Noteikumu projekts

Izdoti saskaņā ar Mākslīgā intelekta centra likuma 8.panta piekto daļu

I.Vispārīgais jautājums

Noteikumi nosaka:

1.1.

speciālās regulatīvās vides (turpmāk – regulatīvā vide) noteikumus, tās izveidē un darbībā iesaistītās kompetentās institūcijas, kārtību, kādā nodibinājums “Mākslīgā intelekta centrs” (turpmāk – Centrs) veic regulatīvajā vidē iesniegto projektu iesniegumu atlasi, atlases nolikuma saturu, iesniegumu vērtēšanas kārtības un kritēriju izstrādes pamatprincipus;

1.2.

prasības speciālajā regulatīvajā vidē iesaistītajām personām un to pienākumus, personas datu glabāšanas termiņu, personas datu pieprasīšanas, nodošanas un dzēšanas kārtību, tehniskās un organizatoriskās prasības, kas ievērojamas datu apstrādes procesā.

II.Regulatīvās vides noteikumi, to izveidē un darbībā iesaistītās kompetentās institūcijas

Kompetentā institūcija šo noteikumu izpratnē ir institūcija, kuras kompetencē ir projekta iesniegumā norādītās jomas vai kuras pārziņā ir projekta iesniegumā norādītie dati, kas nepieciešami regulatīvās vides darbināšanai.

Regulatīvo vidi var izveidot, ja vienlaikus izpildās visi šādi nosacījumi:

3.1.

iesniedzējs nav Mākslīgā intelekta centra likuma 8.panta trešajā daļā minētā persona;

3.2.

iesniedzēja vai tā filiāles vai pārstāvniecības juridiskā adrese reģistrēta Latvijas Republikā, citā Eiropas Savienības dalībvalstī, Eiropas Ekonomikas zonas valstī vai Šveices Konfederācijā;

3.3.

mākslīgā intelekta sistēma izveidota no jauna vai tiek plānotas būtiskas izmaiņas esošā sistēmā.

Centrs, izdodot administratīvo aktu, tajā var iekļaut arī šādu informāciju:

4.1.

regulatīvās vides izveides mērķis;

4.2.

regulatīvās vides nosacījumi, tai skaitā apstrādājamo personas datu apjoms;

4.3.

laika grafiks;

4.4.

izmantojamās tehniskās metodes;

4.5.

testēšanas reālos apstākļos nosacījumi.

Kompetentās institūcijas nodrošina norādījumus, uzraudzību un atbalstu iesniedzējam regulatīvās vides ietvaros.

III.Kārtība, kādā Centrs veic regulatīvajā vidē iesniegto projektu iesniegumu atlasi, atlases nolikuma saturu, iesniegumu vērtēšanas kārtības un kritēriju izstrādes pamatprincipus

Centrs veic projektu iesniegumu atlasi saskaņā ar projektu iesniegumu atlases nolikumu atklātas vai ierobežotas projektu iesniegumu atlases veidā.

Projektu iesniegumu atlases nolikumā nosaka:

7.1.

atlases veidu;

7.2.

projektu iesniegumu iesniegšanas un vērtēšanas kārtību;

7.3.

projektu iesniegumu vērtēšanas kritērijus;

7.4.

projektu iesniegumu vērtēšanas kritēriju piemērošanas metodiku;

7.5.

projekta iesniegumā norādāmo informāciju;

7.6.

citu projektu iesniegumu atlasei nepieciešamo informāciju.

Projektu iesniegumu atlases nolikumu izstrādā un apstiprina Centrs. Centra lēmums par projektu iesniegumu atlases nolikuma apstiprināšanu nav apstrīdams un pārsūdzams.

Projektu iesniegumu vērtēšanas kritēriju izstrādes pamatprincipi:

9.1.

mākslīgā intelekta sistēma ir jauna un inovatīva;

9.2.

mākslīgā intelekta sistēma atbilst kādai no Mākslīgā intelekta centra likuma 4. panta pirmās daļas 1. punktā minētajām jomām;

9.3.

mākslīgā intelekta sistēma atbilst attīstības plānošanas dokumentos, nacionālās digitālās transformācijas politikas jomā noteikto mērķu sasniegšanai vai tādu tirgus nepilnību novēršanai, kas kavē šo mērķu efektīvu sasniegšanu;

9.4.

mākslīgā intelekta sistēma veicina latviešu valodas ilgtspēju un kultūras datu iekļaušanu mākslīgā intelekta risinājumos un pielāgošanos tiem;

9.5.

mākslīgā intelekta sistēmas gatavība;

9.6.

mākslīgā intelekta sistēmas riska līmenis;

9.7.

regulatīvās vides izveides nepieciešamība.

10.

Centrs savā tīmekļvietnē izvieto paziņojumu par atklātas projektu iesniegumu atlases izsludināšanu un projektu iesniegumu atlases nolikumu.

11.

Iesniedzējs iesniedz Centram projekta iesniegumu par regulatīvās vides izveidi. Iesniedzējs var iesniegt vairākus projektu iesniegumus.

12.

Iesniedzējs sagatavo un iesniedz Centram projekta iesniegumu saskaņā ar projektu iesniegumu atlases nolikuma prasībām.

13.

Projekta iesniegumā norāda šādu informāciju:

13.1.

iesniedzēja nosaukumu, reģistrācijas numuru, juridisko adresi;

13.2.

iesniedzēja kontaktpersonu, tā amatu un kontaktinformāciju;

13.3.

mākslīgā intelekta sistēmas aprakstu;

13.4.

iespējamos riskus, tai skaitā pašvērtējumu, vai mākslīgā intelekta sistēma ir augsta riska sistēma vai aizliegta prakse;

13.5.

regulatīvās vides izveides pamatojumu;

13.6.

aprakstu, kā mākslīgā intelekta sistēma kalpos sabiedrības interesēm;

13.7.

regulatīvās vides saturu un ilgumu;

13.8.

mākslīgā intelekta sistēmas izmantošanas valsti;

13.9.

mākslīga intelekta sistēmai nepieciešamo datu apjomu, izmantojot Valsts informācijas resursu, sistēmu un sadarbspējas informācijas sistēmā (turpmāk - VIRSIS) pieejamo informāciju vai arī brīvā formā, ja nepieciešamie dati nav atrodami VIRSIS, šādā gadījumā norādot institūciju, kuras rīcībā ir nepieciešamie dati.

14.

Pirms projektu iesniegumu vērtēšanas Centrs trīs darba dienu laikā no iesnieguma saņemšanas dienas nosūta projekta iesniegumu kompetentām institūcijām. Kompetentā institūcija desmit darba dienu laikā no projekta iesnieguma saņemšanas sniedz Centram atzinumu par projekta iesniegumu, norādot:

14.1.

vai attiecīgās kompetentās institūcijas dalība regulatīvajā vidē ir nepieciešama;

14.2.

normatīvo aktu prasības, kas attieksies uz mākslīgā intelekta sistēmu pēc tās laišanas tirgū vai nodošanas ekspluatācijā;

14.3.

informāciju par to vai attiecīgās institūcijas rīcībā ir projektu iesniegumā norādītie dati;

14.4.

citu informāciju, kas ir nepieciešama projekta iesnieguma izvērtēšanai.

IV.Personas datu pieprasīšanas, nodošanas un dzēšanas kārtība regulatīvajā vidē

15.

Centra pienākumi, lai nodrošinātu regulatīvās vides darbību, uzturēšanu un attīstību atbilstoši normatīvajiem aktiem:

15.1.

uzrauga, organizē datu ieguvi no iestādēm;

15.2.

uzrauga datu izmantotājus tiktāl, cik tas attiecas uz prasībām, kas noteiktas šajā likumā un citos normatīvajos aktos attiecībā uz personas datu aizsardzību;

15.3.

publicē vispārpieejamo informāciju par speciālajā regulatīvajā vidē izmantotajiem institūciju pārziņā esošajiem datiem;

15.4.

nepieciešamības gadījumā izveido un vada starpnozaru ētikas komisiju, kas izvērtē projekta iesniegumā norādītos risinājumus;

15.5.

uztur un savā tīmekļvietnē publicē sarakstu, ar ekspertiem, kas var veikt regulatīvās vides sistēmu, iekārtu un procedūru drošību pārbaudes, sarakstu ar visiem pakalpojumu sniedzējiem, kas atbilst šajos noteikumos noteiktajām prasībām un regulatīvās vides nodrošinātāju sarakstu(turpmāk – reģistrs);

15.6.

nodrošina, ka pēc projekta beigām, dati, kuri tika izmantoti regulatīvajā vidē, netiek izgūti no tās.

16.

Ja datu devējs atsakās nodot datus Centram atbilstoši pieprasījumam, slēdzot vienošanos VIRSIS un sadarbspējas informācijas sistēmā, Centrs rīkojas atbilstoši Valsts pārvaldes iekārtas likumā noteiktajai kārtībai vai ziņo par radušos situāciju Valsts kancelejai.

17.

Datu valsts inspekcijas pienākumi:

17.1.

piedalīties pieteikumu izskatīšanas procesā un sniegt atzinumus par datu apstrādes likumību, tai skaitā par iespējamajām atkāpēm no normatīvā regulējuma;

17.2.

izvērtēt prasības datu minimizācijai, anonimizācijai vai pseidonimizācijai;

17.3.

uzraudzīt personas datu apstrādes procesu testēšanas posmā;

17.4.

pārbaudīt un pieprasīt informāciju no regulatīvās vides dalībniekiem;

17.5.

sniegt ieteikumus par tehniskajiem un organizatoriskajiem aizsardzības pasākumiem.

18.

Datu valsts inspekcijai ir tiesības:

18.1.

pieprasīt un saņemt informāciju no Centra un speciālās regulatīvās vides dalībniekiem;

18.2.

izteikt iebildumus par datu apstrādi, ja tiek konstatēti iespējamie Vispārīgās datu aizsardzības regulas pārkāpumi;

18.3.

apturēt vai ierobežot personas datu apstrādi;

18.4.

izteikt viedokli par iespējamajām atkāpēm no normatīvā regulējuma;

18.5.

sagatavot noslēguma atzinumu par datu apstrādes atbilstību Eiropas parlamenta un Padomes regulai (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula);

18.6.

piedalīties Centra izveidotās projektu iesniegumu vērtēšanas komisijās.

19.

Noslēguma atzinumā Datu valsts inspekcija:

19.1.

norāda, vai datu apstrāde atbilda Vispārīgās datu aizsardzības regulas prasībām;

19.2.

sniedz ieteikumus nosacījumiem datu apstrādei turpmākajos posmos;

19.3.

informē par iespējamiem riskiem datu subjektu tiesībām;

19.4.

sniedz priekšlikumus veikt grozījumus normatīvajā regulējumā, ja tas nepieciešams.

20.

Centrālā statistikas pārvalde nodrošina regulatīvās vides tehnoloģisko risinājumu, kurā:

20.1.

nodrošināta datu minimizāciju, anonimizāciju vai pseidonimizāciju atbilstoši Datu valsts inspekcijas lēmumam;

20.2.

nodrošina mākslīgā intelekta risinājuma darbības atbilstību personas datu regulējumam;

20.3.

uzrauga darbības, kas tiek veiktas speciālajā regulatīvajā vidē un nepieciešamības gadījumā liedz turpmāku darbību ar datiem.

21.

Informācijas tehnoloģiju drošības incidentu novēršanas institūcija ikgadēji veic Centrālās statistikas pārvaldes nodrošinātās regulatīvās vides drošības pārbaudi.

22.

Iesniedzēja pienākumi:

22.1.

ievērot šajos noteikumus ietvertās prasības un izmantot regulatīvo vidi tikai atbilstoši projektā noteiktajam mērķim;

22.2.

aizsargāt regulatīvajā vidē izsniegtos personas datus, nepieļaut personas datu nodošanu trešajām personām;

22.3.

ziņot Centram un regulatīvās vides nodrošinātājam par kļūdām vai ievainojamībām, darbības traucējumiem regulatīvajā vidē;

22.4.

neveikt kaitējošas vai traucējošas darbības regulatīvajā vidē;

22.5.

ievērot noteiktos piekļuves ierobežojumus regulatīvajai videi;

22.6.

piekļūt regulatīvajai videi, izmantojot tikai kvalificētus elektroniskās identifikācijas līdzekļus.

23.

Iesniedzēja tiesības:

23.1.

saņemt dokumentāciju un tehnisko atbalstu par regulatīvo vidi;

23.2.

saņemt informāciju no kompetentajām institūcijām un testu žurnālus par regulatīvo vidi;

23.3.

no regulatīvās vides tehnoloģiskā risinājuma izgūt mākslīgā intelekta risinājumu, kas sevī nesatur testēšanas ietvaros apstrādātos personas datus.

24.

Lai nodrošinātu personas datu nodošanu, starp datu devēju (institūcija) un iesniedzēju tiek slēgta elektroniskā vienošanās par datu apjomu datu aprites nodrošināšanu, izmantojot VIRSIS. Elektroniskās vienošanās saturā norāda:

24.1.

vienošanās numuru;

24.2.

pakalpojuma saņēmēja informācijas sistēmas identifikatoru;

24.3.

datu aprites pakalpojuma nosaukumu;

24.4.

vienošanās nosaukumu;

24.5.

pakalpojuma saņemšanas pamatojumu;

24.6.

izvēlētos pakalpojuma datu laukus;

24.7.

vienošanās pieteikuma datu izmantošanas mērķi;

24.8.

vienošanās izbeigšanas termiņu;

24.9.

informāciju par to, vai vienošanās izbeidzama, savstarpēji vienojoties;

24.10.

vienošanās parakstīšanas datumu;

24.11.

informāciju par pakalpojuma saņēmēju un pakalpojuma sniedzēju:

24.11.1.

institūcijas nosaukums un reģistrācijas numurs;

24.11.2.

institūcijas paraksttiesīgās personas vārds, uzvārds un amats;

24.11.3.

datu nodošanas kanālu, ja datu nodošanai netiek izmantota Datu pārvaldības un koplietošanas platforma.

V.Regulatīvās vides tehniskās un organizatoriskās prasības

25.

Par regulatīvās vides nodrošinātāju var būt privātpersona vai institūcija, kas atbilst šādām prasībām:

25.1.

tā uztur pietiekamus finanšu resursus, lai izpildītu šā likuma prasības;

25.2.

iekļauta reģistrā.

26.

Regulatīvās vides nodrošinātāja pienākumi:

26.1.

regulatīvās vides nodrošināšanai izmanto informācijas sistēmas un produktus, kas, izvērtējot iespējamos riskus, ir aizsargāti pret neatļautu piekļūšanu un izmaiņām;

26.2.

nekavējoties nodrošina datu apstrādes pārtraukšanu un pārtrauc piekļuves nodrošināšanu normatīvajos aktos noteiktajos gadījumos;

26.3.

nodrošina, ka jebkurā brīdī var konstatēt regulatīvās vides darbības uzsākšanas un izbeigšanas, kā arī personu piekļuves tai datumu un laiku;

26.4.

nodrošina, ka regulatīvās vides lietotāji izmantojos regulatīvo vidi nevar radīt tajā esošo datu kopiju;

26.5.

izmanto tehnoloģiskos risinājumus un programatūru, kas nodrošina piekļuves autentifikācijas apliecinājuma un ar neveiksmīgu autentifikācijas mēģinājumu saistītas informācijas glabāšanu.

27.

Regulatīvās vides tehnoloģiskajam risinājumam jānodrošina atbilstība šādām tehniskajām un organizatoriskajām prasībām:

27.1.

Atbilstoši pienākumu, uzdevumu, funkciju veikšanai piekļuves kontrole, izmantojot kvalificētus identifikācijas līdzekļus;

27.2.

regulatīvās vides auditācijas pierakstos jāiekļauj informācija par pieslēgšanos, atslēgšanos, datu atlasi, konta izveidi, grozīšanu vai dzēšanu, fiksējot notikuma laiku (UTC), IP adresi, darbības aprakstu un iniciatora identifikatoru, un šie pieraksti jāuzglabā vismaz 6 mēnešus;

27.3.

regulatīvās vides ietvaros tiek izmantots drošs datu iegūšanas un izplatīšanas risinājums paredzot drošu piekļuvi datiem, piekļuves kontroli un piekļuvju pārvaldību;

27.4.

regulatīvā vide, tiek darbināta vienā no valsts datu apstrādes mākonī esošajām mākoņdatošanas platformām;

27.5.

regulatīvajā vidē apstrādātie personas dati pirms to izmantošanas var tikt minimizēti, anonimizēti vai pseidonimizēti;

27.6.

tiek uzkrāta informācija par informācijas resursiem, programmatūru un citiem IKT risinājumiem un pakalpojumiem, kas tiek izmantoti mākslīgā intelekta risinājumu attīstībai izmantojot speciālo regulatīvo vidi;

27.7.

mākslīgā intelekta risinājums, kas tiek attīstīts regulatīvajā vidē, nedrīkst tikt izmantots produkcijas vidē, līdz tas ir pilnībā testēts un validēts, lai nodrošinātu atbilstību drošības, regulējošajām un kvalitātes prasībām;

27.8.

regulatīvajā vidē ir noteikta kārtība datu iegūšanai, datu sagatavošanai, izmantošanai, glabāšanai un iznīcināšanai;

27.9.

regulatīvajā vidē jāizstrādā incidentu pārvaldības kārtība un risku reģistra uzturēšana, atjauninot to vismaz reizi ceturksnī, nosakot pilnvarotas personas, kas atbild par incidentu un risku pārvaldību un mazināšanu.

28.

Regulatīvās vides informācijas sistēmu, iekārtu un procedūru drošību pārbauda un atzinumu par to sniedz eksperts, kurš iekļauts Centra apstiprinātajā ekspertu sarakstā.

29.

Centra apstiprinātajā ekspertu sarakstā iekļauj ekspertu, kurš atbilst šādām prasībām:

29.1.

tam ir tehniskas iespējas noteikt speciālās regulatīvās vides informācijas sistēmu, iekārtu un procedūru drošības atbilstību normatīvo aktu prasībām;

29.2.

tas ir juridiski un finansiāli neatkarīgs no speciālās regulatīvās vides nodrošinātāja;

29.3.

tam vai tā nodarbinātajam personālam ir nepieciešamās zināšanas informācijas sistēmu drošības audita jomā;

29.4.

tas nenodarbojas ar regulatīvās vides informācijas sistēmu un citu informācijas tehnoloģiju ražošanu un piegādi.

30.

Regulatīvās vides nodrošinātājs informāciju par 25. , 26. punktā noteikto prasību izpildi un to aprakstu iekļauj informācijas sistēmu, iekārtu un procedūru drošības aprakstā. Ja regulatīvās vides informācijas sistēmu, iekārtu un procedūru drošības apraksts mainās, tās nodrošinātājs nekavējoties iesniedz Centram grozījumus informācijas sistēmu, iekārtu un procedūru drošības aprakstā.

Ministru prezidents V. Uzvārds

Ministrs V. Uzvārds