Isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu
| Dokumendiregister | Tallinna linn |
| Viit | 6-6/25/1346-2 |
| Registreeritud | 02.01.2026 |
| Sünkroonitud | 16.05.2026 |
| Liik | Väljasaadetud kiri |
| Funktsioon | |
| Sari | |
| Toimik | |
| Juurdepääsupiirang | Avalik |
| Adressaat | Eesti Linnade Ja Valdade Liit |
| Saabumis/saatmisviis | Eesti Linnade Ja Valdade Liit |
| Vastutaja | Tallinna Linnakantselei |
| Originaal | Ava uues aknas |
Failid
Digiallkirjad
2
Vabaduse väljak 7
15199 Tallinn+372 661 9860, 14 410
[email protected]Rg-kood
75014920tallinn.ee
Teie: 17.12.2025 nr 2-3/223-1
Eesti Linnade Ja Valdade Liit
Meie: 02.01.2026 nr 6-6/1346 - 2
Ettepanekud isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ja innovatsiooni korralduse seaduse muutmise eelnõule
Tänan võimaluse eest esitada seisukoht isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ja innovatsiooni korralduse seaduse muutmise eelnõule. Tutvusime dokumendiga ning edastan Tallinna ettepanekud eelnõule.
1. Isiku põhiõiguste kaitse andmete töötlemisel. Eelnõus on IKS §-ga 6 seoses viidatud, et paraneb isikute põhiõiguste kaitse andmete töötlemisel. Selgitamist vajab, milles seisneb eelnõu kohaselt isikute põhiõiguste parem kaitse. Eelnõu kohaselt puudub isikutel sisuliselt põhiseaduse §is 19 sätestatud enesemääramisõigus: kui isik on oma andmed riigile või avalikule sektorile näiteks teenuse saamiseks juba edastanud, ei ole tal võimalik keelduda nende andmete kasutamisest teistsugustel eesmärkidel, ei isikustatud ega isikustamata kujul. See kehtib sõltumata andmete liigist, hõlmates nii tavalisi kui ka eriliigilisi isikuandmeid. Praegu kehtivad eetikanõuded näevad ette, et uuringutes ja sarnastes tegevustes osalemine on vabatahtlik. Eelnõus selline vabatahtlikkuse põhimõte aga puudub.
2. Hallatava asutuse mõiste. IKS § 6 lõike 2 kohaselt võib ka kohaliku omavalitsuse asutuse, nende hallatav asutus teha isiku nõusolekuta uuringuid ja analüüse täites IKS § 6 lõikes 1 sätestatud nõuded. Täpsustamist vajab, kas hallatavate asutuste all peetakse silmas ka haridusasutusi, näiteks gümnaasiume? Sellisel juhul tõusetub küsimus, kas nn uurimistööde raames oleks võimalik koguda andmeid kaasõpilaste usuliste veendumuste või poliitiliste eelistuste kohta eeldusel, et seaduses sätestatud nõuded on täidetud. Samas võib gümnaasiumiõpilase ja isegi kooli jaoks kogu seaduses ette nähtud menetluse ja nõuete täitmine osutuda keerukaks.
3. Andmekaitse Inspektsiooni roll. IKS § 6 lõike 5 kohaselt teavitab uuringu tegija enne isikuandmete töötlemist uuringust, selle eesmärkidest ning töödeldavatest andmetest Andmekaitse Inspektsiooni. Võrreldes kehtiva õigusega on eelnõus Andmekaitse Inspektsiooni rolli muudetud selliselt, et see piirdub peamiselt seire ja eelkontrollidega ega hõlma võimalust andmetöötlust ennetavalt keelata.
Kuigi selline lähenemine vähendab nn loamenetluste kaotamise kaudu bürokraatiat, võib see praktikas kaasa tuua olukordi, kus võimalik kahju andmesubjektile on tekkinud juba enne järelevalvemeetmete rakendamist ning rikkumistele reageeritakse alles kaebuse või muu järelevalvemenetluse käigus.
Seetõttu tuleks eelnõus kaaluda Andmekaitse Inspektsioonile võimaluse andmist peatada uuringu läbiviimine kohe teate saamisel seniks kuni isikute kaitseks on rakendatud piisavad meetmed.
4. Andmekogude põhimäärused. IKS § 6 lõike 9 kohaselt ei pea vastutav töötleja järgima sama paragrahvi lõike 3 punktides 1–3 ning lõigetes 5 ja 7 sätestatud nõudeid juhul, kui uuringu tegija töötleb käesolevas paragrahvis sätestatud eesmärkidel isikuandmeid ühe andmekogu piires, mille vastutavaks töötlejaks ta ise on.
Kui andmeid töödeldakse andmekogus, mille vastutav töötleja on uuringu läbiviija, tekib küsimus, kas uuringute ja analüüside tegemine peaks olema reguleeritud ka andmekogu põhimääruses.
Samuti ei ole piisavalt selge, kuidas tagatakse andmesubjektide jaoks läbipaistvus seoses andmete töötlemisega uuringute eesmärgil. Vähemalt eelnõu seletuskirjas võiks olla viidatud, et andmekogude põhimäärustes tuleks ette näha andmete kasutamine uuringuteks ja analüüsideks. Kehtiv eelnõu piirdub üksnes üldiste nõuete sätestamisega, mille sisustamine jääb igal konkreetsel juhul uuringu läbiviija ülesandeks, ega taga seeläbi piisavat läbipaistvust, sh arusaama sellest, et andmeid kasutatakse ka teistel eesmärkidel, kui see andmesubjekti jaoks eeldatav on.
5. Andmetöötlussüsteem. IKS §is 61 sätestatakse nõuded andmetöötlussüsteemile, kuid eelnõust ei selgu, millistele konkreetsetele tingimustele see süsteem vastama peab. Samuti jääb ebaselgeks, millisele regulatsioonile eelnõus viidatakse. Tekib küsimus, kas tegemist on andmekoguga AvTS tähenduses ning kas sellel süsteemil peab olema põhimäärus. Kui mitte, siis ei ole selge, kuidas tagatakse andmesubjektide jaoks läbipaistvus ning muud isikuandmete kaitse üldmääruses sätestatud õigused.
6. Logide säilitamine. IKS § 61 lõike 3 kohaselt kustutatakse uuringu käigus töödeldavad andmed andmetöötlussüsteemist pärast uuringu valmimist ja uurimistulemuste valideerimist. Logid kustutatakse üks aasta pärast uuringu käigus töödeldavate andmete kustutamist.
Kui logisid säilitatakse üksnes ühe aasta jooksul, kuid väärteo aegumistähtaeg on viis aastat, tekib küsimus, kuidas saavad uuringute läbiviijad tõendada andmetöötluse õiguspärasust olukorras, kus kaebus esitatakse näiteks kolm aastat pärast andmetöötluse toimumist.
7. Andmetöötlussüsteemi infoturbe standardid. IKS § 61 lõikes 4 on sätestatud, et valdkonna eest vastutav minister võib määrusega kehtestada andmetöötlussüsteemis andmete töötlemisele täiendavad tehnilised ja korralduslikud turvanõuded. Avaliku sektori puhul võiks eelnõus olla selgesõnaline viide EITS-i kohustuslikule rakendamisele sellise süsteemi turbe tagamisel. Erasektori puhul võiks olla ette nähtud vähemalt vastava ISO sertifikaadi nõue.
8. Tehisaru kasutamine uuringute läbiviimisel. Seletuskirjas on märgitud: „Tehisaru arendamist tuleb seega käsitleda ühe osana laiemast teadus- ja arendustegevusest, millele IKÜM annab selge õigusliku aluse – nii arendus-, treening-, valideerimis- kui ka testimisfaasis.“ See seisukoht võiks olla selgemalt kajastatud ka seaduse tekstis, kuna eelnõu praeguses sõnastuses jääb vastav regulatsioon võrdlemisi ebamääraseks. Samuti oleks abiks vähemalt allmärkusena viide IKÜM-is sätestatud „selgele õiguslikule alusele“. Lisaks tuleks tehisaru eripärasid arvestades selgemalt määratleda piirid tehisaru kasutamisel isikuandmete analüüsimisel.
9. Jätku-uuringud. Eelnõus puudub nn jätku-uuringute käsitlus. Ei ole selge, kas uuring, mille käigus võrreldakse sama valimi andmeid pikema ajavahemiku jooksul (nt 25 aastat ning igal aastal toimub 3-5 konkreetset osauuringut), on eelnõu mõistes käsitatav ühe uuringuna ning kas sellisel juhul võib kogu valim säilida andmetöötlussüsteemis aastaid.
Näiteks paneeluuringute puhul võib andmete kogumine ja analüüs kesta kümneid aastaid, mistõttu vajab selliste uuringute käsitlus eelnõus täpsemat selgitamist.
10. Andmete koosseisu määratlemine. Seni on nii Justiits- ja Digiministeerium kui ka Andmekaitse Inspektsioon PS § 26 kohaldamisel rõhutanud vajadust isikuandmete koosseisu selge määratlemise järele seaduse tasandil. Eelnõus selline määratlus puudub. Samas on arusaadav, et kõigi tulevikus võimalike andmetöötluste konkreetseid isikuandmete koosseise ei ole alati võimalik ette näha. Sellest hoolimata oleks oluline, et sarnastes olukordades kohaldataks õigusloomes ühtseid põhimõtteid ning andmete koosseisu määratlemise lähenemine oleks läbivalt ühesugune.
11. Kohaliku omavalitsuse korralduse seadus. Riigikogus on teisel lugemisel Kohaliku omavalitsuse korralduse seaduse ja sellega seonduvate seaduste muutmise seaduse eelnõu (688 SE). Nimetatud seaduse § 31 lõige 3 tuleks IKS § 6 muudatuste jõustumisel kehtetuks tunnistada. Vastasel juhul jääb kohalike omavalitsuste võrdse kohtlemise põhimõte sisuliselt deklaratiivseks, kuna vastavad piirangud tulenevad jätkuvalt KOKSist. Lisaks on KOK-i menetluse käigus korduvalt rõhutatud, et tegemist on nn vahepealse lahendusega kuni IKSi jõustumiseni. KOKS § 31 lõige 3 on sõnastatud järgmiselt:
„Valla või linna ametiasutusel ja ametiasutuse hallataval asutusel on õigus teha poliitika kujundamiseks analüüse ja uuringuid. Kui analüüsi või uuringu tegemiseks on vaja saada teise vastutava või volitatud töötleja andmekogudest isikuandmeid, sealhulgas pseudonüümitud andmeid, hindab Andmekaitse Inspektsioon enne andmekogu vastutavale töötlejale taotluse esitamist avaliku huvi olemasolu, andmete töötlemise eesmärki, andmekoosseisu minimaalsust ja andmete säilitamise vajadust. Andmekogust isikuandmete väljastamise otsustab andmekogu vastutav töötleja, võttes arvesse Andmekaitse Inspektsiooni hinnangut.“
12. Tehisintellekti määrus. Seletuskirjas viidatakse jõustuvale tehisintellekti määrusele, kuid käesolevaks ajaks on nimetatud määrus juba jõustunud.
Lugupidamisega
(allkirjastatud digitaalselt)
Evelyn Tohvri
linna õigusteenistuse
õigusloome osakonna juhataja
Kristina Brandt-Kure
640 4145 [email protected]