Atzinums

Tā kā minētā pašvērtējuma aizpildīšanai ir jāveic virkne darbību, kuri noteikti noteikumu projektā, turklāt, noteikumu projekts vēl joprojām ir saskaņošanas stadijā, minēto prasību izpilde norādītajā termiņā nav objektīvi iespējama.

-

Kā jau vērsām uzmanību iepriekš punktā noteiktais pārejas periods, ņemot vērā paredzamo darbu apjomu, nav objektīvi pietiekams, tādēļ nepieciešams to pagarināt. 

-

Ņemot vērā to, ka līdz 2025. gada 1. jūlijam ir atlikuši daži mēneši un iekšējo normatīvo aktu (piemēram, Kiberdrošības politikas, IKT resursu un informācijas sistēmu kataloga, Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrāde) kvalitatīva izstrāde, saskaņošana un apstiprināšana, kā arī darbinieku apmācības un novērtēšana, aizņem būtiskus resursus un varbūt laikietilpīga, ierosinām šo termiņu aizvietot ar “piemēro no 2026.gada 1.janvāra”.

-

Vēlamies norādīt, ka “ierobežotas pieejamības informācija” atbilstoši Informācijas atklātības likuma 5.panta 2.punktam ir arī informācija “par fiziskās personas privāto dzīvi”. Ievērojot Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumus, arī informācija “par fiziskās personas privāto dzīvi” vai “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”. Līdz ar augstāk minēto izriet, ka, ja gadījumā informācijas sistēmā (resursā) būs iekļauti personas dati (piemēram, iesniegums no fiziskas personas, kurā ir iekļauts šīs fiziskās personas vārds, uzvārds un personas kods, vai arī, piemēram, video novērošanas ieraksts, kas ļauj identificēt fizisku personu), tad šī informācijas sistēma (resurss) tiks klasificēts kā B klases informācijas resurss. Attiecīgi B klases informācijas resursiem ir jāveic rezerves kopiju veidošanu par pēdējām 365 dienām un jānodrošina citas prasības.

Vēlamies norādīt, ka šādas prasības izvirzīšana, mūsuprāt, ir pretrunā ar Eiropas Parlamenta un Padomes regulai Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regulas) nosacījumiem. Tā piemēram, video novērošanas sistēmai, kurā ir iekļauti personas dati (ierobežotas pieejamības informācija), kas attiecīgi būtu uzskatāmas par “B klases” informācijas sistēmu, līdz šim ieraksti tika dzēsti līdzko ir sasniegts attiecīgais personas datu apstrādes nolūks, kas parasti nepārsniedz 30 dienas, tomēr šobrīd būs pienākums nodrošināt rezerves kopiju veidošanu par pēdējām 365 dienām, kas nav nepieciešams personas datu apstrādes nolūka izpildei.

Ierosinām B klases “konfidencialitātes klases” skaidrojumu aizvietot ar šādu redakciju:
“informācijas resurss satur vismaz 5000 datu subjektu personas datus vai vismaz 1000 datu subjektu īpašu kategoriju personas datus”; vai arī “informācijas resurss satur vismaz 1000 datu subjektu īpašu kategoriju personas datus”.

-