Projekta ID
23-TA-823Atzinuma sniedzējs
Datu valsts inspekcija
Atzinums iesniegts
19.07.2023.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
Noteikumu projekta 3. punktā ir uzskaitīti VID EDS apstrādājamie personu dati, tostarp, 3.11. apakšpunktā norādīts, ka EDS iekļaujama arī informācija par personas veiktajiem darījumiem, bez jebkādas precizējošas norādes par darījumu apmēru.
No patreizējā Noteikumu projekta 3.11. apakšpunktā norādītā formulējuma izriet, ka EDS ir apstrādājama informācija par jebkuru personas veiktu darījumu, neatkarīgi no tā apmēra.
No Noteikumu projekta anotācijā norādītās informācijas arī nav skaidrs, vai tiešām EDS ir apstrādājami dati par jebkuru personas darījumu, vai tomēr darījumi ir atlasāmi pēc kāda kritērija, kas noteikts citos ārējos normatīvajos aktos.
Inspekcija norāda, ka Datu regulas 5. panta 1. punktā ir uzskaitīti personu datu apstrādes principi, tostarp b) apakšpunktā ietverts nolūka ierobežojuma princips, saskaņā ar kuru dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā, kā arī c) apakšpunktā noteiktais datu minimizēšanas princips, saskaņā ar kuru dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos. No minētā izriet, ka apstrādājami ir tikai tie dati, kad ir absolūti nepieciešami konkrēta un skaidra nolūka sasniegšanai un ne vairāk.
Konkrētajā situācijā, personu datu apstrādei EDS ir vairāki nolūki, kas ir gana plaši definēti, lai no tiem nevarētu skaidri izsecināt nepieciešamos personas datus, kas apstrādājami nolūku sasniegšanai. Lai novērstu situāciju, kurā, dēļ plašā nolūku uzskaitījuma un to vispārīgā rakstura, varētu notikt pārmērīga vai patvaļīga personu datu apstrāde, noteikumu projektā ir uzskaitīti personu datu veidi. Lai arī personu datu veidi ir uzskaitīti, attiecībā uz 3.11. apakšpunktā minētajiem datiem par darījumiem, Inspekcijas ieskatā būtu jāprecizē šo datu izmantošana, norādot konkrētu apmēru, kas noteikts normatīvajos aktos, vai, ja tas nav iespējams, apakšpunkts būtu vismaz jāpapildina ar norādi, par to, ka informācija par darījumiem apstrādājama vai iekļaujama EDS tikai normatīvajos aktos paredzētajos gadījumos un apmērā, lai tādā veidā izslēgtu patvaļīgas un pārmērīgas personu datu apstrādes iespēju.
Minētais jautājums skatāms arī kontekstā ar 3.punkta ievaddaļu, atbilstoši kurai šajā punktā uzskaitītie dati tiek izmantoti 2.punktā minētās "informācijas apstrādei". Vēršam uzmanību, ka šāds formulējums nesniedz skaidru priekšstatu par datu apstrādes nolūku, līdz ar ko arī apstrādājamo personas datu apjoms, nevar tikt loģiski izsecināts no datu apstrādes nolūka.
No patreizējā Noteikumu projekta 3.11. apakšpunktā norādītā formulējuma izriet, ka EDS ir apstrādājama informācija par jebkuru personas veiktu darījumu, neatkarīgi no tā apmēra.
No Noteikumu projekta anotācijā norādītās informācijas arī nav skaidrs, vai tiešām EDS ir apstrādājami dati par jebkuru personas darījumu, vai tomēr darījumi ir atlasāmi pēc kāda kritērija, kas noteikts citos ārējos normatīvajos aktos.
Inspekcija norāda, ka Datu regulas 5. panta 1. punktā ir uzskaitīti personu datu apstrādes principi, tostarp b) apakšpunktā ietverts nolūka ierobežojuma princips, saskaņā ar kuru dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā, kā arī c) apakšpunktā noteiktais datu minimizēšanas princips, saskaņā ar kuru dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos. No minētā izriet, ka apstrādājami ir tikai tie dati, kad ir absolūti nepieciešami konkrēta un skaidra nolūka sasniegšanai un ne vairāk.
Konkrētajā situācijā, personu datu apstrādei EDS ir vairāki nolūki, kas ir gana plaši definēti, lai no tiem nevarētu skaidri izsecināt nepieciešamos personas datus, kas apstrādājami nolūku sasniegšanai. Lai novērstu situāciju, kurā, dēļ plašā nolūku uzskaitījuma un to vispārīgā rakstura, varētu notikt pārmērīga vai patvaļīga personu datu apstrāde, noteikumu projektā ir uzskaitīti personu datu veidi. Lai arī personu datu veidi ir uzskaitīti, attiecībā uz 3.11. apakšpunktā minētajiem datiem par darījumiem, Inspekcijas ieskatā būtu jāprecizē šo datu izmantošana, norādot konkrētu apmēru, kas noteikts normatīvajos aktos, vai, ja tas nav iespējams, apakšpunkts būtu vismaz jāpapildina ar norādi, par to, ka informācija par darījumiem apstrādājama vai iekļaujama EDS tikai normatīvajos aktos paredzētajos gadījumos un apmērā, lai tādā veidā izslēgtu patvaļīgas un pārmērīgas personu datu apstrādes iespēju.
Minētais jautājums skatāms arī kontekstā ar 3.punkta ievaddaļu, atbilstoši kurai šajā punktā uzskaitītie dati tiek izmantoti 2.punktā minētās "informācijas apstrādei". Vēršam uzmanību, ka šāds formulējums nesniedz skaidru priekšstatu par datu apstrādes nolūku, līdz ar ko arī apstrādājamo personas datu apjoms, nevar tikt loģiski izsecināts no datu apstrādes nolūka.
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Noteikumu projekta 8. punktā ir norādīts, ka EDS nodod informāciju De minimis atbalsta uzskaites sistēmai.
No minētās normas nav saprotams – kādus datus un kādā nolūkā nodos De minimis atbalsta uzskaites sistēmai.
Kā jau Inspekcija skaidroja iepriekš izteiktajā iebildumā par Noteikumu projekta 3.11. apakšpunktu, ārējā normatīvajā aktā ir jābūt gana skaidri regulētai datu apstrādei attiecībā uz nolūku un datu apjomu, lai nepieļautu Datu regulas 5. panta 1. punktā norādīto datu apstrādes principu pārkāpumus.
Inspekcija norāda, ka gadījumā, kad dati tiek nodoti, ārējā normatīvajā aktā ir jābūt skaidri definētam nolūkam datu nodošanai un datu apjomam, kas tiks nodoti, lai novērstu patvaļīgu un pārmērīgu, kā arī nepamatotu peronu datu apstrādi.
Ievērojot minēto, Inspekcija norāda, ka normā ir jāprecizē un papildu jānorāda, kādā nolūkā un apjomā nododama informācija jeb personu dati. Ja tas nav iespējams, norma jāpapildina ar norādi par to, ka Informācija ir nododama noteiktu valsts pārvaldes funkciju vai uzdevumu izpildei, ārējos normatīvajos aktos noteiktajā apjomā, līdzīgi, kā tas jau ir izdarīts šī Noteikumu projekta 19. punktā.
No minētās normas nav saprotams – kādus datus un kādā nolūkā nodos De minimis atbalsta uzskaites sistēmai.
Kā jau Inspekcija skaidroja iepriekš izteiktajā iebildumā par Noteikumu projekta 3.11. apakšpunktu, ārējā normatīvajā aktā ir jābūt gana skaidri regulētai datu apstrādei attiecībā uz nolūku un datu apjomu, lai nepieļautu Datu regulas 5. panta 1. punktā norādīto datu apstrādes principu pārkāpumus.
Inspekcija norāda, ka gadījumā, kad dati tiek nodoti, ārējā normatīvajā aktā ir jābūt skaidri definētam nolūkam datu nodošanai un datu apjomam, kas tiks nodoti, lai novērstu patvaļīgu un pārmērīgu, kā arī nepamatotu peronu datu apstrādi.
Ievērojot minēto, Inspekcija norāda, ka normā ir jāprecizē un papildu jānorāda, kādā nolūkā un apjomā nododama informācija jeb personu dati. Ja tas nav iespējams, norma jāpapildina ar norādi par to, ka Informācija ir nododama noteiktu valsts pārvaldes funkciju vai uzdevumu izpildei, ārējos normatīvajos aktos noteiktajā apjomā, līdzīgi, kā tas jau ir izdarīts šī Noteikumu projekta 19. punktā.
Piedāvātā redakcija
-
3.
Noteikumu projekts
Iebildums
Noteikumu projekta 14. punktā noteikts, ka persona vai tās pārstāvis var iesniegt iesniegumu par lietotāju sarakstu, kurā ietver informāciju gan par konkrētās personas sistēmā izveidotā profila lietošanas tiesību piešķiršanu, gan par lietošanas tiesību apjomu, savukārt Noteikumu projekta 16. punktā, kurā būtībā definēts šī iesnieguma saturs, 16.1. ‑ 16.6. apakšpunktos nav ietverta norāde, ka iesniegumā būtu jāietver arī norāde par lietošanas tiesību apjomu.
Ievērojot minēto, Inspekcija lūdz papildināt 16. punktā norādīto iesniegumā ietveramās informācijas uzskaitījumu arī ar apakšpunktu par lietošanas tiesību apjomu.
Ievērojot minēto, Inspekcija lūdz papildināt 16. punktā norādīto iesniegumā ietveramās informācijas uzskaitījumu arī ar apakšpunktu par lietošanas tiesību apjomu.
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
Noteikumu projekta 21. punktā ir noteikts, ka EDS iekļauto informāciju glabā ne ilgāk kā 60 mēnešus no brīža, kad informācija iekļauta sistēmā, ja normatīvajos aktos nav noteikts citādi. Pēc glabāšanas termiņa beigām sistēmā iekļauto informāciju pārvieto uz citām informācijas sistēmām tās arhivēšanai vai dzēš no sistēmām.
Inspekcija norāda, ka Noteikumu projekta 21. punktā paredzētā personu datu pārvietošana uz citām informācijas sistēmām arhivēšanas nolūkā neizriet no, piemēram, likuma “Par valsts ieņēmumu dienestu” 4.3 pantā pirmās daļas 4. punktā definētajiem VID EDS mērķiem. Arī Noteikumu projekta anotācijā nav ietverta informācija par šādu datu apstrādi ar arhivēšanas nolūku.
Inspekcija paskaidro, ka gadījumā, ja EDS informācija, kas satur arī personu datus, tiek nodota jeb pārvietota uz citu informācijas sistēmu arhivēšanai, uzskatāms, ka dati tiek nodoti citai sistēmai, kur tie tiek glabāti jaunā nolūkā – arhivēšanai.
Attiecībā uz datu nodošanu un glabāšanu arhivēšanai nav saprotams nedz tiesiskais pamats, nedz arī apstrādājamo datu apjoms un glabāšanas termiņš.
Ievērojot minēto, anotācijā būtu jānorāda papildus informācija par tiesisko pamatojumu Noteikumu projekta 21. punktā paredzētajai personu datu apstrādei. Tāpat arī Noteikumu projekta 21. punkts būtu jāpapildina ar precizējošu informāciju par to, uz kādu informācijas sistēmu ir paredzēts pārvietot datus, kādu datu apjomu, vai un cik ilgi dati tiks glabāti arhivēšanas nolūkā.
Inspekcija norāda, ka Noteikumu projekta 21. punktā paredzētā personu datu pārvietošana uz citām informācijas sistēmām arhivēšanas nolūkā neizriet no, piemēram, likuma “Par valsts ieņēmumu dienestu” 4.3 pantā pirmās daļas 4. punktā definētajiem VID EDS mērķiem. Arī Noteikumu projekta anotācijā nav ietverta informācija par šādu datu apstrādi ar arhivēšanas nolūku.
Inspekcija paskaidro, ka gadījumā, ja EDS informācija, kas satur arī personu datus, tiek nodota jeb pārvietota uz citu informācijas sistēmu arhivēšanai, uzskatāms, ka dati tiek nodoti citai sistēmai, kur tie tiek glabāti jaunā nolūkā – arhivēšanai.
Attiecībā uz datu nodošanu un glabāšanu arhivēšanai nav saprotams nedz tiesiskais pamats, nedz arī apstrādājamo datu apjoms un glabāšanas termiņš.
Ievērojot minēto, anotācijā būtu jānorāda papildus informācija par tiesisko pamatojumu Noteikumu projekta 21. punktā paredzētajai personu datu apstrādei. Tāpat arī Noteikumu projekta 21. punkts būtu jāpapildina ar precizējošu informāciju par to, uz kādu informācijas sistēmu ir paredzēts pārvietot datus, kādu datu apjomu, vai un cik ilgi dati tiks glabāti arhivēšanas nolūkā.
Piedāvātā redakcija
-
5.
Anotācija (ex-ante)
8.1.13. uz datu aizsardzību
Priekšlikums
Noteikumu projekta “Valsts ieņēmumu dienesta elektroniskās deklarēšanas sistēmas noteikumi” (turpmāk – Noteikumu projekts) anotācijas 8.1.13. apakšpunktā ir norādīts, ka Valsts ieņēmumu dienests (turpmāk – VID) elektroniskās deklarēšanas sistēmā (turpmāk – EDS) personu datus apstrādās, pamatojoties uz Vispārīgās datu aizsardzības regulas (turpmāk – Datu regula) 6. panta 1. punkta a) un c) apakšpunktos minētajiem tiesiskajiem pamatojumiem, jo apstrāde ir vajadzīga, lai “izpildītu uz pārzini attiecināmu juridisku pienākumu” un “izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras.”
Datu valsts inspekcija (turpmāk – Inspekcija) norāda, ka Datu regulas 6. panta 1. punkta a) apakšpunktā minētais tiesiskais pamats personu datu apstrādei ir datu subjekta piekrišana. Savukārt uz pārzini attiecināms juridiskais pienākums kā tiesiskais pamats ir norādīts Datu regulas 6. panta 1. punkta c) apakšpunktā un tiesiskais pamats uzdevums sabiedrības interesēs ir norādīts Datu regulas 6. panta 1. punkta e) apakšpunktā.
Ņemot vērā minēto, kā arī to, ka no citviet anotācijā norādītās informācijas izriet, ka personu datu apstrādes tiesiskais pamats VID EDS ir Datu regulas 6. panta c) un e) apakšpunktos minētie tiesiskie pamati, proti, uz pārzini attiecināms juridiskais pienākums un uzdevums sabiedrības interesēs, Inspekcija pieņem, ka atsauce uz Datu regulas 6. panta 1. punkta a) apakšpunktu izdarīta kļūdaini. Ievērojot minēto, Inspekcija aicina labot minēto pārrakstīšanās kļūdu, norādot korektu atsauc uz Datu regulas 6. panta apakšpunktiem par personu datu apstrādes tiesisko pamatojumu.
Datu valsts inspekcija (turpmāk – Inspekcija) norāda, ka Datu regulas 6. panta 1. punkta a) apakšpunktā minētais tiesiskais pamats personu datu apstrādei ir datu subjekta piekrišana. Savukārt uz pārzini attiecināms juridiskais pienākums kā tiesiskais pamats ir norādīts Datu regulas 6. panta 1. punkta c) apakšpunktā un tiesiskais pamats uzdevums sabiedrības interesēs ir norādīts Datu regulas 6. panta 1. punkta e) apakšpunktā.
Ņemot vērā minēto, kā arī to, ka no citviet anotācijā norādītās informācijas izriet, ka personu datu apstrādes tiesiskais pamats VID EDS ir Datu regulas 6. panta c) un e) apakšpunktos minētie tiesiskie pamati, proti, uz pārzini attiecināms juridiskais pienākums un uzdevums sabiedrības interesēs, Inspekcija pieņem, ka atsauce uz Datu regulas 6. panta 1. punkta a) apakšpunktu izdarīta kļūdaini. Ievērojot minēto, Inspekcija aicina labot minēto pārrakstīšanās kļūdu, norādot korektu atsauc uz Datu regulas 6. panta apakšpunktiem par personu datu apstrādes tiesisko pamatojumu.
Piedāvātā redakcija
-