšpunkta izriet likumdevēja pienākums precīzi noteikt apstrādes nolūkus un nosacījumus.
Datu apstrādes nolūks šajā gadījumā — nodokļu administrēšanas un kontroles funkciju nodrošināšana — ir sabiedrības intereses īstenošana valsts pārvaldes ietvaros, un tādēļ vienīgi likumdevējs var leģitīmi noteikt, cik ilgi personas dati ir nepieciešami šī nolūka sasniegšanai.
Tādējādi glabāšanas termiņa noteikšana privāto tiesību subjektam (ziņojošajam kriptoaktīvu pakalpojumu sniedzējam) pēc viņa ieskata, balstoties uz neskaidri definētiem “objektīviem kritērijiem”, nav uzskatāma par tiesiski korektu datu apstrādes regulējumu. Šāda pieeja neatbilst arī tiesiskās noteiktības principam, jo datu subjekts nevar saprast, cik ilgi viņa dati tiks glabāti un kādi faktori ietekmēs šo termiņu.
Inspekcijas ieskatā, glabāšanas termiņš ir būtisks datu apstrādes aspekts, kas jānosaka tieši normatīvajā aktā, nevis jāatstāj komersanta rīcības brīvībā, ja netiek noteikti skaidri un objektīvi glabāšanas izvērtēšanas kritēriji.
Līdz ar to Noteikumu projektā būtu jāparedz skaidrs un viennozīmīgs datu glabāšanas termiņš vai, ja nepieciešama elastība, jānorāda precīzi, objektīvi kritēriji, kuru dēļ glabāšanas termiņš var tikt pagarināts.
Ņemot vērā minēto, lūdzam pārskatīt Noteikumu projekta 43. punkta redakciju, paredzot:
- konkrētu glabāšanas termiņu, kas atbilst datu apstrādes nolūkam;
- vai, alternatīvi, precīzi noteikt gadījumus, kad glabāšanas termiņu drīkst pagarināt, kā arī subjektu, kurš ir tiesīgs šādu pagarinājumu leģitīmi izvērtēt (piemēram, Valsts ieņēmumu dienests).
Saskaņā ar Datu regulas 5. panta 1. punkta e) apakšpunktu personas dati jāglabā formā, kas ļauj identificēt datu subjektus ne ilgāk, kā tas nepieciešams nolūkiem, kuru dēļ dati tiek apstrādāti (glabāšanas ierobežojuma princips). Savukārt no 6. panta 1. punkta c) un e) apakšpunkta izriet likumdevēja pienākums precīzi noteikt apstrādes nolūkus un nosacījumus.
Datu apstrādes nolūks šajā gadījumā — nodokļu administrēšanas un kontroles funkciju nodrošināšana — ir sabiedrības intereses īstenošana valsts pārvaldes ietvaros, un tādēļ vienīgi likumdevējs var leģitīmi noteikt, cik ilgi personas dati ir nepieciešami šī nolūka sasniegšanai.
Tādējādi glabāšanas termiņa noteikšana privāto tiesību subjektam (ziņojošajam kriptoaktīvu pakalpojumu sniedzējam) pēc viņa ieskata, balstoties uz neskaidri definētiem “objektīviem kritērijiem”, nav uzskatāma par tiesiski korektu datu apstrādes regulējumu. Šāda pieeja neatbilst arī tiesiskās noteiktības principam, jo datu subjekts nevar saprast, cik ilgi viņa dati tiks glabāti un kādi faktori ietekmēs šo termiņu.
Inspekcijas ieskatā, glabāšanas termiņš ir būtisks datu apstrādes aspekts, kas jānosaka tieši normatīvajā aktā, nevis jāatstāj komersanta rīcības brīvībā, ja netiek noteikti skaidri un objektīvi glabāšanas izvērtēšanas kritēriji.
Līdz ar to Noteikumu projektā būtu jāparedz skaidrs un viennozīmīgs datu glabāšanas termiņš vai, ja nepieciešama elastība, jānorāda precīzi, objektīvi kritēriji, kuru dēļ glabāšanas termiņš var tikt pagarināts.
Ņemot vērā minēto, lūdzam pārskatīt Noteikumu projekta 43. punkta redakciju, paredzot:
- konkrētu glabāšanas termiņu, kas atbilst datu apstrādes nolūkam;
- vai, alternatīvi, precīzi noteikt gadījumus, kad glabāšanas termiņu drīkst pagarināt, kā arī subjektu, kurš ir tiesīgs šādu pagarinājumu leģitīmi izvērtēt (piemēram, Valsts ieņēmumu dienests).
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Noteikumu projekta 44. punkts paredz, ka Finanšu ministrija var (bet ne obligāti) lūgt Eiropas Komisijas viedokli par starpvalstu kompetento iestāžu nolīgumiem, kas noslēgti ar valstīm vai teritorijām ārpus Eiropas Savienības. Šāda redakcija piešķir Finanšu ministrijai tiesības, nevis pienākumu, izvērtēt datu aizsardzības līmeņa pietiekamību trešajās valstīs pirms personas datu pārsūtīšanas.
Saskaņā ar Datu regulas V nodaļu, jebkāda personas datu pārsūtīšana uz trešo valsti vai starptautisku organizāciju ir pieļaujama tikai tad, ja tiek nodrošināts līdzvērtīgs datu aizsardzības līmenis.
Īpaši:
- 45. pants paredz, ka datu pārsūtīšana ir atļauta, ja par konkrēto valsti ir pieņemts Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību;
- ja šāda lēmuma nav, tad saskaņā ar 46. pantu pārzinim (vai šajā gadījumā – publiskai iestādei, kas noslēdz nolīgumu) ir jāparedz atbilstoši aizsardzības pasākumi, kas nodrošina datu subjekta tiesību aizsardzību;
- 49. pants paredz tikai ierobežotus izņēmumus, kad pārsūtīšana iespējama bez šāda pamata.
Tādējādi situācijā, kad tiek plānota automātiska informācijas apmaiņa ar trešajām valstīm, Finanšu ministrijai kā kompetentajai iestādei ir pienākums pārliecināties, ka datu aizsardzības līmenis šajās valstīs atbilst Datu regulas prasībām.
Ja šāds pienākums netiek tieši noteikts, pastāv risks, ka tiks noslēgti nolīgumi ar valstīm, kuras nenodrošina līdzvērtīgu aizsardzības līmeni, kā rezultātā datu pārsūtīšana kļūtu nelikumīga (Datu regulas 44. pants), un atbildība par šādu apstrādi varētu iestāties gan Valsts ieņēmumu dienestam, gan ziņojošajam pakalpojumu sniedzējam.
Inspekcija norāda, ka Noteikumu projekta 44. punkta redakcija ir precizējama, paredzot pienākumu, nevis tikai tiesības, Finanšu ministrijai lūgt Eiropas Komisijas viedokli par valstu vai teritoriju atbilstību datu aizsardzības līmeņa prasībām, izņemot gadījumus, kad Komisija jau ir pieņēmusi lēmumu par šīs valsts vai teritorijas datu aizsardzības līmeņa pietiekamību.
Ņemot vērā minēto, lūdzam pārskatīt Noteikumu projekta 44. punkta redakciju, aizstājot formulējumu “var lūgt Eiropas Komisijas viedokli” ar “lūdz Eiropas Komisijas viedokli”, izņemot gadījumus, kad par konkrēto valsti jau ir pieņemts Eiropas Komisijas lēmums saskaņā ar Datu regulas 45. pantu.
Saskaņā ar Datu regulas V nodaļu, jebkāda personas datu pārsūtīšana uz trešo valsti vai starptautisku organizāciju ir pieļaujama tikai tad, ja tiek nodrošināts līdzvērtīgs datu aizsardzības līmenis.
Īpaši:
- 45. pants paredz, ka datu pārsūtīšana ir atļauta, ja par konkrēto valsti ir pieņemts Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību;
- ja šāda lēmuma nav, tad saskaņā ar 46. pantu pārzinim (vai šajā gadījumā – publiskai iestādei, kas noslēdz nolīgumu) ir jāparedz atbilstoši aizsardzības pasākumi, kas nodrošina datu subjekta tiesību aizsardzību;
- 49. pants paredz tikai ierobežotus izņēmumus, kad pārsūtīšana iespējama bez šāda pamata.
Tādējādi situācijā, kad tiek plānota automātiska informācijas apmaiņa ar trešajām valstīm, Finanšu ministrijai kā kompetentajai iestādei ir pienākums pārliecināties, ka datu aizsardzības līmenis šajās valstīs atbilst Datu regulas prasībām.
Ja šāds pienākums netiek tieši noteikts, pastāv risks, ka tiks noslēgti nolīgumi ar valstīm, kuras nenodrošina līdzvērtīgu aizsardzības līmeni, kā rezultātā datu pārsūtīšana kļūtu nelikumīga (Datu regulas 44. pants), un atbildība par šādu apstrādi varētu iestāties gan Valsts ieņēmumu dienestam, gan ziņojošajam pakalpojumu sniedzējam.
Inspekcija norāda, ka Noteikumu projekta 44. punkta redakcija ir precizējama, paredzot pienākumu, nevis tikai tiesības, Finanšu ministrijai lūgt Eiropas Komisijas viedokli par valstu vai teritoriju atbilstību datu aizsardzības līmeņa prasībām, izņemot gadījumus, kad Komisija jau ir pieņēmusi lēmumu par šīs valsts vai teritorijas datu aizsardzības līmeņa pietiekamību.
Ņemot vērā minēto, lūdzam pārskatīt Noteikumu projekta 44. punkta redakciju, aizstājot formulējumu “var lūgt Eiropas Komisijas viedokli” ar “lūdz Eiropas Komisijas viedokli”, izņemot gadījumus, kad par konkrēto valsti jau ir pieņemts Eiropas Komisijas lēmums saskaņā ar Datu regulas 45. pantu.
Piedāvātā redakcija
-
4.
Anotācija (ex-ante)
8.1.13. uz datu aizsardzību
Iebildums
Inspekcija norāda, ka Noteikumu projekts paredz fizisku personu datu apstrādi. Noteikumu projekts nosaka kārtību, kādā tiek iegūta, pārbaudīta, apkopota un Valsts ieņēmumu dienestam iesniegta informācija par kriptoaktīvu darījumiem, tostarp fizisku personu identifikācijas dati (vārds, uzvārds, adrese, dzimšanas datums, nodokļu maksātāja identifikācijas numurs), rezidences informācija un finanšu darījumu dati. Minētā informācija attiecas uz identificētām vai identificējamām fiziskām personām, un tās apstrāde atbilst personas datu apstrādes jēdzienam saskaņā ar Vispārīgās datu aizsardzības regulas (Datu regula) 4. panta 2. punktu.
Ņemot vērā minēto, anotācijas 8.1.13. sadaļā norādītā atzīme “Nē” nav pareiza, jo noteikumu projekts skar datu aizsardzības jomu. Līdz ar to šī sadaļa ir jāaizpilda, atbilstoši Valsts kancelejas izstrādātajām vadlīnijām “Vadlīnijas tiesību akta projekta sākotnējās ietekmes novērtēšanai un novērtējuma ziņojuma sagatavošanai vienotajā tiesību aktu izstrādes un saskaņošanas portālā” (https://www.mk.gov.lv/sites/mk/files/media_file/tap_anotacija_vadlinijas.pdf).
Aizpildot anotācijas 8.1.13. sadaļu, ir nepieciešams arī izvērtēt Noteikumu projekta redakciju no Datu regulas prasību viedokļa, pārliecinoties, ka tajā ir ietverts viss nepieciešamais personas datu apstrādes regulējums – datu apstrādes mērķis, tiesiskais pamats, datu subjektu un datu kategorijas, datu saņēmēji, glabāšanas termiņi un attiecīgie drošības pasākumi.
Ņemot vērā minēto, anotācijas 8.1.13. sadaļā norādītā atzīme “Nē” nav pareiza, jo noteikumu projekts skar datu aizsardzības jomu. Līdz ar to šī sadaļa ir jāaizpilda, atbilstoši Valsts kancelejas izstrādātajām vadlīnijām “Vadlīnijas tiesību akta projekta sākotnējās ietekmes novērtēšanai un novērtējuma ziņojuma sagatavošanai vienotajā tiesību aktu izstrādes un saskaņošanas portālā” (https://www.mk.gov.lv/sites/mk/files/media_file/tap_anotacija_vadlinijas.pdf).
Aizpildot anotācijas 8.1.13. sadaļu, ir nepieciešams arī izvērtēt Noteikumu projekta redakciju no Datu regulas prasību viedokļa, pārliecinoties, ka tajā ir ietverts viss nepieciešamais personas datu apstrādes regulējums – datu apstrādes mērķis, tiesiskais pamats, datu subjektu un datu kategorijas, datu saņēmēji, glabāšanas termiņi un attiecīgie drošības pasākumi.
Piedāvātā redakcija
-