Saeimas Izglītības, kultūras un zinātnes komisija (turpmāk – Komisija) 2022. gada 11. aprīļa vēstulē Nr. 142.9/5-23-13/22 (turpmāk – vēstule) aicināja Ministru kabinetu rast risinājumu, lai valsts pārvaldē katrai darbībai, kas saistīta ar valsts informācijas sistēmās pieejamo datu nodošanu no vienas valsts iestādes citai, nebūtu jāveic attiecīgi grozījumi likumos.
Vēstulē Komisija cita starpā ir paskaidrojusi, ka datu apmaiņa starp valsts iestādēm ir nepieciešama, lai nodrošinātu tām noteikto funkciju īstenošanu, turklāt minētā datu apmaiņa bieži vien ir arī maksas pakalpojums, valsts iestādēm slēdzot savstarpējus līgumus par datu nodošanu un tādējādi valsts budžeta līdzekļus pārskaitot no vienas valsts iestādes citai. Līdz ar to Komisijas ieskatā nav efektīvi, ka valsts pārvaldē viena iestāde datus otrai var nodot, tikai pamatojoties uz likumā noteiktu deleģējumu. Piemēram, Igaunijā datu apmaiņas procesam valsts pārvaldes iestādēm likumā noteiktas tiesības pieejai atbilstošajiem valsts informācijas sistēmā esošajiem datiem atkarībā no to funkcijām.
Vēršam uzmanību, ka tiesības uz personas datu aizsardzību ir uzskatāmas par personas pamattiesībām. Latvijas Republikas Satversmes (turpmāk – Satversme) 96. pants paredz, ka ikvienam ir tiesības uz privātās dzīves, mājokļa un korespondences neaizskaramību. Arī starptautiskajos cilvēktiesību dokumentos šīs pamattiesības formulētas līdzīgi. Tā, piemēram, Eiropas Cilvēka tiesību un pamatbrīvību aizsardzības konvencijas (turpmāk – Konvencija) 8. pantā un Eiropas Savienības Pamattiesību hartas 7. pantā ir noteiktas tiesības uz privātās un ģimenes dzīves, dzīvokļa un korespondences neaizskaramību. Tiesības uz savu personas datu aizsardzību noteiktas minētās hartas 8. pantā, paredzot, ka šādi dati ir jāapstrādā godprātīgi, noteiktiem mērķiem un ar attiecīgās personas piekrišanu vai ar citu likumīgu pamatojumu, kas paredzēts tiesību aktos. Turklāt ikvienam ir pieejas tiesības datiem, kas par viņu savākti, un tiesības ieviest labojumus šajos datos.
Ievērojot minēto, regulējumam, kas ietekmē personas tiesību uz savu personas datu aizsardzību, tostarp datu nodošanu un apmaiņu starp valsts iestādēm, ir jāatbilst visiem kritērijiem, kas normatīvajos aktos un tiesu praksē noteikti attiecībā uz jebkuru pamattiesību ierobežojumu noteikšanu.
Vērtējot personu pamattiesību ierobežošanas aspektu kontekstā ar valsts informācijas sistēmās apstrādājamiem personas datiem, secināms, ka vienmēr būs jāvērtē un jāpamato Satversmes 96. pantā noteikto tiesību uz privātās dzīves neaizskaramību ierobežošanas tiesiskums. Satversmes tiesa jau vairākos spriedumos ir definējusi specifiskus priekšnosacījumus, uz kuriem būtu jābalsta rūpīgs šāda ierobežojuma pamatotības izvērtējums[1]. Tādējādi tiesības uz privātās dzīves neaizskaramību var ierobežot, ja šāds ierobežojums ir noteikts ar pienācīgā kārtībā pieņemtu likumu, tam ir leģitīms mērķis un tas ir samērīgs.
Ņemot vērā minēto, kā arī apstākli, ka leģitīmā mērķa noteikšana, kā arī pamattiesību ierobežojuma samērīguma izvērtējums ir likumdevēja atbildība, secināms, ka Saeima kā likumdevējs ir institūcija, kas var lemt, vai likumā ietvertajam pamattiesību ierobežojumam ir leģitīmais mērķis, šī mērķa (ne)sasniegšanu nevar panākt ar indivīda tiesības mazāk ierobežojošiem līdzekļiem, kā arī ar citiem ar samērīguma principu saistītiem aspektiem.
Attiecībā uz personas datu apstrādes jomu paskaidrojam, ka arī Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) noteic vairākus nosacījumus likumīgai personas datu apstrādei. Tā, piemēram:
- datu subjekta piekrišana (Datu regulas 6. panta 1. punkta a) apakšpunkts);
- apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas (Datu regulas 6. panta 1. punkta b) apakšpunkts);
- apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu (Datu regulas 6. panta 1. punkta c) apakšpunkts);
- apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras (Datu regulas 6. panta 1. punkta e) apakšpunkts).
Turklāt gadījumos, kad tiek apstrādāti īpašu kategoriju personas dati, papildus kādam no Datu regulas 6. punkta ietvertajam tiesiskajam pamatam nepieciešams nodrošināt arī minētās regulas 9. panta 2. punktā ietverto nosacījumu izpildi.
Savukārt gadījumos, kad, piemēram, personas datu apstrādes likumiskais pamats ir uz pārzini attiecināms juridisks pienākums vai uzdevums, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, kas lielākoties ir tajos gadījumos, kad runa ir par valsts informācijas sistēmu darbību, tad saskaņā ar Datu regulas 6. panta 3. punktu personas datu apstrādes nolūku nosaka tiesību aktā. Tālāk minētajā tiesību normā ir norādīts, ka tiesību aktā var būt ietverti konkrēti noteikumi, lai pielāgotu šīs regulas noteikumu piemērošanu, cita starpā vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; un apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, un citi nosacījumi.
Līdz ar to secināms, ka Datu regula skaidri neparedz, kāda līmeņa normatīvajā aktā jānorāda konkrēti, skaidri un leģitīmi personas datu apstrādes nosacījumi. Turklāt Datu regula paredz, ka tos var noteikt normatīvajā aktā, nevis obligāti jānosaka. Ņemot vērā minēto, šis jautājums ir vērtējams kontekstā ar Satversmes tiesas praksē nostiprinātajām atziņām par to, kādi jautājumi, ierobežojot pamattiesības, ir regulējami tieši likumdevēja pieņemtajā tiesību aktā.
Gadījumos, kad tieši likumā ir noteikti nosacījumi par valsts informācijas sistēmas darbību, tostarp uzskaitīts šajā sistēmā ietveramo datu apjoms, kā arī valsts institūcijas, kurām ir tiesības šos datus saņemt (saņēmēji), tad ar Ministru kabineta noteikumiem vai starpresoru vienošanos šos nosacījumus nav iespējams paplašināt vai mainīt bez attiecīgo grozījumu izdarīšanas likumā, kā arī nav pieļaujamas situācijas, kad valsts informācijas sistēma uzkrāj lielāku datu apjomu, nekā to paredz konkrētas valsts informācijas sistēmas darbību regulējošais likums, vai arī valsts iestāde nodrošina piekļuves tiesības datiem tām valsts iestādēm, kurām to neparedz konkrētas valsts informācijas sistēmas darbību regulējošais likums.
Aktualizējot jautājumu par valsts iestāžu savstarpējo personas datu apmaiņu, tostarp konsultējoties ar Datu valsts inspekciju, konstatējams, ka šobrīd pastāvošā kārtība paredz, ka starpresoru vienošanās nosaka veidu, kanālu, atsevišķos gadījumos konkretizē datu apjomu un piekļuves tiesības, bet iestāžu funkcijas kā tādas tiek noteiktas likumos. Piemēram, iestāde veic administratīvā pārkāpumu procesu atbilstoši Administratīvās atbildības likumam un šīs funkcijas izpildei tai ir nepieciešami dati no attiecīgā reģistra par personas vārdu, uzvārdu, personas kodu, adresi vai arī citi dati, kas nepieciešami Administratīvās atbildības likuma izpildei. Administratīvās atbildības likums pamatā nedefinē konkrētu datu apjomu, bet ir nepārprotami skaidrs, ka visi minētie dati ir nepieciešami. Šādos gadījumos, slēdzot starpresoru vienošanos, tiek konkretizēts datu apjoms, savukārt, ja likums noteic, ka ārstniecības personu reģistrs satur konkrētus datus, – piemēram, vārds, uzvārds, personas kods un sertifikāta numurs, ar starpresoru vienošanos var operēt tikai ar likumā noteikto datu apjomu un nedrīkst pieprasīt citus datus, piemēram, fiziskās personas dzīvesvietas adresi. Šādā gadījumā, lai varētu pieprasīt datus, piemēram, par personas dzīvesvietu, ir veicami attiecīgi grozījumi likumā. Ņemot vērā, ka šāda personas datu apmaiņa rada riskus personu pamattiesībām, tostarp tiesībām uz personas datu aizsardzību, datu nodošana, pamatojoties tikai uz starpresoru vienošanos, gadījumos, ja jautājumi par datu nodošanu nav skaidri noregulēti normatīvajā aktā, var radīt personu pamattiesību pārkāpuma riskus.
Vienlaikus vēršam uzmanību, ka aktuāls ir arī jautājums, kādus tieši nosacījumus nepieciešams regulēt likuma līmenī un kādus – Ministru kabineta noteikumu līmenī vai arī pašvaldību saistošajos noteikumos.
Lai risinātu minēto problemātiku, Datu valsts inspekcija šobrīd ir uzsākusi darbu pie vadlīniju izstrādes, kurās būs paredzēti skaidri un saprotami nosacījumi par to, kādi tieši elementi būtu norādāmi likumā vai Ministru kabineta noteikumos, kādi pašvaldību saistošajos noteikumos, kā arī kādi jautājumi būtu jāregulē, ja plānots apstrādāt datus valsts informācijas sistēmās. Pēc šī dokumenta izstrādes tas tiks nosūtīts visām valsts iestādēm.
Attiecībā uz valsts iestāžu sadarbību būtu paskaidrojams, ka Valsts pārvaldes iekārtas likuma 54. panta trešā daļa noteic, ka iestāžu sadarbība notiek bez maksas, ja ārējā normatīvajā aktā nav noteikts citādi. Līdz ar to konstatējams, ka iestāžu sadarbība atsevišķos gadījumos var arī nebūt bez maksas, ja tam ir objektīvs pamatojums, piemēram, gadījumos, kad iestādei nav paredzēti līdzekļi sadarbības nodrošināšanai valsts pārvaldē.
Par Igaunijas pieredzi datu apmaiņas tiesiskajā regulējumā raugāmies piesardzīgi. Pirmkārt, no Komisijas vēstules nevar viennozīmīgi secināt, vai ar minētās valsts tiesisko regulējumu par valsts iestāžu savstarpēju datu apmaiņu ir domāti arī personas datu jautājumi vai ne. Ja runa nav par personas datu jautājumiem, tad nesaskatām šķēršļus noteikt tiesību aktā vispārīgus informācijas apmaiņas nosacījumus, ņemot vērā to, ka jautājums neskars pamattiesības. Otrkārt, jāņem vērā, ka ārvalstu tiesiskā regulējuma pārņemšana var būt diezgan riskanta nacionālo valsts tiesību sistēmu īpatnību dēļ. Tā, piemēram, līdz galam nezinot citas valsts nacionālo judikatūru, tās attīstības tendences un citu tiesību avotu nozīmīgumu, kā arī sabiedrībā valdošo viedokli, var nepilnīgi vai pat aplami interpretēt attiecīgās ārvalsts tiesiskā regulējuma tiesību normas. Treškārt, turpinot par personas datu apstrādes jomu, jāņem vērā, ka salīdzinoši vēl nesen spēkā bija Datu aizsardzības direktīva (no 1995. gada līdz 2018. gadam), bet viens no būtiskākajiem iemesliem, kāpēc šī direktīva tika atcelta un pieņemta Datu regula, bija apstāklis, ka direktīvas netiek tieši piemērotas un tās nepieciešams transponēt Eiropas Savienības dalībvalstu nacionālajos normatīvajos aktos, kas savukārt rada šīm dalībvalstīm zināmu rīcības brīvību. Tādējādi faktiski izveidojās situācija, ka Eiropas Savienības dalībvalstu nacionālie normatīvie akti personas datu aizsardzības jomā tika atšķirīgi interpretēti, kā rezultātā tos nācās pārskatīt. Savukārt, ņemot vērā to, ka normatīvajiem aktiem personas datu aizsardzības jomā ir horizontāla ietekme, secināms, ka šis process ir laikietilpīgs un prasa lielu informācijas apstrādi, kā rezultātā var rasties situācijas, ka joprojām nav konstatēti vai izdarīti attiecīgi grozījumi tiesību aktos.
Papildus informējam, ka sabiedrības līdzdalībai tiesību aktu portālā ievietots informatīvā ziņojuma projekts ''Informācijas vienreizes principa nodrošināšana valsts pārvaldes pakalpojumos'' un Ministru kabineta rīkojuma projekts, kurā paredzēts ziņojumā norādītajām institūcijām līdz 2023. gada 1. martam iesniegt Vides aizsardzības un reģionālās attīstības ministrijai informāciju par nepieciešamās rīcības pasākumu izpildi un, lai paaugstinātu datu apmaiņas procesu efektivitāti, ja tas ir lietderīgi, pēc Valsts informācijas sistēmu savietotāja nākamās paaudzes risinājuma – Datu agregatora (turpmāk – DAGR) – projekta īstenošanas izveidot atbilstošas integrācijas ar DAGR platformu automatizētai un strukturētai datu apmaiņai, nodrošinot valsts informācijas sistēmās esošo datu pieejamību un automatizētu izmantošanu valsts pārvaldes pakalpojumos, nepieprasot datu subjektiem iesniegt tos atkārtoti, ne vēlāk kā līdz 2025. gada 1. decembrim.
[1] Satversmes tiesas 2019. gada 28. jūnija sprieduma lietā Nr. 2018-24-01 11. punkts; Satversmes tiesas 2015. gada 8. aprīļa sprieduma lietā Nr. 2014-34-01 14. punkts; Satversmes tiesas 2007. gada 16. maija sprieduma lietā Nr. 2006-42-01 11. punkts un 2018. gada 14. decembra sprieduma lietā Nr. 2018-09-0103 18. punkts.
Pielikumā: