Jaunumi

09 jūn
2019

Olga Veilande: Par Vispārīgas datu aizsardzības regulas prasību ieviešanu Latvijā

Sakārtota likumdošana un saprotami spēles noteikumi ir viens no veidiem kā veicināt uzņēmējdarbības vidi un produktivitāti privātajā un publiskajā sektorā. Līdz 2018.gada 25. maijam Latvijai, līdzīgi kā pārējām Eiropas Ekonomikās zonas dalībvalstīm, bija jāievieš Eiropas Parlamenta Vispārīgas datu aizsardzības regulas (Datu aizsardzības regula) prasības, taču joprojām nav apstiprināti kritēriji, pēc kādiem tiek noteikts, vai uzņēmumi izpilda Datu aizsardzības regulas prasības. Tirgū tiek piedāvātas apmācības datu aizsardzības speciālistiem, vienlaikus nav apstiprinātas sertifikācijas prasības pretendentiem, kuri vēlas iegūt datu aizsardzības speciālista tiesības. Lai gan Latvijā jau pirms Fizisko datu apstrādes likuma pieņemšanas bija izveidota starptautiski atzīta sertifikācijas sistēma, likums paredz jaunas sertifikācijas sistēmas izveidi un funkciju dublēšanos.

2016.gada 14. aprīlī Eiropas Parlaments pieņēma Vispārīgas datu aizsardzības regulu (Datu aizsardzības regula), nosakot divu gadu pārejas periodu, lai Eiropas Ekonomiskās zonas dalībvalstis varētu sagatavoties Datu aizsardzības regulas prasību pilnīgai ieviešanai līdz 2018.gada 25.maijam, un ļaujot tām izvēlēties vienu trim Datu aizsardzības regulas prasību ieviešanas mehānismiem:

  1. sertifikāciju veic kompetentā uzraudzības iestāde, kas Latvijā ir Datu Valsts inspekcija (turpmāk - DVI)
  2. nacionālā akreditācijas institūcija, kas Latvijā ir Latvijas Nacionālais akreditācijas birojs (Akreditācijas birojs)
  3. vai abas kopā.

            Visos gadījumos dalībvalstij jānodrošina, ka sertificējošai institūcijai ir nepieciešamā kompetence, un tā savos lēmumos ir neatkarīga un neietekmējama. 

            Latvijā Datu aizsardzības regulas prasību ieviešana bija ieilgusi, kā rezultātā Fizisko Datu apstrādes likums tika pieņemts 2018.gada 21.jūnijā ar pārejas periodu tikai 16 kalendārās dienas, kuru laikā iesaistītajām pusēm (Datu Valsts inspekcijai, Akreditācijas birojam, Sertifikācijas institūcijām, uzņēmumiem un iestādēm, kas ir pakļauti Datu aizsardzības likuma prasībām) bija jāapgūst Datu regulas un Datu Valsts inspekcijas prasības. Spriežot pēc Datu valsts inspekcijas tīmekļa vietnē pieejamās informācijas, Latvijā nav sertificētu datu aizsardzības speciālistu, nav arī izsniegts neviens sertifikāts, kas apliecinātu Datu aizsardzības regulas prasību ieviešanu Latvijā.

            Datu aizsardzības likumā ir noteikts, ka:

- Sertifikācijas institūciju novērtē, akreditē un uzrauga nacionālā akreditācijas institūcija atbilstoši starptautiskā standarta EN ISO/IEC 17065 ("Atbilstības novērtēšana. Prasības institūcijām, kas sertificē produktus, procesus un pakalpojumus”) un Datu valsts inspekcijas noteiktām prasībām un kritērijiem;

- Datu valsts inspekcijai ir tiesības veikt sertifikācijas procedūru un izsniegt datu sertifikātu, ja neviena institūcija nav akreditēta.

            Norādāms, ka, lai Akreditācijas birojs varētu akreditēt sertifikācijas institūcijas, ir nepieciešami akreditācijas kritēriji. Šobrīd akreditācijas kritēriji nav izstrādāti, kā rezultātā sertifikācijas institūcijas nevar sagatavoties akreditācijai, Akreditācijas birojs nevar novērtēt to kvalitātes pārvaldības sistēmu un kompetenci un pieņemt akreditācijas lēmumus. Tas pats attiecas arī uz uzņēmumiem un iestādēm -  uzņēmumiem nav zināmas sertifikācijas prasības, kuras ir iestrādājamas viņu kvalitātes pārvaldības sistēmās un kompetencēs. Ievērojot minēto, pastāv juridiski šķēršļi Datu aizsardzības regulas prasību izpildei.

            Lai Datu valsts inspekcija varētu veikt sertifikācijas procedūru, inspekcijai būs nepieciešams apgūt standarta LVS EN ISO/IEC 17065 prasības, izstrādāt visas nepieciešamās sertifikācijas procedūras, jāsaņem trešās puses apliecinājums par kompetences esamību LVASEN ISO/IEC 17065 jomā, veikt sertifikācijas institūciju kompetenču novērtēšanu un pieņemt sertifikācijas lēmumus - veidot paralēlu akreditācijas sistēmu, ko nevar uzskatīt par labu pārvaldību valsts pārvaldē. Akreditācijas birojam visas nepieciešamās akreditācijas procedūras jau ir izstrādātas, un personāls apmācīts.  Akreditācijas biroja kompetences atbilstību starptautiskajām prasībām ir atzinīgi novērtējusi Eiropas Akreditācijas kooperācija, parakstot Daudzpusējās atzīšanas līgumu. Tādēļ nebūtu lietderīgi veidot vēl vienu paralēlu sistēmu akreditācijas jomā, kas vēlāk būtu arī jāuztur. Par nelietderīgu ir uzskatāma arī likumā noteikto akreditēto/sertificēto institūciju saraksta izveidi un uzturēšanu Datu valsts inspekcijā. Akreditēto institūciju saraksts jau tiek uzturēts Akreditācijas birojā un ir publiski pieejams biroja tīmekļa vietnē.

            Likuma 21.panta otrajā daļā noteikta prasība, saskaņā ar kuru sertifikācijas institūciju akreditē, ja ir saņemts inspekcijas atzinums par sertifikācijas institūcijas atbilstību datu regulas 43.panta 2.punkta prasībām. Akreditācijas birojs novērtēšanas vizītēs jau būs pārliecinājies, vai institūcija izpilda vai neizpilda minētās prasības. Papildus norādāms, ka Regulā 765/2008 ir noteikts, ka Akreditācijas birojam savos lēmumos jābūt neatkarīgam un neietekmējamam, tādējādi likumā ir iestrādāts regulējums, kas ir pretrunā Regulas 765/2008 prasībām. Vienlaikus, Akreditācijas birojs savā darbā piesaista konkrētās jomas tehniskos ekspertus un, veicot atbilstības novērtēšanas institūciju kompetenču novērtēšanu, kā tehniskos ekspertus var piesaistīt pārstāvjus no Datu valsts inspekcijas, tādējādi nodrošinot vienotu pieeju Datu aizsardzības regulas prasību izpildes novērtēšanā, uzlabotu starpinstitucionālo sadarbību un veicinātu informācijas apmaiņu starp Akreditācijas biroju un Datu valsts inspekciju.

            Datu aizsardzības regulā ir noteikti gadījumi, kādos uzņēmumiem vai iestādēm jāpiesaista datu aizsardzības speciālisti. Fizisko Datu apstrādes likumā ir noteikts, ka datu aizsardzības speciālista pienākumus drīkst veikt persona, kura atbilst datu regulas 37. panta 5. punktā noteiktajiem kritērijiem, un kura ir nokārtojusi Datu valsts inspekcijas rīkoto kvalifikācijas eksāmenu. Norādāms, ka Datu aizsardzības regulā kritēriji personām, kuras drīkst veikt aizsardzības speciālista pienākumus, nav noteikti, tādi nav apstiprināti Ministru kabinetā un nav pieejami Datu valsts inspekcijas tiešsaistes vietnē. Regulā ir noteikts, ka datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus. Ievērojot minēto, ārējā normatīvajā aktā - MK noteikumos - ir nosakāmas prasības personām (piemēram, diploms konkrētajā jomā, darba pieredze konkrētajā jomā) personām, kuras vēlas pretendēt uz datu aizsardzības speciālista tiesību iegūšanu, līdzīgi kā tas, piemēram, ir noteikts būvinspektoru sertifikācijas gadījumā (https://likumi.lv/doc.php?id=268551).

            Fizisko datu apstrādes likumā ir noteikts, ka Datu aizsardzības speciālista kvalifikācijas eksāmenu drīkst organizēt tikai Datu valsts inspekcija. Papildus, likumā ir noteikts, ka pretendentu pieteikšanās kārtību, kvalifikācijas eksāmena saturu, norises un vērtēšanas kārtību, maksu par kvalifikācijas eksāmena kārtošanu un tās iekasēšanas kārtību, kā arī prasības profesionālās kvalifikācijas uzturēšanai nosaka Ministru kabinets.  Kopsakarā ar minēto, norādāms turpmāk minētais:

- līdz 01.06.2019. Ministru kabinetā vēl nav apstiprināts neviens ārējais normatīvais regulējums, kas būtu izdots uz Fizisku datu apstrādes likuma pamata. Datu valsts inspekcijas tīmekļa vietnē ir pieejams Datu aizsardzības speciālista kvalifikācijas un datu aizsardzības speciālistu saraksta uzturēšanas noteikumu 30.11.2018. projekts un ir izsludināta tā publiskā apspriešana. Ievērojot minēto, pastāv juridiski šķēršļi personām sertificēties datu aizsardzības jomā, kā rezultātā netiek nenodrošināta Datu aizsardzības regulas prasību izpilde.

- norādāms, ka Latvijā jau ir izveidota Eiropas līmenī atzīta personu sertificēšanas kārtība - to veic Akreditācijas birojā akreditētās atbilstības novērtēšanas institūcijas personu sertifikācijas jomā saskaņā ar starptautiskā standarta LVS EN ISO/IEC 17024 („Atbilstības novērtēšana. Vispārīgās prasības personu sertificēšanas institūcijām”) prasībām. Ja datu aizsardzības speciālistu sertifikāciju veiktu Akreditētās sertifikācijas institūcijas, tiktu ietaupīti ievērojami valsts budžeta līdzekļi, tiktu  atslogots darbs Datu valsts inspekcijā un tiktu radīta pievienotā vērtība, par kuru tiktu maksāti nodokļi. Vienlaikus, ja Datu valsts inspekcija vēlas paturēt tiesības sertificēt datu aizsardzības speciālistus, inspekcija var akreditēties Akreditācijas birojā, līdzīgi kā to ir izdarījis Būvniecības valsts kontroles birojs (BVKB, http://bvkb.gov.lv/lv/content/buvspecialistu-sertifikacija), vienlaikus tirgū darbojas arī privātās atbilstības novērtēšanas institūcijas, kas ir Akreditācijas birojā akreditētas būvspeciālistu sertifikācijas jomā.

            Fizisko datu apstrādes jomā ir šādas iesaistītās puses: Tieslietu ministrija, Datu valsts inspekcija (DVI), Ekonomikas ministrija, Latvijas Nacionālais akreditācijas birojs (LATAK),  Latvijas Nacionālā akreditācijas padome, akreditētas atbilstības novērtēšanas institūcijas, uzņēmēji un iestādes, kas ir pakļautas Datu aizsardzības regulas prasību ievērošanai. Katrai no iesaistītajām pusēm būtu jādeleģē noteikta atbildība, kas atbilst tās kompetencei: DVI izstrādā akreditācijas un sertifikācijas prasības, kuras apstiprina Ministru kabinets; LATAK novērtē atbilstības novērtēšanas institūciju tehnisko kompetenci atbilstībai Datu aizsardzības regulas un DVI izstrādātajiem kritērijiem personu un pakalpojumu sertifikācijas jomā; atbilstības novērtēšanas institūcijas sertificē datu aizsardzības speciālistus, uzņēmumus un iestādes pakalpojumus fizisko datu apstrādes jomā; DVI uzrauga, vai uzņēmumi un iestādes pilda regulas, likuma un MK noteikumu prasības. Minētais regulu prasību ieviešanas modelis atbilstības novērtēšanas jomā veiksmīgi darbojas jau kopš 1996.gada, kad tika pieņemts likums Par atbilstības novērtēšanu. No minētā var izsecināt arī starpinstitucionālas sadarbības trūkumu Datu aizsardzības regulas prasību ieviešanas laikā.

            Eiropas Parlamenta un Padomes regulu prasību ievērošana ir saistoša visām Eiropas Savienības (ES) dalībvalstīm, un gadījumos, kad ES dalībvalsts nepilda Līguma par Eiropas Savienību prasības, Eiropas Komisijai ir tiesības uzsākt pārkāpuma procedūru pret ES dalībvalsti. Ievērojot, ka Datu aizsardzības regulas prasības Latvijā vēl nav ieviestas, pastāv risks, ka pret Latviju var tikt uzsākta pārkāpumu procedūra, tādēļ nepieciešams nekavējoties jānovērš nepilnības pašreizējā ārējā normatīvajā regulējumā, kas atvieglotu akreditācijas un sertifikācijas procedūru un mazināto administratīvo slogu.

            Ievērojot minēto, steidzamības kārtā daļā par akreditāciju un sertifikāciju grozīt Fizisko personu apstrādes likumu vismaz par turpmāk minēto:

  • 21.panta pirmo daļu izteikt šādā redakcijā: “Sertifikācijas institūciju novērtē, akreditē un uzrauga nacionālā akreditācijas institūcija atbilstoši normatīvajiem aktiem par atbilstības novērtēšanu un saskaņā ar Ministru kabineta apstiprinātajām prasībām un kritērijiem”.
  • Likums Par atbilstības novērtēšanu nosaka, ka Akreditācijas birojs izdod administratīvos aktos. ievērojot minēto, birojs savos lēmumos drīkst atsaukties tikai uz tām prasībām, kas ir nostiprinātas ārējos normatīvajos regulējumos.
  • svītrot likuma 21.panta otro, ceturto, piekto, sesto un septīto daļu.
  • papildināt 21.pantu ar punktu, nosakot, ka gadījumos, kad sertifikācijas institūcijai  tiek atcelta akreditācija pēc institūcijas lūguma vai uz nacionālās akreditācijas institūcijas lēmuma pamata, sertifikācijas institūcija divu nedēļu lakā pēc akreditācijas atcelšanas sertifikācijas lietas nodod citai sertifikācijas institūcijai,  kas ir akreditēta datu aizsardzības jomā, par to informējot savus klientus un Datu valsts inspekciju. Ja citas akreditētas sertifikācijas nav, sertifikācijas lietas tiek nodotas Datu valsts inspekcijai.
  • noteikt, ka datu aizsardzības speciālistu sertifikāciju veic atbilstības novērtēšanas institūcijas, kas ir akreditētas nacionālajā akreditācijas institūcijā personu sertifikācijas jomā. Ministru kabineta noteikumos var noteikt, ka atbilstības novērtēšanas Sertifikācijas un eksaminācijas padomes darbā piedalās pārstāvis no Datu valsts inspekcijas. Ministru kabinets nosaka prasības personām, kas pretendē uz datu aizsardzības speciālista tiesībām. Noteikt, ka gadījumos, kad sertifikācijas institūcijai  tiek atcelta akreditācija pēc institūcijas lūguma vai uz nacionālās akreditācijas institūcijas lēmuma pamata, sertifikācijas institūcija divu nedēļu lakā pēc akreditācijas atcelšanas sertifikācijas lietas nodod citai sertifikācijas institūcijai,  kas ir akreditēta datu aizsardzības jomā, par to informējot savus klientus un Datu valsts inspekciju. Ja citas akreditētas sertifikācijas nav, sertifikācijas lietas tiek nodotas Datu valsts inspekcijai
  • likumā paredzēt sapratīgu pārejas periodu vismaz trīs mēnešu garumā
  • Darba Valsts inspekcijas pārstāvjiem sadarbībā ar Akreditācijas biroja ekspertiem izstrādā akreditācijas kritērijus un prasības pretendentiem uz datu aizsardzības speciālistu tiesībām. Svarīgi MK noteikumos paredzēt vismaz 6 mēnešu pārejas periodu, lai uzņēmumi, iestādes, atbilstības novērtēšanas institūcijas varētu apgūt un ieviest akreditācijas prasības, un Akreditācijas birojs novērtēt un akreditēt
  • Datu valsts inspekcija sagatavo uzņēmumu un iestāžu sarakstu, kurām Datu aizsardzības regulas un likuma prasības ir saistošas. Iegūtā informācija veicinās atbilstības novērtēšanas institūciju pieteikšanos akreditācijai.
  • Informēt uzņēmumus, iestādes, atbilstības novērtēšanas institūcijas par akreditācijas un sertifikācijas prasībām un plānotām darbībām Datu valsts inspekcijas un Akreditācijas biroja tīmekļa vietnēs, konsultatīvajās padomes, Latvijas vēstnesī, utt.

    Šajā rakstā ir atspoguļots partijas "Latvijas attīstībai" biedres Olgas Veilandes privātais viedoklis.

    Partija "Latvijas attīstībai" ir klasiski liberāla, Rietumu izvēles partija, kas apvieno rīcībspējīgus un profesionālus cilvēkus, kuri ir gatavi uzņemties atbildību un īstenot valsts attīstībai un izaugsmei
    nepieciešamās reformas. Mūsu valsts iedzīvotāju labklājība un vēlme saistīt savu nākotni
    ar Latviju ir svarīgākais rādītājs, kuru mēs izvirzām, vērtējot īstenojamās politikas
    rezultātus.