| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/10086-15 |
| Registreeritud | 25.05.2026 |
| Sünkroonitud | 27.05.2026 |
| Liik | Õigusakti eelnõu |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2025 |
| Juurdepääsupiirang | Avalik |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kristel Niidas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Õiguspoliitika valdkond, Õiguspoliitika osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
1
EELNÕU
13.05.2026
Isikuandmete kaitse seaduse muutmise ja sellega seonduvalt teiste
seaduste muutmise seadus
§ 1. Isikuandmete kaitse seaduse muutmine
Isikuandmete kaitse seaduses tehakse järgmised muudatused:
1) paragrahv 6 muudetakse ja sõnastatakse järgmiselt:
„§ 6. Isikuandmete töötlemine teadus- ja ajaloouuringu ning statistika eesmärgil
(1) Isikuandmeid, sealhulgas eriliiki isikuandmeid, võib teadus- ja ajaloouuringu ning statistika
(edaspidi uuring) eesmärgil töödelda käesoleva seaduse §-des 6 ja 61 sätestatud tingimustel.
Käesoleva seaduse tähenduses loetakse teadusuuringuks ka avaliku sektori uuringut.
(2) Avaliku sektori uuring käesoleva seaduse tähenduses on põhiseadusliku institutsiooni,
Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku
omavalitsuse asutuse, nende hallatava asutuse, avalik-õigusliku juriidilise isiku ja tema
hallatava asutuse ning halduskoostöö seaduse alusel avalikke ülesandeid täitva eraõigusliku
juriidilise isiku tehtud analüüs ja uuring, mis on eesmärgipärases seoses asutusele õigusaktiga
pandud ülesandega.
(3) Uuringu eesmärgil võib isikuandmeid, sealhulgas eriliiki isikuandmeid, töödelda, kasutades
kaitset pakkuvat meedet, milles on tagatud kõik järgmised tingimused:
1) isikuandmed pseudonüümitakse või kasutatakse muud samaväärset kaitset pakkuvat meedet
enne isikuandmete edastamist uuringu tellijale;
2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada;
3) uuringu tulemus ega selle töötlemine ei tohi võimaldada tuvastada isikut, kelle isikuandmeid,
sealhulgas eriliiki isikuandmeid, töödeldi;
4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju.
(4) Kui käesoleva paragrahvi lõike 3 tingimused ei ole täidetud, on isikuandmete, sealhulgas
eriliiki isikuandmete töötlemine uuringuks lubatud üksnes juhul, kui on täidetud kõik järgmised
tingimused:
1) pärast tuvastamist võimaldavate andmete eemaldamist ei oleks andmetöötluse eesmärgid
enam saavutatavad või neid oleks ebamõistlikult raske saavutada;
2) uuringu tegemiseks on ülekaalukas avalik huvi;
3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi.
(5) Kui isikuandmeid töödeldakse käesoleva paragrahvi lõikes 4 sätestatud tingimustel, teavitab
uuringu tellija enne isikuandmete töötlemist Andmekaitse Inspektsiooni. Teavitus peab
sisaldama teavet uuringu tellija, uuringu eesmärkide, töödeldavate andmete, andmete allikate,
andmesubjekti õiguste võimalike piirangute ja käesoleva paragrahvi lõikes 4 sätestatud
tingimuste täitmise kohta. Andmekaitse Inspektsioon avaldab selle teabe oma veebilehel.
2
(6) Kui uuringus töödeldakse eriliiki isikuandmeid käesoleva paragrahvi lõikes 3 või 4
sätestatud tingimustel, kontrollib seadusega või selle alusel moodustatud asjaomase valdkonna
eetikakomitee enne uuringu alustamist nende tingimuste täitmist ja uuringu eetilisust. Uuringu
tellija teavitab käesoleva paragrahvi lõike 5 kohaselt Andmekaitse Inspektsiooni. Andmekaitse
Inspektsioon avaldab selle teabe oma veebilehel. Rahvusarhiivis säilitatavate isikuandmete
suhtes on eetikakomitee õigused Rahvusarhiivil.
(7) Tervishoiu ja sotsiaalkaitse valdkonna terviseandmeid võib töödelda käesolevas paragrahvis
sätestatud eesmärkidel üksnes käesoleva seaduse § 61 tingimustele vastavas
andmetöötlussüsteemis.
(8) Kui uuringu tellija töötleb käesolevas paragrahvis sätestatud eesmärkidel isikuandmeid ühe
andmekogu piires, mille vastutav töötleja ta on, peab ta järgima lõigete 2–4 tingimusi ega pea
järgima lõikes 5 ja 6 sätestatud nõudeid, kui seadusega ei ole sätestatud teisiti.
(9) Käesolevat paragrahvi ei kohaldata juhul, kui uuringu eesmärgid ja isikuandmete töötlemise
ulatus tulenevad seadusest.
(10) Kui isikuandmeid töödeldakse käesolevas paragrahvis sätestatud eesmärkidel, võib
andmestiku vastutav töötleja ja uuringu tellija Euroopa Parlamendi ja nõukogu määruse (EL)
2016/679 artiklites 16 ja 18 sätestatud andmesubjekti õigusi piirata niivõrd, kuivõrd nende
õiguste teostamine tõenäoliselt muudab võimatuks uuringu eesmärgi saavutamise või takistab
seda oluliselt.
(11) Käesoleva paragrahvi lõiget 10 kohaldatakse tingimusel, et andmestiku vastutav töötleja
ja uuringu tellija:
1) dokumenteerib kõik käesoleva paragrahvi lõike 10 alusel seatud piirangu põhjendused;
2) rakendab asjakohaseid meetmeid andmesubjekti õiguste ja vabaduste kaitsmiseks;
3) rakendab kõiki Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklis 32 sätestatud
sobivaid ja asjakohaseid turvameetmeid ning ei säilita andmeid isikustatud kujul kauem, kui
see on vajalik käesoleva paragrahvi lõikes 1 sätestatud eesmärgi täitmiseks;
4) rakendab sobivaid ja asjakohaseid meetmeid, millega tagatakse, et andmeid ei töödelda muul
eesmärgil kui käesoleva paragrahvi lõikes 1 sätestatud eesmärgi täitmiseks.“;
2) seadust täiendatakse §-ga 61 järgmises sõnastuses:
„§ 61. Uuringu eesmärgil isikuandmete töötlemine andmetöötlussüsteemis
(1) Käesoleva seaduse § 6 lõike 3 punktis 1 ning lõigetes 5 ja 6 sätestatud tingimusi ei pea
täitma, kui isikuandmeid, sealhulgas eriliiki isikuandmeid, töödeldakse andmetöötlussüsteemis,
mille puhul on täidetud käesoleva seaduse § 6 lõike 3 punktides 2–4 ja käesolevas paragrahvis
sätestatud tingimused.
(2) Andmetöötlussüsteemi pakkuja tagab:
1) asjakohaste tehniliste ja korralduslike meetmete kasutamise, mille abil minimeeritakse
andmetöötlussüsteemis töödeldavate andmete loata lugemise, kopeerimise, muutmise ja
kustutamise risk;
2) andmete kättesaadavaks tegemise üksnes andmetöötlussüsteemis töötlemiseks;
3
3) andmetöötlussüsteemi sellise teenuse osutamise, mis hõlmab andmete eeltöötlemist, et
uuringu tegijal oleks juurdepääs üksnes käesoleva seaduse § 6 lõike 3 punktis 1 nimetatud kujul
andmetele;
4) andmete sisestamise ja andmetöötlussüsteemis hoitavate andmete töötlemise ainult piiratud
arvu tuvastatavate volitatud isikute poolt;
5) uuringu tellija juurdepääsu ainult neile andmetele, mida on lubatud töödelda käesoleva
seaduse § 6 lõikes 1 nimetatud eesmärkidel;
6) töötlemistoimingute logide salvestamise;
7) andmete allalaadimise taotluste kontrollimise, et kasutajatel ei oleks võimalik
andmetöötlussüsteemist alla laadida andmeid, mis võimaldavad isikut tuvastada;
8) andmete töötlemise ainult Euroopa Majanduspiirkonna territooriumil.
(3) Uuringu käigus töödeldavad andmed kustutatakse andmetöötlussüsteemist pärast uuringu
valmimist ja uurimistulemuste valideerimist. Logisid säilitatakse üks aasta uuringu käigus
töödeldud andmete kustutamisest arvates.
(4) Valdkonna eest vastutav minister võib määrusega kehtestada täiendavad tehnilised ja
korralduslikud turvanõuded andmetöötlussüsteemile.
(5) Enne andmetöötlussüsteemi esmast kasutuselevõttu kontrollib Andmekaitse Inspektsioon
käesoleva paragrahvi lõigetes 2–4 sätestatud tingimuste täitmist. Andmekaitse Inspektsioonil
on õigus kaasata kontrollimisse Riigi Infosüsteemi Amet. Andmekaitse Inspektsioon avaldab
loetelu kontrollitud andmetöötussüsteemi pakkujatest oma veebilehel.
(6) Käesoleva paragrahvi lõikes 1 sätestatud andmetöötlussüsteemi pakkuja kontrollib vähemalt
kord aastas andmetöötlussüsteemi nõutele vastavust ning edastab kontrolli aruande
Andmekaitse Inspektsioonile.
(7) Kui käesolevas paragrahvis sätestatud tingimused on täidetud, ei kohaldata käesoleva
seaduse § 6 lõikeid 5 ja 6, kui seadusega ei ole sätestatud teisiti.“.
§ 2. Kohaliku omavalitsuse korralduse seaduse muutmine
1) paragrahvi 311 lõige 3 tunnistatakse kehtetuks;
2) paragrahvi 312 kolmas lause tunnistatakse kehtetuks;
3) paragrahvi 32 lõike 11 esimesest lausest jäetakse välja tekstiosa „ja kes ei kanna kohtu poolt
kuriteos süüdi mõistetuna karistust kinnipidamiskohas“.
§ 3. Riikliku statistika seaduse muutmine
1) paragrahvi 6 lõiget 4 täiendatakse teise lausega järgmises sõnastuses:
„Statistilise registri andmete vastutav töötleja on riikliku statistika tegija.”;
2) paragrahvi 31 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Riikliku statistika tegijal on õigus riikliku statistika raames töödelda isikuandmeid Euroopa
Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete
töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise
kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88) ettenähtud alustel ja
4
korras. Isikuandmeid võib riikliku statistika vajadusteks töödelda eelkõige pseudonüümitud või
samaväärset andmekaitse taset võimaldaval kujul.“;
3) paragrahvi 31 lõiked 2–4 tunnistatakse kehtetuks;
4) paragrahvi 31 täiendatakse lõigetega 5–9 järgmises sõnastuses:
„(5) Depseudonüümimine või muu viis, millega isikut mittetuvastavad andmed muudetakse
uuesti isikut tuvastavaks, on lubatud ainult riikliku statistika vajadusteks.
(6) Riikliku statistika vajadusteks andmete töötlemine andmesubjekti tuvastamist võimaldaval
kujul on lubatud üksnes juhul, kui on täidetud järgmised tingimused:
1) pärast tuvastamist võimaldavate andmete eemaldamist ei ole andmetöötluse eesmärgid enam
saavutatavad või neid oleks ebamõistlikult raske saavutada;
2) riikliku statistika tegija hinnangul on selleks ülekaalukas avalik huvi;
3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi.
(7) Riikliku statistika tegija võib Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679
artiklites 15, 16, 18 ja 21 sätestatud andmesubjekti õigusi piirata niivõrd, kuivõrd nende õiguste
teostamine tõenäoliselt muudab võimatuks riikliku statistika eesmärgi saavutamise või takistab
seda oluliselt.
(8) Käesoleva paragrahvi lõiget 7 kohaldatakse tingimusel, et riikliku statistika tegija:
1) dokumenteerib kõik käesoleva paragrahvi lõike 9 alusel seatud piirangu põhjendused;
2) rakendab asjakohaseid meetmeid andmesubjekti õiguste ja vabaduste kaitsmiseks;
3) rakendab kõiki Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklis 32 sätestatud
sobivaid ja asjakohaseid turvameetmeid ning ei säilita andmeid isikustatud kujul kauem, kui
see on vajalik käesoleva paragrahvi lõikes 1 sätestatud eesmärgi täitmiseks;
4) rakendab sobivaid ja asjakohaseid meetmeid, millega tagatakse, et andmeid ei töödelda muul
eesmärgil kui käesoleva paragrahvi lõikes 1 sätestatud eesmärgi täitmiseks.
(9) Riikliku statistika tegija töötleb kõiki isikuandmeid, mida kogutakse käesoleva paragrahvi
lõikes 1 nimetatud õiguslikul alusel, sealhulgas eriliiki isikuandmeid. Riikliku statistika
tegemiseks kogutud isikuandmeid säilitatakse, kuni see on vajalik riikliku statistika tegemiseks,
statistika kvaliteedinõuete täitmiseks, metoodilise järjepidevuse tagamiseks või statistikatööd
reguleerivast õigusaktist tulenevate kohustuste täitmiseks. Riikliku statistika tegemiseks
kogutud andmete täpne säilitustähtaeg määratakse asjakohases õigusaktis. Säilitustähtaja
lõppemisel isikuandmed kustutatakse.“;
5) paragrahvi 34 lõige 6 tunnistatakse kehtetuks.
§ 4. Teadus- ja arendustegevuse ning innovatsiooni korraldamise seaduse muutmine
Teadus- ja arendustegevuse ning innovatsiooni korraldamise seaduse § 19 lõikes 6 ja § 26 lõikes
1 asendatakse arv„4“ arvuga „6“.
Lauri Hussar
Riigikogu esimees
Tallinn, … ……………2025
5
__________________________________________________________________________
Algatab Vabariigi Valitsus … ……………2025
(allkirjastatud digitaalselt)
1
Isikuandmete kaitse seaduse muutmise ja sellega seonduvalt teiste
seaduste muutmise seaduse eelnõu seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõuga muudetakse isikuandmete kaitse seaduse § 6, mis käsitleb olukordi, kus isikuandmeid
kasutatakse teadusuuringutes, ajaloouuringutes või riikliku statistika koostamisel. Alates 2018.
aastast kehtib Euroopa Liidus isikuandmete kaitse üldmäärus (IKÜM)1, mis näeb ette, kuidas
isikuandmeid tohib töödelda. Kuigi see määrus kehtib otse kõigis Euroopa Liidu riikides, on
liikmesriikidel lubatud mõnes valdkonnas täpsustada, kuidas andmeid töödelda. Eestis on seda
tehtud isikuandmete kaitse seadusega (IKS). IKS § 6 on just see osa seadusest, mis näeb ette,
millal ja kuidas tohib isikuandmeid inimese nõusolekuta kasutada teadus- ja ajaloouuringu ning
statistika vajadusteks.
Kehtiva õiguse kohaselt on isikuandmete kasutamine uuringute ja statistika tegemiseks
võimalik üksnes kindlatel tingimustel, kuid praktikas on nende tingimuste tõlgendamisel ja
rakendamisel tekkinud ebaselgust. Seetõttu on vaja täpsustada, kes ja millistel tingimustel võib
isikuandmeid uuringute tegemiseks kasutada. Näiteks praegu tohib avalik sektor uuringuid teha
ainult siis, kui need on seotud poliitika kujundamisega. See ei võimalda aga asutustel teha
analüüse näiteks teenuste arendamiseks. Uuringuid ja analüüse peaks saama teha ka muudel
eesmärkidel kui poliitika kujundamine.
Eelnõu eesmärk on suurendada õigusselgust, ühtlustada uuringute tegemise tingimusi eri
osapoolte jaoks ning võimaldada andmetel põhinevate uuringute, analüüside ja
arendustegevuse tegemist viisil, mis kaitseb andmesubjektide õigusi. Muudatusega nähakse ette
selgemad reeglid ja kaitsemeetmed – eelnõuga täpsustatakse, millised tingimused peavad olema
täidetud, et andmeid saaks kasutada uuringutes, tagades samas isikute põhiõiguste parema
kaitse. Muudatusega luuakse võimalus kiiremaks andmetöötluseks, kasutades eelnõus
sätestatud tingimustele vastavat andmetöötlussüsteemi. Muudatused puudutavad eelkõige neid,
kes teevad uuringuid ja analüüse (nt riigiasutused, teadusasutused, ettevõtjad), aga ka
andmekogude vastutavaid töötlejaid ning neid isikuid ja asutusi, kes plaanivad
andmetöötlussüsteemi pakkuma hakata. Muudatusega viiakse riikliku statistika tegemist
puudutavad sätted riikliku statistika seadusesse. Riikliku statistika tegemine on riikliku
statistika tegijale seadusega pandud ülesanne ning ülesande täitmist puudutavad sätted peavad
olema asutuse tegevust puudutavas eriseaduses.
Kavandatavate muudatuste tulemusel väheneb ettevõtjatel ja ülikoolidel halduskoormus
rakendus- ja teadusuuringute tegemisel. Halduskoormus väheneb eelkõige juhtudel, kus
uuringuid saab teha nõuetele vastavas andmetöötlussüsteemis ning seetõttu ei ole vaja läbida
kõiki seniseid kooskõlastusi ja hindamisi. Senisest selgemaks ja teatud juhtudel lihtsamaks
muutub isikuandmete töötlemine andmesubjekti nõusolekuta – eelkõige olukordades, kus
töödelda soovitakse eriliiki isikuandmeid, mille töötlemiseks on kehtiva korra kohaselt alati
vaja eetikakomitee hinnangut. Edaspidi võib andmetöötlussüsteemis isikuandmeid töödelda
eetikakomitee hinnanguta, eeldusel, et on täidetud IKS §-des 6 ja 61 sätestatud tingimused, st
1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel
ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.
2
isikuandmeid töödeldakse teadus- või ajaloouuringu või statistika eesmärgil, andmesubjekti
õigusi piiratakse ainult siis, kui nende rakendamine muudaks andmetöötluse eesmärgi
saavutamise võimatuks või takistaks seda oluliselt, ning andmeid töödeldakse võimaluse korral
pseudonüümitud kujul või viisil, mis ei võimalda isikut otseselt tuvastada. Eeldatavasti väheneb
ka eetikakomiteede halduskoormus.Muudatuste tulemusel muutuvad uuringute tegemise
tingimused kõigile osapooltele selgemaks ja ühtsemaks. See lihtsustab ja kiirendab uuringute
tegemist ning toetab andmepõhist poliitikakujundamist, avalike teenuste arendamist, mis
võimaldavad uuringuid ja analüüse teha ka muudel eesmärkidel kui poliitika kujundamine.
Samalajal tugevdatakse järelevalvet ja andmesubjektide õiguste kaitset, täpsustades AKI
teavitamise korda ning eetikakomitee rolli.
Kokkuvõttes on muudatuse eeldatav mõju positiivne: uuringute tegemine muutub kiiremaks ja
selgemaks, halduskoormus väheneb eelkõige ettevõtjatel, ülikoolidel ja eetikakomiteedel ning
andmesubjektide õiguste kaitseks nähakse ette täpsemad reeglid ja kontrollimehhanismid.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi õiguspoliitika osakonna
andmekaitseõiguse talituse nõunik Kristel Niidas ([email protected], 5305 5220).
Eelnõu normitehnilise kontrolli on teinud Justiits- ja Digiministeeriumi õiguspoliitika osakonna
õigusloome korralduse talituse nõunik Katariina Kärsten ([email protected]) ja
eelnõu on keeleliselt toimetanud sama talituse toimetaja Mari Koik ([email protected]).
1.3. Märkused
Eelnõu kohaselt muudetakse järgmisi seadusi:
isikuandmete kaitse seadus (IKS) avaldamismärkega RT I, 12.07.2025, 14;
teadus- ja arendustegevuse ning innovatsiooni korralduse seadus (TAIKS)
avaldamismärkega RT I, 12.07.2025, 1;
kohaliku omavalitsuse korralduse seadus (KOKS) avaldamismärkega RT I,
10.02.2026, 12;
riikliku statistika seadus (RStS) avaldamismärkega RT I, 11.03.2022, 2.
Eelnõu ei ole otseselt seotud teiste menetluses olevate eelnõudega ega Euroopa Liidu õiguse
rakendamisega. Eelnõu on seotud Vabariigi Valitsuse tegevusprogrammis2 seatud eesmärgiga,
tegevusprogrammi punktiga 402 (isikuandmete kaitse seaduse muutmine, et täpsustada teadus-
ja poliitika kujundamise uuringute ning tehnoloogia arenduse eesmärgil isikuandmete
töötlemise tingimus). Eelnõu vastuvõtmiseks on vajalik Riigikogu poolthäälteenamus.
2. Seaduse eesmärk
Eelnõu eesmärk on tagada õigusselgus, kes ja millistel tingimustel võivad töödelda
isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. On oluline, et kõigile
osapooltele, kellel on vaja isikuandmeid nimetatud eesmärgil töödelda, kohalduksid võrdsed
õigused ja kohustused, olgu selleks ülikool, üliõpilane, riigiasutus, kohalik omavalitsus (KOV)
2 Vabariigi Valitsuse 19. juunil 2025 kinnitatud tegevusprogramm. https://valitsus.ee/valitsuse-eesmargid-ja-
tegevused/valitsemise-alused/tegevusprogramm-0
3
või ettevõtja, kes soovib teha teadusuuringut või innovatsiooni. Samuti on eelnõu eesmärk
täpsustada kaitsemeetmeid, mida tuleb andmetöötlusel rakendada, et oleks tagatud
andmesubjektide õiguste kaitse. Eelnõu eesmärk on ka luua lahendus, mis võimaldab kiiremaid
protsesse nii klassikalises teaduses kui ka avalikus sektoris ja innovatsioonis, juhul kui
andmetöötluseks kasutatakse eelnõus ette nähtud tingimustele ja nõuetele vastavat
andmetöötlussüsteemi. Eelnõuga nähakse ette enne andmetöötlussüsteemi kasutuselevõttu
tehtav Andmekaitse Inspektsiooni (AKI) kontroll, selgitamaks välja, kas süsteem vastab
seaduses sätestatud tingimustele. Samuti nähakse teatud juhtudel ette kohustus AKI-t uuringust
teavitada, et oleks ülevaade, kes milliste andmetega ja millisel eesmärgil uuringuid teeb. Samuti
nähakse eelnõuga ette, et teatud juhtudel, kui uuringu eesmärki ei ole võimalik muul viisil
saavutada kui nii, et töödeldakse isikustatud andmeid, peab uuringu tellija enne uuringuga
alustamist läbima seadusega või selle alusel moodustatud valdkondliku eetikakomitee. Varem
on olnud ebaselgust, kelle poole peaks uuringu tegija pöörduma, kas eetikakomitee või AKI või
mõlema. Muudatusega luuakse selgus, millal tuleb pöörduda eetikakomiteesse ja millal piisab
AKI teavitamisest. Võrreldes varasemaga on täpsustatud, et eetikakomitee peab olema
moodustatud seadusega või selle alusel, kuna kehtiva seaduse kohaselt võiks eetikakomitee
luua põhimõtteliselt igaüks.
Eelnõuga muudetakse IKS § 6, mis on õiguslikuks aluseks isikuandmete töötlemisel, kui seda
on vaja teha teadus- või ajaloouuringu või statistika vajadusteks. 25. maist 2018 sätestab
isikuandmete kaitse õiguse otsekohalduv Euroopa Parlamendi ja nõukogu määrus (EL)
2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba
liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (IKÜM), mis tingis vajaduse
sel hetkel kehtinud riigisisene õigus üle vaadata. Kuigi IKÜM-i puhul on tegemist Euroopa
Liidu otsekohalduva õigusaktiga, on teatud küsimustes jäetud liikmesriikidele kaalutlusõigus
riigisisese õigusaktiga täpsustada IKÜM-is sätestatud isikuandmete töötlemisega seotud
küsimusi. IKS-iga loodi üldised raamid isikuandmete töötlemisele küsimustes, mis IKÜM-iga
on jäetud liikmesriigi otsustada. Tegemist on erandiga, mis tuleneb IKÜM-i artiklist 89. IKS §
6 põhineb ka IKÜM-i artikli 6 lõike 1 punktil e, mille kohaselt on liikmesriigil võimalik
õigusaktiga täpsustada avalikes huvides oleva ülesande täitmise aluseid. Teadus- ja
ajaloouuringud ning statistika on avalikes huvides olevad ülesanded.
IKS-i uue tervikteksti jõustumisest on möödas üle seitsme aasta ning selle aja jooksul on
selgunud mitu probleemi IKS § 6 tõlgendamisel ja rakendamisel. Eelnõuga täiendatakse IKS §
6 täiendavate kaitsemeetmetega. Sätestatakse täpsemad tingimused, millele andmetöötlus peab
vastama, et oleksid täidetud IKÜM-i nõuded ja andmesubjekti õigused oleksid kaitstud. Selleks,
et andmeid oleks võimalik teadustöös kasutada, nähakse ette, millised kaitsemeetmed on
piisavad, et võimaldada andmesubjekti nõusolekuta isikuandmete töötlemist teadusuuringutes.
Kehtiv IKS kitsendab ülemäära asutuste ringi, kellel on lubatud analüüse ja uuringuid teha.
Kehtiva seaduse kohaselt loetakse teadusuuringuks täidesaatva riigivõimu analüüsid ja
uuringud, mis tehakse poliitika kujundamise eesmärgil. On leitud, et ei ole otstarbekas asutuste
uuringute tegemise õigust siduda üksnes poliitika kujundamisega, asutustel on vaja analüüse ja
uuringuid teha ka muul otstarbel, nt teenuste arendamiseks jne. Eelnõuga luuakse selged
raamid, millised asutused võivad IKS § 6 alusel analüüse ja uuringuid teha.
Riigikantselei tellitud NJORD Advokaadibüroo analüüsis3 on käsitletud probleemi, et asutustel
ei ole võimalik teha kiireid andmepõhiseid otsuseid. Muudatus ühtlustab kõikide uuringute
3 L. Jürgen. Riigi andmekogu andmete ristkasutuse võimalused IKS vaates. Õigusanalüüs. Riigikantselei 2024.
https://riigikantselei.ee/sites/default/files/documents/2024-
4
tegemise tingimused. Uue lahendusena uuringu kiiremaks tegemiseks luuakse muudatusega
võimalus andmeid töödelda eelnõus ettenähtud tingimustele vastavas andmetöötlussüsteemis.
Luuakse võimalus uuringuid kiiremini teha, samas nähakse ette lisatingimused ja
kaitsemeetmed.
Euroopa Liidu terviseandmeruumi määruse4 kontekstis tuleb silmas pidada, et tegemist on
alternatiivse mehhanismiga terviseandmete töötlemiseks. Terviseandmeruumi määruse artikli
1 punktide 7 ja 8 kohaselt ei piira see määrus liikmesriigi õiguse erisätete kohaldamist. Määruse
põhjenduspunktis 52 selgitatakse lisaks, et määruse eesmärk on luua kogu liidus ühine
mehhanism juurdepääsuks elektroonilistele terviseandmetele teiseseks kasutuseks, ilma et see
takistaks või asendaks olemasolevaid lepingulisi kokkuleppeid või muid mehhanisme. Samas
tuleb silmas pidada, et määrus reguleerib tervishoiu ja sotsiaalvaldkonna spetsiifilisi andmeid,
mistõttu on eelnõus ka tingimus, et selliseid andmeid võib töödelda üksnes § 61 tingimustele
vastavas andmetöötlussüsteemis.
Muudatused mõjutavad eelkõige uuringu tellijaid. Muudatused on vajalikud, et kaasajastada ja
ühtlustada uuringu tegemise andmetöötluse tingimusi ning sätestada täiendavad
kaitsemeetmed, et andmesubjektide põhiõigused oleksid paremini kaitstud.
Muudatusega jäetakse seadusest välja seni riikliku statistika kohta käinud sätted. Edaspidi
kohalduks § 6 üldiselt igasugusele statistikatööle. Riikliku statistika tegijale pandud ülesannete
täitmiseks vajalike isikuandmete töötlemine tuleb muudatuse kohaselt ette näha valdkonda
reguleerivas seaduses. Seetõttu on vaja täiendada RStS-i nende sätetega, mis IKS § 6 muutmise
tulemusel kehtivast seadusest välja jääksid – sisuliselt tõstetakse kehtiva IKS-i vastavad normid
RStS-i. Lisaks kaasajastatakse nimetatud seadust tulenevalt Justiits- ja Digiministeeriumi
juhisest isikuandmete ja avaliku teabe töötlemise ning andmekogude reguleerimise kohta
eelnõudes5 (edaspidi JDM-i juhis).
Muudatuste kohta on koostatud seaduseelnõu väljatöötamise kavatsus (VTK)6. VTK kohta
märkuste esitajad on kirjas seletuskirja 10. osas. VTK-s pakuti välja kaks lahendust: esiteks, et
erinevatele uuringu tellijatele kehtivad erinevad tingimused; teiseks, et kõigi uuringu tellijate
suhtes võiks kehtida samasugune regulatsioon. Selleks, et regulatsioon oleks selge, üheselt
arusaadav ja võrdne kõigile osapooltele, on eelnõus valitud lahendus, et kõik uuringu tellijate
suhtes kehtivad tingimused on ühtlustatud. VTK kajastas tol hetkel veel jõustumata
regulatsiooni (mis praegu on jõustunud), mille kohaselt: kui uuringus töödeldakse isikuandmeid
kujul, mis ei vasta seaduses sätestatud tingimustele, ning seda tehakse kaitsemeetmeid
rakendamata, hindab n-ö tavalisi uuringuid eetikakomitee ja poliitika kujundamise uuringuid
AKI. Erinevalt VTK lisas välja pakutud eelnõust allutatakse siinse eelnõu kohaselt kõik
uuringud, mis tehakse eriliiki isikuandmetega, eetikakomitee hindamisele. Uuringutest, mis
tehakse isiku tuvastamist võimaldavate andmetega, mis ei ole eriliiki isikuandmed, on kohustus
teavitada AKI-t. Siinses eelnõus ette nähtud tööjaotust toetab ka IKÜM-i loogika, mille kohaselt
on AKI-l nõustamise ja järelevalve pädevus, kuid AKI ei anna lubasid andmetöötluseks.
10/240607%20IKS%20%C2%A7%206%20lg%205%20anal%C3%BC%C3%BCs%20ja%20normatiivteksdi%2
0ettepanek.pdf 4 Euroopa Parlamendi ja nõukogu määrus (EL) 2025/327, mis käsitleb Euroopa terviseandmeruumi ning millega
muudetakse direktiivi 2011/24/EL ja määrust (EL) 2024/2847 (EMPs kohaldatav tekst) 5 Juhis isikuandmete ja avaliku teabe töötlemise ning andmekogude reguleerimise kohta eelnõudes. Justiits- ja
Digiministeerium 2025. https://www.justdigi.ee/sites/default/files/documents/2025-
10/Juhis%20eeln%C3%B5ude%20koostamiseks.pdf 6 Isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsus. Justiits- ja Digiministeerium 2025.
https://adr.rik.ee/jm/dokument/16949286
5
3. Eelnõu sisu ja võrdlev analüüs
3.1. Eelnõu sisu
Eelnõu koosneb neljast paragrahvist, millest esimene sätestab IKS-i kavandatud muudatused,
teine KOKS-i muudatuse, kolmas RStS-i muudatuse ja neljas TAIKS-i muudatuse.
§ 1. Isikuandmete kaitse seadus
IKS § 6
Lõige 1 sätestab, et isikuandmeid, sealhulgas eriliiki isikuandmeid, võib teadus- ja
ajaloouuringu ning statistika (edaspidi uuring) eesmärgil töödelda §-des 6 ja 61 sätestatud
tingimustel.
Põhiseaduse (PS) § 26 teine lause sätestab eraelu käsitleva piiriklausli, mille kohaselt võib
sekkuda perekonna- ja eraellu seaduses sätestatud juhtudel ja korras tervise, kõlbluse, avaliku
korra või teiste inimeste õiguste ja vabaduste kaitseks, kuriteo tõkestamiseks või kurjategija
tabamiseks. Paragrahvi 26 teises lauses on seega sätestatud kvalifitseeritud
seadusereservatsioon, mis lubab eraelu riivata üksnes seaduse alusel ja § 26 teises lauses
kindlaks määratud põhjustel. PS koosmõjus IKÜM art 6 lõike 1 punktiga e kannab mõtet, et
isikuandmete töötlemine on võimalik seaduse alusel, kui see on vajalik avalikes huvides oleva
ülesande või avaliku võimu teostamiseks. Teadus- ja ajaloouuringud ning statistika on avalikes
huvides olevad ülesanded. Siinkohal ei muudeta juba kehtivat seadust ja sellest tulenevaid
põhimõtteid, vaid tegemist on pigem sõnastusliku muudatusega. Teadusuuringu all on silmas
peetud uuringut, mis loob uut, üldistatavat teadmist, ajaloouuring uurib minevikku
olemasolevate allikate põhjal, statistika puhul on tegemist trendide ja seoste fikseerimise ning
üldiste järelduste tegemisega.
IKS §-ga 6 on juba sätestatud õiguslik alus isikuandmete töötlemiseks teadus- ja ajaloouuringu
ning statistika eesmärgil. Lõike 1 kohaselt nimetatakse teadus- ja ajaloouuringut ning statistika
eesmärgil tehtavat uuringut edaspidi ühise nimetusega „uuring“. Samuti sätestatakse, et
andmeid võib töödelda IKS §-des 6 ja 61 sätestatud tingimustel. Sättest on välja jäetud sõna
„riiklik“, sest säte kohaldub igasuguse, mitte ainult riikliku statistika kohta. Statistiline eesmärk
tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud
statistikauuringuteks või statistika koostamiseks. Juhul kui riikliku statistika tegijale on riikliku
statistika seadusega ette nähtud ülesanne teha statistikat (nt Statistikaametil riikliku programmi
alusel tehtav statistikatöö), töötleb asutus andmeid oma eriseaduse, mitte IKS § 6 alusel.
IKÜM-i põhjenduse 159 kohaselt tuleks teadusuuringute eesmärgil toimuvat isikuandmete
töötlemist tõlgendada nii laialt, et see hõlmab näiteks tehnoloogiaarendust ja
tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid
uuringuid, lisaks tuleks arvesse võtta EL-i toimimise lepingu artikli 179 lõikes 1 sätestatud liidu
eesmärki luua Euroopa teadusruum, rahvatervise valdkonnas peaks teadusuuringute eesmärk
hõlmama avalikust huvist lähtuvalt tehtud uuringuid. Seega on IKÜM-iga loodud võimalikult
lai tõlgendus.
Tuleb silmas pidada, et ka tehisaru arendamine on osa tehnoloogiaarendusest ning ka tehisaru
andmetöötlusele kohaldub IKS § 6 juhul, kui tehisaru arendamisel soovitakse kasutada
6
isikuandmeid. Tehisaru arendamist tuleb seega käsitleda ühe osana laiemast teadus- ja
arendustegevusest, millele IKÜM annab selge õigusliku aluse – nii arendus-, treening-,
valideerimis- kui ka testimisfaasis.
Loomulikult tuleb tehisaru arendada esmajärjekorras anonüümitud andmetega. Kui konkreetse
tehisaru arendamiseks anonüümitud andmetest ei piisa, peab isikuandmete kasutamine vastama
IKS §-s 6 sätestatud tingimustele. Tuleb alati silmas pidada, milliseid andmeid ja kellele
tehisaru arendamiseks edastatakse. See tähendab, et igas tehisaru arenduse etapis tuleb hinnata,
millised isikuandmed on vältimatult vajalikud, milline on nende roll mudeli treenimisel ja selle
kvaliteedis ning kuidas tagatakse põhiõiguste kaitse kogu arendustsükli jooksul.
Arvestada tuleb kõikide IKÜM-is sätestatud andmetöötluse põhimõtetega, sh andmete
minimaalsuse ja eesmärgipärasuse põhimõttega. Tehisaru arendamisel tuleb hinnata, milliseid
isikuandmeid on tarvis konkreetse eesmärgi saavutamiseks töödelda. Andmetöötlus peab olema
selline, et oleks tagatud isikute põhiõiguste kaitse.
On oluline rõhutada, et tehisaru ei ole asi iseeneses, selle arendamise eest vastutab alati asutus
või isik, kes seda arendab, mh määrab andmetöötluse eesmärgid, otsustab, milliseid
isikuandmeid arendamisel kasutatakse jne. Nii nagu iga uuringu tegija, on ka tehisaru arendaja
uuringu tegija ja isikuandmete vastutav töötleja IKÜM-i artikli 4 punkti 7 mõttes. Kui tehisaru
arendamisel osaleb mitu isikut või asutust, kes ühiselt määravad, kuidas ja millisel eesmärgil
andmeid töödeldakse, siis on nad kaasvastutavad töötlejad (IKÜM art 26). Kui asutus või isik
soovib tehisaru arendada, aga tal ei ole selleks tehnilist kompetentsi, võib eesmärkide täitmiseks
kasutada ka volitatud töötlejat (IKÜM art 4 p 8). Sellisel juhul töötleb tehisaru arendaja
andmeid ainult vastavalt arenduse tellinud asutuse juhistele ja arendaja on volitatud töötleja.
Seega tuleb tehisaru arendamisel alati läbi mõelda osapoolte rollid, kohustused ja vastutus ning
seal kohalduvad IKS § 6 sätted nagu iga teise uuringu puhul.
Tehisaru arendamisega seotud teadus- ja arendustegevust mõjutab ka Euroopa Liidu
tehisintellekti määrus (TI määrus)7. TI määrus tugevdab tehisaru arendamise õiguspärast
raamistikku, luues lisavõimaluse kasutada seaduslikult – kuid muudel eesmärkidel – kogutud
isikuandmeid tehisaru arendamiseks, treenimiseks ja testimiseks regulatiivses katsekeskkonnas
(TI määruses regulatiivliivakast). TI määruse artikli 3 punkti 55 kohaselt on tehisintellekti
regulatiivne katsekeskkond pädeva asutuse loodud kontrollitud raamistik, mis pakub
tehisintellektisüsteemide pakkujatele võimalust arendada, treenida, valideerida ja testida
tehisaru regulatiivse järelevalve all. TI määruse artikli 59 kohaselt võib regulatiivses
katsekeskkonnas töödelda muudel eesmärkidel seaduslikult kogutud isikuandmeid, kui tehisaru
arendatakse avalikes huvides ja täidetud on muud nimetatud artiklis kirjeldatud nõuded. See
loob Eestis olulise võimaluse edendada usaldusväärse ja õiguspärase tehisaru arendamist,
vähendada õiguslikku ebakindlust ning võimaldada testida kõrge riskitasemega tehisarul
põhinevaid süsteeme kontrollitult reaalses keskkonnas. TI määruse artikli 57 lõike 1 kohaselt
peab Eesti looma tehisintellekti regulatiivse katsekeskkonna hiljemalt 2. augustiks 2027.
Katsekeskkonna loomine on seega otseselt vajalik selleks, et soodustada innovatsiooni, tagada
teadus- ja arendustegevuse jätkusuutlik areng ning luua ettevõtjatele ja riigiasutustele turvaline
võimalus teha innovatsiooni ning tagada vastavus turunõuetele.
7 Euroopa Parlamendi ja nõukogu määrus (EL) 2024/1689, 13. juuni 2024, millega nähakse ette tehisintellekti
käsitlevad ühtlustatud õigusnormid ning muudetakse määruseid (EÜ) nr 300/2008, (EL) nr 167/2013, (EL) nr
168/2013, (EL) 2018/858, (EL) 2018/1139 ja (EL) 2019/2144 ning direktiive 2014/90/EL, (EL) 2016/797 ja
(EL) 2020/1828 (tehisintellekti käsitlev määrus) (EMPs kohaldatav tekst)
7
Samuti on IKÜM-i laia tõlgendust silmas pidades oluline, et teadusuuringuid tuleb mõista
laiemalt kui üksnes teadusasutuste tehtavaid uuringuid. IKÜM ei piiritle isikute ringi, kes
võiksid teadusuuringuid teha. Ka kehtiva IKS-i kohaselt on ettevõtjatel võimalik andmeid
teadusuuringu tarbeks töödelda.
Lisaks on oluline silmas pidada, et andmete uuringu tarbeks väljastamise otsuse teeb
lõppastmes andmekogu vastutav töötleja, kes peab tagama andmesubjektide eraelu kaitse või
ka nt riigi julgeoleku. Juhul kui tegemist on juurdepääsupiiranguga andmetega, kohaldub ka
siin andmete väljastamisel AvTS-i loogika.
Lõige 2 sätestab, et uuringuks peetakse ka põhiseadusliku institutsiooni, Vabariigi Valitsuse
seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende
hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud
analüüse ja uuringuid, sealhulgas tehnoloogiaarendusi. Samuti on uuringuks halduskoostöö
seaduse alusel avalikke ülesandeid täitva eraõigusliku juriidilise isiku tehtavad uuringud.
Uuringuks loetakse ka eraõigusliku juriidilise isiku analüüse ja uuringuid, mida tehakse
halduskoostöö seaduse alusel avaliku ülesande täitmise raames. See eeldab, et avaliku ülesande
täitmine on eraõiguslikule juriidilisele isikule pandud vastavalt halduskoostöö seaduse § 3
lõikele 1 või 2 seaduse, haldusakti või halduslepinguga ning analüüse või uuringuid tehakse
selle ülesande täitmise tarbeks. Sellise analüüsi või uuringu tegemisel loetakse eraõiguslik
juriidiline isik uuringu tellijaks. Kui aga eraõiguslikule juriidilisele isikule antava ülesande
sisuks on konkreetse uuringu või analüüsi tegemine, on tegemist volitatud andmetöötlusega
ning uuringu tellija on asutus või avalik-õiguslik juriidiline isik.
Muudatusega laiendatakse uuringu tegijate ringi, kuna kehtiv seadus piirab üleliia isikute ringi,
kes võiksid uuringuid teha. Samuti ei ole uuring edaspidi seotud üksnes poliitika kujundamise
eesmärgiga, kuna asutustel on ka muudel, nt teenuste arendamise eesmärgil vaja uuringuid teha.
Selle sätte eesmärk on anda uuringule laiem tähendus, mis hõlmab peale akadeemiliste ja
teadusuuringute ka riigi ja omavalitsusüksuste ning nende allasutuste koostatud või tellitud
analüüse, uuringuid ja tehnoloogiaarendusi. See tähendab, et tegevuste ring, mida loetakse IKS-
i tähenduses uuringuks, on lai. Säte tagab, et riigi ja KOV-i asutuste tehtud analüüsid ja
tehnoloogiaarendused alluvad samadele nõuetele ja õigusnormidele nagu klassikalised
uuringud. See aitab kaasa läbipaistvusele, kvaliteedile ja ühtsele õiguslikule käsitlusele kogu
avalikus sektoris. Oluline on silmas pidada, et asutuse tehtav uuring peab olema seotud temale
pandud ülesandega, ülesande ja uuringu vahel peab olema eesmärgipärane seos. Silmas tuleb
pidada, et põhiseaduslikule institutsioonile kohaldub IKS üksnes osas, mis ei puuduta nende
põhiseaduslike ülesannete täitmist. Juhul kui põhiseaduslik institutsioon täidab oma
põhiseadusliku ülesannet, tuleb uuringut tegemise õiguslik alus kehtestada tema tegevust
reguleeriva seadusega.
Lõige 3 sätestab täpsemad tingimused, millisel juhul on lubatud uuringu tegemine uuringu
eesmärgil. Sätestatakse tingimused, mis peavad olema tagatud, et andmesubjekti õigused oleks
kaitstud. Kehtivas IKS-is andmete psedonüümimise või samaväärse kaitsemeetme tingimusi
kindlaks määratud ei ole, seega võiks IKS § 6 kontekstis näiteks lihtsalt inimese nime asendada
numbriga ja väita, et tegemist on pseudonüümitud andmetega. Tegelikkuses on
pseudonüümimisel mitu tasandit ning isikut saab tuvastada ka muude andmete põhjal kui
üksnes nimi ja isikukood. Euroopa Andmekaitsenõukogu on võtnud 2025. aasta 16. jaanuaril
vastu pseudonüümimist käsitlevad suunised8, mis on praegu avalikul konsultatsioonil ja võivad
8 Guidelines 01/2025 on Pseudonymisation. European Data Protection Board.
8
seetõttu küll veel muutuda, kuid milles on selgitatud, et pseudonüümimine on kaitsemeede,
mida vastutavad töötlejad saavad kohaldada, et täita andmekaitseõiguse nõudeid ja eelkõige
tõendada vastavust andmekaitsepõhimõtetele kooskõlas IKÜM-i artikli 5 lõikega 2. Ühine
arusaam pseudonüümimisest on, et see tähendab üksikisikute identifikaatorite asendamist
pseudonüümidega. Isikuandmeid ei ole võimalik omistada konkreetsele andmesubjektile ilma
lisateavet kasutamata. Selleks on vaja vaadata isikuandmete kõiki osi, mitte ainult
varjunimesid. Samuti on öeldud, et andmete hulgast tuleb eemaldada otsesed tunnused, et neid
andmeid ei omistataks üksikisikutele. Pseudonüümimist võib kooskõlas IKÜM-i artikli 32
lõikega 1 kasutada ühena mitmest meetmest, mis aitavad tagada andmetöötlustoimingu riskile
vastava turvalisuse taseme. Seega tuleb silmas pidada, et pseudonüümimine pole ainus meede
piisava andmekaitse taseme tagamiseks, vaid olemas on palju privaatsuskaitse tehnoloogiaid,
mida andmetöötluses on võimalik kasutada.
2023. aastal valmis Majandus- ja Kommunikatsiooniministeeriumi tellimusel privaatsuskaitse
tehnoloogiate kontseptsioon9, mis kirjeldab tehnoloogiaid ja pakub nende rakendamiseks e-
riigis üldised mudelid. Kontseptsioonis on esile toodud, et privaatsuskaitse tehnoloogiate
arendamise eesmärkidest on kõige suuremat tähelepanu pälvinud andmete seostamatus
(isikustatavuse välistamine/vähendamine), kuna see toimib andmete väärkasutamise esmase
kaitseliinina ja hõlmab rakenduslikus mõttes kõige küpsemaid tehnoloogiaid. Eesti Vabariigi
digiühiskonna arengukava aastani 203510 näeb ühe põhimõttena ette inimeste põhiõiguste, sh
privaatsuse kaitse. Arengukavas peetakse privaatsuskaitse tehnoloogiate rakendamist oluliseks
andmepõhise ühiskonna ja andmete taaskasutuse saavutamisel. IKÜM-i artikkel 25 näeb
isikuandmete töötlemisel ette lõimitud ja vaikimisi andmekaitse rakendamist.
Muudatusega sätestatakse, et uuringut võib teha üksnes siis, kui on täidetud kõik neli järgmist
tingimust:
1) isikuandmed pseudonüümitakse või kasutatakse muud samaväärset kaitset pakkuvat
meedet enne isikuandmete edastamist uuringu tellijale;
2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada;
3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut,
kelle isikuandmeid, sh eriliiki isikuandmeid, töödeldi;
4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku
mõju.
Vaadates koosmõjus punkte 1–3, tuleb kindlasti silmas pidada, et isikul, kes andmed
pseudonüümis või kasutas muud samaväärset kaitset pakkuvat meedet, ei ole lubatud uuringu
tellijale anda andmeid, mis võimaldaksid andmed depseudonüümida.
Silmas tuleb pidada, et praktikas võib statistilise töötlemise, andmete sidumise,
kvaliteedikontrolli või pseudonüümimise protsessis esineda vaheetappe, kus andmete
seostatavus või kaudne tuvastatavus on tehniliselt ajutiselt vältimatu. Sellest ei saa automaatselt
järeldada, et § 6 lõike 3 tingimused on täitmata, kui selline vaheetapp on rangelt töötluse
eesmärgiga seotud, minimaalselt vajalik, kontrollitud ning kaitstud asjakohaste tehniliste ja
9 Cybernetica. Privaatsuskaitse tehnoloogiate kontseptsioon. Aruanne. Majandus- ja
Kommunikatsiooniministeerium 2023. https://www.justdigi.ee/sites/default/files/documents/2024-
12/Privaatsuskaitse%20tehnoloogiate%20kontseptsioon.pdf 10 Digiühiskonna arengukava 2035. Justiits- ja Digiministeerium. https://www.justdigi.ee/digi-side-ja-
kuber/digiuhiskonna-arengukava-2035
9
korralduslike meetmetega. Nõuet tuleb järgida ennekõike seda silmas pidades, et lõppväljundis
ega kasutusotstarbes andmesubjekti ei tuvastataks.
Punktis 4 sätestatud tingimuse all on mõeldud konkreetset ja kohest mõju ühele
andmesubjektile, mitte aga olukorda, kus andmetöötluse eesmärk on saada ülevaade nt teatud
sihtgrupile kehtivatest kohustustest ja kujundada andmesubjekti kohustusi (nt poliitikameede
avalik-õigusliku rahalise kohustuse, nt maksu, tasu, lõivu vms kehtestamiseks) – selline
töötlemine ei ole keelatud. Ebasoodne mõju võib tekkida uuringule järgneda võivatest
õigusaktide muudatustest, mis aga enne vastuvõtmist läbivad vajaliku kooskõlastuse ja
heakskiitmise, uuringust endast ei teki andmesubjektile ebasoodsaid mõjusid.
Seega ei ole piisav üksnes nime asendamine pseudonüümiga, vaid kasutada tuleb ka
lisameetmeid. Silmas tuleb pidada, et juhul kui esineb tuvastamise risk, kohalduvad lõiked 4–
6.
Eelnõukohase seadusega ei kitsendata andmeid teadusuuringu tarbeks väljastavate isikute ringi,
see võib olla erasektori valduses olev andmestik või ka riigi infosüsteemi kuuluv andmekogu
või muu andmekogum.
Eelnõu järgi on uuringu tellijauuringu vastutav töötleja (asutus, ettevõte), kelle ülesannete ja
eesmärkide täitmiseks uuringut tehakse. Uuringu tellija võib uuringu teha ise või kasutada
uuringu tegemiseks volitatud töötlejat, ise isikuandmeid üldse töötlemata. Juhul kui uuringu
tellija soovib kasutada Statistikaametit uuringu tegemisel programmivälises töös, kehtib
endiselt RStS § 20 lõikes 1 sätestatud põhimõte, et tellimustöö tegemine ei tohi segada riikliku
programmi koostamist ega täitmist. Uuringu vastutav töötleja võib volitada kellegi teise täitma
ka nt uuringust AKI-le teatamise kohustust või taotlema eetikakomitee hindamist.
Lõige 4 annab võimaluse uuringu tegemiseks isikustatud andmetega. Teatud põhjendatud
juhtudel ei ole uuringu eesmärgid saavutatavad, kui isikud ei ole tuvastatavad. Näiteks kui
terviseuuringus soovitakse analüüsida haruldase haiguse levimust Eestis. Patsientide väikese
arvu tõttu ei oleks võimalik täita lõikes 3 sätestatud tingimusi, kuna see muudaks võimatuks
haiguse leviku mustrite tuvastamise, seega võib uuringu tegija otsustada, et vajalik on andmete
töötlemine tuvastamist võimaldaval kujul.
Sellisel kujul on uuringu tegemine lubatud üksnes juhul, kui on täidetud kõik kolm järgmist
tingimust:
1) pärast tuvastamist võimaldavate andmete eemaldamist ei oleks andmetöötluse
eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada;
2) uuringu tegemiseks on ülekaalukas avalik huvi ja
3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi.
Uuringu tellija peab põhjendama, et tegemist on ülekaaluka avaliku huviga, kuna uuringu
tulemused aitavad parandada raviteenuste kättesaadavust ja parandada rahva tervist. Silmas
peab pidama, et ülekaalukas avalik huvi on määratlemata õigusmõiste, mida peab iga juhtumi
puhul eraldi hindama, võttes ühelt poolt arvesse avalikku huvi ja teiselt poolt andmesubjekti
õigusi. Kõigil uuringu tellijatel on igakordne hindamiskohustus, mille kriteeriume
eelnõukohase seadusega ette ei saa kirjutada. Eriliiki isikuandmete puhul kontrollib ülekaaluka
avaliku huvi olemasolu eetikakomitee.
10
Lõige 5 sätestab uuringu tellijale kohustuse teavitada uuringust AKI-it juhul, kui n-ö tavalisi
isikuandmeid töödeldakse IKS § 6 lõikes 4 sätestatud juhul. AKI-t peab teavitama uuringu
eesmärkidest, töödeldavatest andmetest ja lõikes 4 sätestatud tingimuste täitmisest. Selline
teavitamiskohustus on vajalik, et AKI saaks seirata, milliseid uuringuid millisel eesmärgil ja
ulatuses tehakse, ning vajadusel järelevalvet teha. Samuti avaldatakse info tehtavatest
uuringutest AKI veebilehel ja võimalusel ka Eesti teabeväravas, et võimaldada ka avalikkusel
tutvuda, milliseid uuringuid tehakse. Sätte eesmärk on tagada läbipaistvus, kuid samas saab
avalikustamist pidada ka kaitsemeetmeks.
Teavitus tuleb esitada enne isikuandmete töötlemist. Teavituse edastamisel ei ole kindlat viisi,
seda võib teha nt e-kirjaga või tulevikus tehnilise lahenduse olemasolul AKI veebilehel või
tulevikus loodava ühtse taotluste menetlemise keskkonna vahendusel.
Lisaks on oluline silmas pidada, et tegemist on avaliku teabega AvTS-i mõttes ning juhul kui
teave sisaldab juurdepääsupiiranguga andmeid, siis AvTS § 35 lõike 1 kohaselt seda osa teabest
ei tohi avalikustada. Seega peab teabe AKI-le edastamisel ära märkima, milline osa teabest on
ärisaladus või muu juurdepääsupiiranguga teave.
Säte puudutab üksnes AKI teavitamise kohustust. Uuringu tellijal on endiselt IKÜM-ist (art 13)
tulenev andmesubjektidele teabe andmise kohustus, mida on uuringu tellijal võimalik piirata
üksnes lõigetes 9 ja 10 sätestatud tingimustel.
Lõige 6 sätestab kohustuse, et kui uuringut tehakse eriliiki isikuandmetega, sh kui on täidetud
lõikes 3 sätestatud tingimused (tegemist on pseudonüümitud andmetega), tuleb enne uuringu
tegemist pöörduda eetikakomitee poole, kes kontrollib lõigetes 3 ja 4 sätestatud tingimuste
täitmist ja annab hinnangu uuringu eetilisusele. Muudatus toetub VTK tagasisidele, milles oli
ülekaalukas toetus ettepanekule, et eetikakomitee oleks loodud seadusega või selle alusel antud
õigusaktiga ja tema pädevus oleks selgelt määratud. Toetati suunda, kus Eestis oleks ühtne
eetikakomiteede süsteem („ühe ukse poliitika“), mis koondab kõik valdkondlikud komiteed ühe
juhtiva struktuuri alla.
Seega sätestatakse muudatusega, et eetikakomiteed ei või asutada ükskõik kes, vaid asjaomase
valdkonna eetikakomitee moodustatakse seadusega või selle alusel. Kõnealuse sätte eesmärk
on tagada, et eriliiki isikuandmete töötlemine uuringu eesmärgil oleks läbipaistev ja eetiline
ning vastaks seaduses sätestatud nõuetele. Eetikakomitee ülesanne on hinnata nii
andmekaitsealaseid kui ka eetilisi riske ning vajadusel nõuda täiendavaid kaitsemeetmeid või
anda soovitusi uuringu tegemiseks.
Oluline on silmas pidada, et kui uuring tehakse valdkonnas, mille eetikakomitee tegevust
reguleerib muu seadus, annab hinnangu muu seaduse alusel asutatud eetikakomitee. Nt tervise
infosüsteemis andmete väljastamisel tuleb lähtuda tervishoiuteenuste korraldamise seadusest
ning geenivaramu puhul inimgeeniuuringute seadusest. Lisaks peavad teadlased järgima muid
neile kohalduvaid õigusakte ja uuringueetika head tava ning isegi juhul, kui IKS § 6 alusel
eetikakomitee kohustust ette ei ole nähtud, võib selline kohustus tuleneda muudest alustest. IKS
§ 6 ei reguleeri üldiselt uuringute eetilisuse hindamist.
Uuringu tegija on lisaks enne uuringu tegemist kohustatud teavitama AKI-t vastavalt lõikele 5.
Teatada tuleb uuringu eesmärk, töödeldavad andmed ja rakendatavad kaitsemeetmed. AKI
avaldab selle teabe Eesti teabeväravas, tagades seeläbi läbipaistvuse ja avalikkuse teavitamise.
Kui uuringu käigus töödeldavaid isikuandmeid säilitatakse Rahvusarhiivis, on eetikakomitee
11
õigused Rahvusarhiivil. See tähendab, et Rahvusarhiiv täidab eetikakomitee ülesandeid,
kontrollides tingimuste täitmist ja vajadusel andes hinnangu uuringu eetilisusele.
Lõige 7 sätestab tingimuse, et tervishoiu ja sotsiaalkaitse valdkonna terviseandmeid võib
töödelda uuringu eesmärkidel üksnes § 61 tingimustele vastavas andmetöötlussüsteemis.
Oluline on silmas pidada, et Euroopa terviseandmeruumi määrus ei kohaldu terviseandmetele
igas olukorras ja valdkonnas, mistõttu ei kohaldata andmetöötlussüsteemi kasutamise tingimust
igasugusele terviseandmete töötlemisele. Väljaspool tervishoiu- ja sotsiaalkaitsesektorit
Euroopa terviseandmeruumi määrus ei kohalduning selliseid terviseandmeid on lubatud IKS §
6 tingimuste täitmise korral töödelda ka väljaspool §-s 61 sätestatud tingimustele vastavat
andmetöötlussüsteemi. Tervishoiu ja sotsiaalvaldkonna andmete all peetakse silmas
terviseandmeid, mida töödeldakse näiteks tervishoiuteenuste osutamisel, puude hindamisel,
töövõime tuvastamisel jm.
Lõige 8 sätestab üldise normi, et kui uuringus on vaja töödelda üksnes ühe andmekogu
andmeid, mille vastutavaks töötlejaks on uuringu tellija ise, peab ta järgima lõigete 2–4 ning ei
pea järgima lõigete 5 ja 6 nõudeid. Eelkõige tuleb uuringut ka ühe andmekogu piires tehes täita
lõike 3 tingimused ning isiku tuvastamist võimaldavate andmetega on uuringut lubatud teha
üksnes juhul, kui täidetud on lõike 4 tingimused. Kui uuringu tegija töötleb isikuandmeid ühe
andmekogu piires ja on ise selle andmekogu vastutav töötleja, on tal juba olemas täielik kontroll
andmekogu üle ning ta vastutab isikuandmete töötlemise nõuete täitmise eest kogu andmekogu
ulatuses. Kavandatavad sätted vähendavad halduskoormust ja väldivad dubleerivaid
protseduure olukorras, kus andmeid juba töödeldakse andmekogu siseste reeglite ja
kontrollimehhanismide alusel. Silmas tuleb aga pidada, et nt geenivaramu puhul on
inimgeeniuuringute seadusega ette nähtud erisused, mis tingimustel uuringuid geenivaramus
teha võib, üheks näiteks on Eesti Geenivaramu uuringud, mille puhul tuleb ka andmekogu
vastutaval töötlejal saada oma uuringutele teaduseetika komitee heakskiit.
Ühest andmekogust pärit andmete töötlemine kätkeb endas väiksemat riski kui mitmest
andmekogust pärit isikuandmete kokku panemine ja analüüsimine. Säte ei kohaldu olukorrale,
kus vastutav töötleja töötleb isikuandmeid, mis pärinevad mitmest andmekogust, mille kõikide
vastutav töötleja ta on.
Siinkohal on oluline silmas pidada ka AvTS § 28 lõike 1 punkti 18, milles on sätestatud
teabevaldaja kohustus avaldada riigi- või kohaliku omavalitsuse asutuse tellitud uuringud ja
analüüsid. See tagab avaliku sektori andmetöötluse läbipaistvuse.
Lõike 9 puhul on tegemist üksnes tehnilise muudatusega, millega ei muudeta sätte sisu, vaid
üksnes paragrahvi ülesehitust. Sätte eesmärk on jätkuvalt täpsustada, et paragrahvis sätestatud
nõudeid ei kohaldata olukorras, kus uuringu eesmärgid ja isikuandmete töötlemise ulatus on
otseselt määratud seadusega. Sellisel juhul on seadusandja andmete töötlemise alused,
eesmärgid ja ulatuse juba läbi kaalunud ning reguleerinud, mistõttu ei ole vaja rakendada
paragrahvis sätestatud nõudeid, piiranguid ega menetlusi. See tagab, et seadusest tulenevate
uuringute puhul ei teki dubleerivat ega ebavajalikku töökoormust ning välditakse olukorda, kus
seadusandja poolt juba reguleeritud andmetöötlusele kehtestatakse uusi piiranguid. Samuti
aitab see tagada õigusselgust ja ühtset lähenemist olukorras, kus andmete töötlemise eesmärk
ja ulatus on seadusega selgelt kindlaks määratud.
12
Lõiked 10 ja 11 näevad ette õiguse piirata andmesubjekti õigusi. Piirangu võib kehtestada, et
tagada üldist avalikku huvi teenivad eesmärgid (IKÜM art 21 lg 1 p e alusel), milleks antud
juhul on teadus- ja ajaloouuring ning statistika. Säte näeb ette, et uuringu tellija või selle
andmestiku vastutav töötleja, kust andmeid uuringu tarbeks väljastatakse, võib piirata
andmesubjektide õigusi, kui nende õiguste teostamine tõenäoliselt muudab võimatuks analüüsi
või uuringu eesmärgi saavutamise või takistab seda oluliselt. IKÜM artikli 23 lõikes 1
sätestatud diskretsiooni rakendamine ei ole absoluutne, mistõttu on õigus kohaldada lõikes 9
toodud piiranguid üksnes lõikes 10 sätestatud tingimustel. Selline lähenemine on kooskõlas
IKÜM artikli 23 lõikega 2. Võttes arvesse töötlemise eesmärki, ei ole võimalik välistada ühtegi
töödeldavate isikuandmete kategooriat, kuna ei ole võimalik ette näha andmeid, mis ei võiks
olla vajalikud teadus- ja ajaloouuringu ning statistika tegemisel. Piirangut on lubatud seada
üksnes andmestiku vastutaval töötlejal (kelle andmestikust andmeid väljastatakse) ning uuringu
tegijal. Silmas tuleb pidada, et andmestik on laiem mõiste, kuhu alla kuulub ka andmekogu.
Punktiga 3 sätestatakse kohustus rakendada asjakohaseid turvameetmeid ja säilitamiskohustuse
järgimise nõue. Turvameetmete rakendamisel tuleb arvesse võtta ka ligipääsude piiramist,
millega muu hulgas tagatakse lõike 10 punktis 4 sätestatud nõue töötlemise ulatuse kohta.
IKS § 61
Tegemist on uue paragrahviga, mis loob ühelt poolt võimaluse teha uuring
andmetöötlussüsteemis, et tagada kiirem protsess, teiselt poolt nähakse ette lisatingimused ja
kaitsemeetmed, et tagada andmesubjektide õiguste parem kaitse. Oluline on silmas pidada, et
säte ei välista võimalust kasutada uuringu tegemiseks teisi andmetöötlussüsteeme, seda IKS §-
s 6 sätestatud tingimusi täites. IKS § 61 puhul on tegemist lisavõimalusega sättes ette nähtud
tingimustel andmetöötlussüsteemis uuringute tegemiseks, välistades teatud IKS §-s 6 sätestatud
kohustuste täitmise.
Probleemi tõstatas Riigikantselei juba eespool viidatud tellitud analüüsiga, milles käsitleti
probleemi, et asutustel ei ole võimalik teha kiireid andmepõhiseid otsuseid. Riigikantselei tõi
analüüsi tellimisel esile, et täidesaatev riigivõim ei saa andmepõhiste otsuste tegemiseks
piisavalt kiiresti ligipääsu vajalikele isikuandmetele. Samuti rõhutati, et riik peab saama
andmekogude andmeid targalt ning vajadusel ka kiirelt kasutada, kaitstes samal ajal
andmesubjektide õigusi ja isikuandmeid. Isikuandmete töötlemine peab olema kontrollitud,
läbipaistev ja vastutustundlik. Uuringus on tehtud ettepanek seaduse uueks sõnastuseks, mis aja
jooksul ja VTK menetluses peetud eri osapoolte ja huvigruppide vaheliste arutelude tulemusel
on saanud eelnõus toodud kuju. Muu hulgas tuleb silmas pidada, et eelnõukohane seadus ei loo
andmetöötlussüsteemi ja kiiremate otsuste tegemiseks õiguslikku alust mitte üksnes riigile, vaid
see kehtib võrdselt kõigile uuringu tegijatele. Muudatusega ühtlustatakse kõikide uuringute
tegemise tingimused.
Lõike 1 kohaselt võib uuringu eesmärgil töödelda isikuandmeid, sh eriliiki isikuandmeid,
selleks ette nähtud andmetöötlussüsteemis, mis peab vastama lisaks eelnõuga loodava § 61
tingimustele ka § 6 lõigete 2–4 tingimustele. Ka andmetöötlussüsteemis andmete töötlemisel
peavad olema täidetud järgmised tingimused:
uuringu tegemisel ei tehta lisatoiminguid, mille tagajärjel saab isiku tuvastada;
uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut,
kelle isikuandmeid, sh eriliiki isikuandmeid, töödeldi;
töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku
mõju.
13
Sätte eesmärk on võimaldada töödelda isikuandmeid, sealhulgas eriliiki isikuandmeid,
spetsiaalselt selleks ette nähtud andmetöötlussüsteemis, kui võetud on kõik seaduses sätestatud
olulised kaitsemeetmed. Selline regulatsioon tagab, et andmeid töödeldakse ainult siis, kui see
on põhjendatud, vajalik ning piisavalt kaitstud nii tehniliste kui ka organisatsiooniliste
meetmetega. Säte võimaldab kasutada kaasaegseid andmetöötlussüsteeme, mis on loodud või
luuakse just selliste uuringute tegemiseks, kuid säilitab ranged andmekaitsestandardid.
Lõige 2 sätestab nõuded, mille täitmise peab andmetöötlussüsteemi pakkuja tagama. VTK
etapis olid arutluse all lahendused, mille kohaselt andmetöötlussüsteemi peaks pakkuma kas
üks keskne riigiasutus või siis võiks seadusega ette näha kindlad tingimused ja võimaldada ka
nt ülikoolidel või erasektori asutustel andmetöötlussüsteeme pakkuda. Kokkuvõtvalt leiti, et
vaba turu huvides ei ole mõistlik kitsendada teenusepakkujate ringi. Sätte eesmärk on tagada,
et isikuandmete, sealhulgas eriliiki isikuandmete töötlemine spetsiaalses andmetöötlus-
süsteemis oleks turvaline ning vastaks rangetele andmekaitsenõuetele. Tingimuste
ettenägemisel on lähtud ka Euroopa terviseandmeruumile sätestatud nõuetega. Eelnõu kohaselt
peab andmetöötlussüsteemi pakkuja tagama:
1) asjakohaste tehniliste ja korralduslike meetmete kasutamise, mille abil minimeeritakse
andmetöötlussüsteemis töödeldavate andmete loata lugemise, kopeerimise, muutmise ja
kustutamise risk;
2) andmete kättesaadavaks tegemise üksnes andmetöötlussüsteemis töötlemiseks;
3) andmetöötlussüsteemi sellise teenuse osutamise, mis võib hõlmata andmete
eeltöötlemist, et uuringu tegijal oleks juurdepääs üksnes § 6 lõike 3 punktis 1 nimetatud
kujul andmetele;
4) andmete sisestamise ja andmetöötlussüsteemis hoitavate andmete töötlemise ainult
piiratud arvu tuvastatavate volitatud isikute poolt;
5) uuringu tegija juurdepääsu ainult neile andmetele, mida on lubatud töödelda § 6 lõikes
1 nimetatud eesmärkidel;
6) töötlustoimingute logide salvestamise;
7) andmete allalaadimise taotluste kontrolli, et kasutajatel ei oleks võimalik
andmetöötlussüsteemist alla laadida andmeid, mis võimaldavad isikut tuvastada;
8) andmete töötlemise ainult Euroopa Majanduspiirkonna territooriumil.
Säte aitab tagada, et andmeid töödeldakse läbipaistvalt, turvaliselt ja vastavalt kehtivatele
õigusaktidele, kaitstes nii andmesubjektide õigusi kui ka tagades uuringu tegija ja
andmetöötlussüsteemi pakkuja vastutuse. Silmas tuleb pidada, et riski minimeerimine tähendab
tegevusi, mille käigus rakendatakse teadlikult, proportsionaalselt ja dokumenteeritult
korralduslikke ja tehnilisi meetmeid, mis vähendavad andmete töötlemise või infosüsteemide
kasutamisega kaasnevaid riske vastuvõetavale tasemele.
Lõikega 3 sätestatakse andmete säilitamise tähtaeg, mille kohaselt kustutatakse
andmetöötlussüsteemist uuringu käigus töödeldavad andmed pärast uuringu valmimist ja
uurimistulemuste valideerimist. See tähendab, et andmeid ei hoita süsteemis kauem, kui see on
põhjendatud uuringu tegemise ja tulemuste kontrollimise seisukohalt, lähtudes IKÜM-ist
tulenevatest eesmärgipärasuse ja minimaalsuse põhimõttest.
Uurimustulemuste valideerimise all peetakse silmas kontrollimist, kas teaduslik metoodika,
kogutud andmed ja tulemused on usaldusväärsed, kehtivad ning reprodutseeritavad.
Valideerimine hõlmab nii andmete kvaliteedi ja korrektsuse hindamist kui ka eelretsenseerimist
enne uuringu avaldamist, et tagada teadustöö vastavus rahvusvahelistele standarditele.
14
Valideerimise perioodi ei ole üheselt ja kindla ajapiiranguga võimalik seadusega ette näha.
Kohaldub üldine IKÜM-i põhimõte, et andmeid tohib säilitada nii kaua, kui see on
teadusuuringu eesmärgi saavutamiseks vajalik. Hea teadustava11 kohaselt säilitab teadlane
isikustatud kujul andmeid nii kaua kui vaja ja nii vähe kui võimalik.
Töötlustoimingute logisid säilitatakse üks aasta pärast uuringu käigus töödeldavate andmete
kustutamist. See võimaldab vajadusel hiljem kontrollida ja auditeerida andmetöötluse vastavust
nõuetele, kuid välistab logide põhjendamatu pikaajalise säilitamise. Selline lähenemine aitab
tagada andmesubjektide õiguste kaitse, läbipaistvuse ning vastavuse andmekaitse põhimõtetele,
piirates andmete ja logide säilitamist ainult minimaalselt vajaliku ajani. Logide säilitamisele
nähakse ette pikem tähtaeg, arvestades võimalikku järelevalve tegemise vajadust.
Lõikes 4 sätestatakse, et valdkonna eest vastutaval ministril on õigus kehtestada määrusega
täiendavaid tehnilisi ja korralduslikke turvanõudeid andmetöötlussüsteemis andmete
töötlemisele. Selline volitusnorm on vajalik, et tagada paindlikkus ja ajakohasus turvanõuete
rakendamisel, arvestades tehnoloogia kiiret arengut ning uute riskide ilmnemist
andmetöötluses. Ministri määrusega saab täpsustada ja täiendada turvanõudeid vastavalt
vajadusele, näiteks seoses andmete krüpteerimise, pseudonüümimise, autentimise, logimise,
intsidentidele reageerimise või muude turvameetmetega, mis aitavad tagada isikuandmete
kaitse kõrge taseme andmetöötluskeskkonnas.
Volitusnorm võimaldab reageerida kiiresti olukordadele, kus senised nõuded ei pruugi olla
piisavad, ning kehtestada lisameetmeid, mis on vajalikud andmete turvaliseks töötlemiseks. See
aitab tagada, et andmetöötlussüsteemis rakendatavad tehnilised ja korralduslikud turvanõuded
vastavad nii Euroopa Liidu kui ka Eesti õigusaktide nõuetele ning rahvusvahelisele parimale
tavale.
Lisaks tuleb silmas pidada, et Eesti infoturbestandardi või selle alternatiiviks oleva standardi
(rahvusvaheline standard ISO/IEC 27001 või Eesti standard EVS-EN ISO/IEC 27001) nõude
rakendamise kohustus tuleneb teatud organisatsioonidel (küberturvalisuse seaduse tähenduses
teenuseosutajatel) küberturvalisuse seaduse § 7 lõike 5 alusel antud Vabariigi Valitsuse
määrusest nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ (määruse § 3). Selle
hulgas on osa, kuid mitte kõik teenuseosutajad, kes peavad isikuandmete kaitse seadust, sh
siinse eelnõu nõudeid, järgima. Mitte kõik küberturvalisuse seaduse tähenduses teenuseosutajad
ei pea rakendama Eesti infoturbestandardit või selle alternatiivset standardit, kuid miinimum
on, et nad kõik täidavad ära esmaste turvameetmete nõuded (vt eelviidatud määruse § 51 ja
sama määruse lisa).
Lõikes 5 sätestatakse, et enne andmetöötlussüsteemi kasutuselevõttu kontrollib AKI § 61
lõigetes 2–4 sätestatud tingimuste täitmist. Selle sätte eesmärk on tagada, et
andmetöötlussüsteemis rakendatavad tehnilised ja korralduslikud turvanõuded ning muud
andmetöötluse tingimused oleksid enne süsteemi kasutuselevõttu sõltumatult hinnatud ja
kontrollitud. AKI kontroll aitab vältida olukordi, kus andmetöötlussüsteemi rakendamisel ei ole
piisavalt arvestatud isikuandmete kaitse nõuetega või on jäänud tähelepanuta olulised riskid,
mis ohustavad andmesubjektide õigusi ja vabadusi. See suurendab usaldusväärsust
andmetöötluse korraldamisel ning aitab tagada, et andmeid töödeldakse läbipaistvalt ja
turvaliselt. Kontrolli käigus hinnatakse muu hulgas, kas andmetöötlussüsteemis rakendatakse
piisavaid meetmeid andmete pseudonüümimiseks, logimiseks, juurdepääsu piiramiseks ja
11 Hea teadustava 2017. https://ut.ee/sites/default/files/inline-files/hea_teadustava_est_0.pdf
15
muude riskide maandamiseks. Muudatusega nähakse ka ette, et AKI-l on õigus vajadusel
hindamisprotsessi kaasata Riigi Infosüsteemi Ametit. Seega on AKI kontroll enne süsteemi
kasutuselevõttu oluline samm, mis aitab tagada isikuandmete kaitse kõrge taseme ning
vähendada võimalikke rikkumisi ja riske.
Lõikega 6 nähakse ette andmetöötlussüsteemi pakkujale kohustus vähemalt kord aastas
kontrollida andmetöötlussüsteemi nõutele vastavust ning esitada aruanne Andmekaitse
Inspektsioonile.
Lõikes 7 sätestatakse, et juhul kui kõik paragrahvis esitatud tingimused on täidetud, ei
kohaldata § 6 lõikeid 5 ja 6, kui seaduses ei ole sätestatud teisiti. Nt tervise infosüsteemist ja
geenivaramust andmete väljastamisel tuleb eetikakomitee läbimise kohustus seadusest. Sätte
eesmärk on tagada, et juhul kui andmetöötlussüsteemi kasutuselevõtuks on täidetud kõik
vajalikud tehnilised ja korralduslikud turvanõuded ning AKI on kontrollinud tingimuste
täitmist, ei ole vaja rakendada lisapiiranguid või -menetlusi, võttes arvesse, et andmete
töötlemisel on juba täidetud IKS § 6 lõike 3 tingimused. See võimaldab paindlikumat ja
tõhusamat andmetöötluse korraldust, vähendades halduskoormust ning kiirendades
andmetöötlussüsteemi kasutuselevõttu. Samas säilib isikuandmete kaitse kõrge tase, kuna kõik
olulised tingimused on täidetud ja kontrollimehhanismid olemas. Läbipaistvuse tagamiseks
avaldab AKI loetelu kontrollitud andmetöötussüsteemi pakkujatest oma veebilehel.
§ 2. Kohaliku omavalitsuse korralduse seaduse muutmine
Punkti 1 muudatusega tunnistatakse kehtetuks KOKS § 311 lõige 3. Kuna kohaliku
omavalitsuse tehtavate analüüside ja uuringute puhul kohalduvad edaspidi IKS §-id 6 ja 61, siis
KOKS-i vastav säte tunnistatakse kehtetuks.
Punktide 2 ja 3 muudatusega tunnistatakse kehtetuks õigus saada andmeid kinnipeetavate,
vahistatute, arestialuste ja kriminaalhooldusaluste andmekogust (vangiregister), kuna kohaliku
rahvaalgatuse ja -küsitluse puhul on vangiregistri andmete päring ülemäärane nõue. Kehtiva
KOKS-i § 312 näeb kohaliku omavalitsuse üksusele ette õiguse saada seadusest tulenevate
valla- ja linnaelanike kaasamis- ja osalemisõiguste kontrollimiseks vangiregistrist andmeid
valla- ja linnaelaniku karistuse kandmise kohta kinnipidamiskohas. KOKS § 32 lõige 11
omakorda seob valla- ja linnaelaniku mõiste elanike osalusõiguse puhul välistusega, et isik ei
kannaks kohtu poolt kuriteos süüdi mõistetuna karistust kinnipidamiskohas. Vangiregistrist
andmete saamise õigus lisati KOKS-i kohaliku omavalitsuse volikogu valimise seaduse § 5
lõike 4 eeskujul, mis sätestab, et volikogu valimistel ei võta hääletamisest osa isik, kes on kohtu
poolt süüdi mõistetud ja kannab karistust kinnipidamiskohas. On selgunud, et kohaliku
rahvaalgatuse ja -küsitluse puhul on esitatud nõue ülemäärane. Selle nõude tulemusena tuleb
esitada vangiregistrisse päring kõigi valla- ja linnaelanike kohta, kes rahvaalgatusel või -
küsitlusel osalesid, ja andmejälgijasse jääb märge, et isiku kohta on tehtud päring
vangiregistrisse. Praktikas võivad olla vaid üksikud juhud, kui kohalikule algatusele on oma
toetushääle andnud isik, kes rahvaalgatuse või -küsitluse kohaliku omavalitsuse üksusele
üleandmise hetkel, mil isiku osalusõiguse andmeid andmekogudest kontrollitakse, viibib
kuriteos süüdi mõistetuna kinnipidamisasutuses. Justiitsministri 30.11.2000. a määruse nr 72
„Vangla sisekorraeeskiri“ § 521 järgi on kinnipeetavale interneti vahendusel lubatud
veebilehtede hulk nagunii oluliselt piiratud, mis ei võimaldanud ka enne Riigikogus 21.
jaanuaril 2026. a vastu võetud KOKS-i muudatusi kinni peetaval isikul nt rahvaalgatus.ee
veebilahendust kasutada.
16
§ 3. Riikliku statistika seaduse muutmine
Muudatusega viiakse riikliku statistika tegemist puudutavad sätted riikliku statistika
seadusesse. Riikliku statistika tegemine on riikliku statistika tegijale seadusega pandud
ülesanne ning ülesande täitmist puudutavad sätted peavad olema asutuse tegevust puudutavas
eriseaduses. Lisaks kaasajastatakse nimetatud seadust JDM-i juhise järgi.
RStS § 1 lõike 1 kohaselt on riiklik statistika kvantitatiivne, kvalitatiivne, kokkuvõtlik ja
üldistav teave, mis iseloomustab massnähtust vaatlusaluses kogumis ning saadakse riikliku
statistika programmi või programmivälise statistikatöö raames andmete statistilise töötlemise
tulemusena. RStS § 8 lõike 1 järgi on riikliku statistika tegijad Statistikaamet ja Eesti Pank
(Eesti Panga seaduse § 34 lõikes 1 sätestatud ulatuses).
Kehtivas RStS-is on isikuandmete kasutamine riikliku statistika tegemisel reguleeritud §-s 31.
Nimetatud paragrahvi lõigetes 2–4 on sätestatud, et riikliku statistika tegija ei pea teavitama
isikut tema isikuandmete kasutamisest riikliku statistika tegemiseks ning et andmesubjektil ei
ole õigust nõuda nendel andmetel põhinevate andmete parandamist, kustutamist ega nende
töötlemise piiramist.
Punktiga 1 täiendatakse JDM-i juhise järgi RStS § 6 lõiget 4, milles sätestatakse statistilise
registri vastutavaks töötlejaks riikliku statistika tegija.
Punktidega 2–5 nähakse riikliku statistika tegijale ette õiguslik alus riikliku statistika
tegemiseks. RStS § 34 lõike 1 kohaselt on riikliku statistika tegijal õigus kasutada riikliku
statistika tegemisel isikuandmeid IKÜM-is ja IKS-is ettenähtud alustel ja korras, arvestades
RStS-is sätestatud erisusi. Riikliku statistika vajadusteks võib isikuandmeid töödelda eeskätt
pseudonüümitud või muul samaväärset andmekaitset võimaldaval kujul. Enne isikuandmete
üleandmist teadus- või ajaloouuringu või riikliku statistika tarbeks tuleb isikuandmed asendada
pseudonüümitud või samaväärse tasemega andmetega.
Punktiga 2 sätestatakse § 31 lõike 1 täiendamise kaudu isikuandmete töötlemise õiguslik alus
riikliku statistika tegemiseks kooskõlas kehtiva IKS-i § 6 lõikes 1 sätestatuga.
Punktiga 3 tunnistatakse kehtetuks RStS § 31 lõiked 2–4, mis asendatakse eelnõu punktis 4
esitatud lõikega 7.
Punktiga 4 täiendatakse RStS § 31 lõigetega 5–9. RStS §-i 31 täiendatakse lõigetega 5 ja 6,
mis sõnastatakse vastavalt kehtiva IKS-i § 6 lõigetele 2 ja 3. Lõike 5 kohaselt on
depseudonüümimine või muu viis, millega isikut mittetuvastavad andmed muudetakse uuesti
isikut tuvastavaks, lubatud ainult riikliku statistika vajaduseks. Lõikes 5 ei sätestata
depseudonüümimise eest vastutava isiku nimelist määramist, kuna vastav kord nähakse ette
asutusesiseste aktidega. Lõike 6 kohaselt on riikliku statistika vajadusteks andmete töötlemine
andmesubjekti tuvastamist võimaldaval kujul lubatud üksnes juhul, kui on täidetud järgmised
tingimused:
1) pärast tuvastamist võimaldavate andmete eemaldamist ei ole andmetöötluse eesmärgid
enam saavutatavad või neid oleks ebamõistlikult raske saavutada;
2) riikliku statistika tegija hinnangul on selleks ülekaalukas avalik huvi;
3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega
kahjustata muul viisil ülemäära andmesubjekti õigusi.
17
Lisatava lõike 7 kohaselt võib vastutav või volitatud töötleja Euroopa Parlamendi ja nõukogu
määruse (EL) nr 2016/679 artiklites 15, 16, 18 ja 21 sätestatud andmesubjekti õigusi piirata
niivõrd, kuivõrd nende õiguste teostamine tõenäoliselt muudab võimatuks teadus- või
ajaloouuringu või statistilise eesmärgi saavutamise või takistab seda oluliselt. See hõlmab ka
erandit, mille kohaselt ei pea riikliku statistika tegija teavitama isikut tema isikuandmete
kasutamisest riikliku statistika tegemiseks. Lisaks ei saa andmesubjekt nõuda nende andmete
parandamist või kustutamist ega piirata nende töötlemist. Lõige 8 näeb ette tingimused, millisel
juhul andmesubjekti õiguste piiramine on lubatud.
Lisatava lõike 9 kohaselt töötleb riikliku statistika tegija kõiki selliseid isikuandmeid, mille alus
tuleneb statistilisest eesmärgist. JDM-i juhise järgi tuleb sätestada töödeldavate isikuandmete
kategooriad seaduses. RStS-is ei ole mõistlik loetleda töödeldavaid isikuandmete kategooriaid
ja säilitustähtaegu, kuna need sätestatakse riikliku statistika tegemise aluseks olevates
õigusaktides. Riiklik statistika tugineb eri valdkondade andmetele, mille säilitustähtaeg tuleneb
statistikatöö olemusest, metoodikast ning osaliselt ka Euroopa Liidu statistika tegemist
reguleerivatest õigusaktidest. Seetõttu sätestatakse seaduses funktsionaalne säilitamispõhimõte
ning konkreetse statistikavaldkonna andmete säilitustähtajad sätestatakse asjakohase
õigusaktiga. Riikliku statistika raames töödeldakse näiteks järgmisi isikuandmeid: üldandmed
isiku kohta, andmed hariduse, töökoha, sissetuleku, tervise jm kohta. Isikuandmete töötlemise
puhul on oluline, et osa isikuandmete töötlemine toimub isiku nõusolekuta. Säilitustähtaja
lõppemisel isikuandmed kustutatakse.
Statistilisel eesmärgil kogutud andmeid on keelatud kasutada järelevalve, maksustamise või
muul mittestatistilisel eesmärgil.
Punktiga 5 tunnistatakse kehtetuks RStS § 34 lõige 4, mis sätestab, et Statistikaameti kogutud
ja statistiliselt töödeldud andmete organisatsioonilise, infotehnilise ja füüsilise kaitse nõuded
kehtestab Vabariigi Valitsus määrusega. Tänaseks on üldised nõuded andmete kaitsele
sätestatud erinevate õigusaktide ja standarditega. Kuna Statistikaametil on kohustus järgida nii
küberturvalisuse seaduse ja selle rakendusaktide, nt Eesti infoturbestandard, nõudeid, siis
puudub eraldi vajadus sätestada asutusepõhiseid nõudeid. Antud muudatusel ei ole mõju
asutuse tänasele tegevusele, kuna Statistikaamet järgib ka täna nimetatud õigusaktidest
tulenevaid nõudeid.
RStS muudatustel ei ole mõju olemasolevale korrale ega praktikale riikliku statistika
vajadusteks isikuandmete töötlemisel. Sisuliselt tõstetakse kehtivas isikuandmete kaitse
seaduses juba kehtivad normid üle riikliku statistika seadusesse.
§ 4. Teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmine
TAIKS-is tehakse tehniline muudatus, mis tuleneb IKS § 6 lõigete numeratsiooni muutmisest.
Viide IKS § 6 lõikele 4 asendatakse viitega lõikele 6. Muudatuse eesmärk on tagada viidete
vastavus IKS-i uuele sõnastusele ning vältida õiguslikku ebaselgust ja eksitavaid viiteid.
Sisulisi muudatusi ega uusi kohustusi see muudatus kaasa ei too – tegemist on üksnes viidete
ajakohastamisega, et tagada seaduste kooskõla ja selgus.
3.2. Põhiseaduspärasus ja andmekaitsealane mõjuhinnang
18
Igasugune isikuandmete töötlemine riivab PS §-s 26 sätestatud õigust eraelu puutumatusele. PS
§ 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega. See tähendab, et
niisugune piirang peab olema kooskõlas ka PS § 3 esimese lausega, mille kohaselt teostatakse
riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Sättes väljendatud
üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik
olulised otsused langetama seadusandja. PS § 11 teise lause kohaselt peavad õiguste ja
vabaduste piirangud olema demokraatlikus ühiskonnas vajalikud. Põhiõiguse riive on
proportsionaalne, kui see on eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas. IKS § 6
jõustamisega on seadusandja jaatanud isikuandmete töötlemise vajalikkust teadus- ja
ajaloouuringute ning riikliku statistika ja täidesaatva riigivõimu analüüside ja uuringute
koostamiseks. Seadusandja on näinud ette vajaduse analüüsida isikuandmeid, et teha poliitika
kujundamise eesmärgil analüüse ja uuringuid.
Muudatuse eesmärk on võimaldada teadus- ja arendustegevust ning innovatsiooni laiemalt,
mitte ainult poliitika kujundamiseks, ning tagada, et kõik asutused (sh KOV-id, ülikoolid,
ettevõtjad) saaksid uuringuid teha, kui on tagatud piisavad kaitsemeetmed. See on vajalik
ennekõike, kuna praegune regulatsioon on liiga kitsas ega võimalda kõigil asutustel uuringuid
teha. Ka IKÜM ei kitsenda isikute ringi, kes teadust ja innovatsiooni võivad teha, kuid määratud
peavad olema asjakohased kaitsemeetmed. Tasakaalustava meetmena nähakse muudatusega
ette oluliselt rangemad andmetöötlustingimused, mis peavad olema täidetud, et andmesubjekti
nõusolekuta oleks lubatud andmeid uuringus töödelda. Sätestatavad andmetöötluse
lisatingimused kehtivad kõikidele uuringu tegijatele, mitte üksnes avaliku sektori asutustele.
See tähendab, et riive isikute põhiõigustele on mõõdukas ja tasakaalustatud – eesmärki ei ole
võimalik saavutada vähem piiravate meetmetega ja uued kaitsemeetmed vähendavad riske
andmesubjektide põhiõigustele. Muudatused on mõeldud tingimuste täpsustamiseks, mitte
üldpõhimõtete muutmiseks.
Muudatusega võimaldatakse isikuandmete töötlemist spetsiaalses andmetöötlussüsteemis, kuid
ainult juhul, kui on võetud kõik seaduses sätestatud olulised kaitsemeetmed. See tähendab, et
andmesubjekti õiguste riive on põhjendatud ja piiratud – andmeid töödeldakse ainult siis, kui
see on vajalik ja piisavalt kaitstud nii tehniliste kui ka organisatsiooniliste meetmetega. Lisaks
nähakse muudatusega ette, et tervishoiu ja sotsiaalkaitse valdkonna terviseandmeid võib
töödelda üksnes andmetöötlussüsteemis, mis tagab andmete töötluse üksnes isikustamata kujul.
Muudatuse eesmärk on võimaldada kiiremat ja turvalisemat andmepõhiste otsuste tegemist.
Praegune olukord ei võimalda piisavalt kiiresti ligipääsu vajalikele andmetele ning takistab
tõhusat teadustegevust ja innovatsiooni. Uus andmetöötlussüsteem võimaldab uuringuid teha
turvalises keskkonnas, vähendades samal ajal andmesubjektide õiguste riivet.
Andmetöötlussüsteemi kasutamisel on ette nähtud ranged tehnilised ja korralduslikud
turvanõuded (nt andmete pseudonüümimine, piiratud juurdepääs, logimine, andmete
kustutamine pärast uuringu lõppu). Enne süsteemi kasutuselevõttu kontrollib AKI kõigi
tingimuste täitmist. Kui kõik nõuded on täidetud, ei kohaldata lisapiiranguid (nt eetikakomitee
hinnangut), v.a juhul, kui see nõue tuleb mõnest muust seadusest. See vähendab
halduskoormust, kuid säilitab andmekaitse kõrge taseme.
Selline lähenemine on proportsionaalne, sest võimaldab kiiremalt uuringuid teha minimaalse
vajaliku riivega andmesubjektide õigustele. Muudatusega täpsustatakse, millal ja milliste
kaitsemeetmetega võib andmeid töödelda andmetöötlussüsteemis, ning luuakse selgus, millal
on vajalik AKI kontroll. See tagab õigusselguse ja väldib olukorda, kus andmete töötlemise
alused oleksid ebamäärased. Muudatus on proportsionaalne ja mõõdukas, sest lisatakse
19
täiendavad tehnilised ja korralduslikud kaitsemeetmed ning sõltumatu eelkontroll, mis tagab
õigusselguse ja seadusandja kontrolli põhiõigusi puudutavate otsuste üle. Muudatusega isikute
põhiõiguste riive ei suurene, vaid pigem väheneb, kuna täpsustatakse kaitsemeetmeid ja
andmete töötlemise tingimusi.
Muudatustega laieneb isikute ring, kes võivad teadus- ja arendustegevuse ning innovatsiooni
eesmärgil töödelda isikuandmeid ilma andmesubjekti nõusolekuta. Samas täpsustatakse ja
karmistatakse andmekaitsenõudeid, et tagada andmesubjektide põhiõiguste parem kaitse. Uued
nõuded hõlmavad:
täpsemaid tingimusi, millal ja kuidas võib andmeid töödelda;
pseudonüümimise ja muude kaitsemeetmete rakendamist;
läbipaistvuse suurendamist (nt uuringust AKI-le teatamine ja info avalikustamine AKI
veebilehel);
selgemaid reegleid eetikakomiteede rolli ja pädevuse kohta.
Need meetmed vähendavad riske andmesubjektide õigustele, tagades, et andmeid töödeldakse
ainult siis, kui see on põhjendatud, vajalik ja piisavalt kaitstud. Uuringu tegija peab enne
andmetöötluse alustamist teavitama AKI-t ning info uuringu kohta avalikustatakse Eesti
teabeväravas, mis tagab andmetöötluse läbipaistvuse ja võimaldab teha tõhusamat järelevalvet.
Andmetöötlussüsteemi kasutamine võimaldab töödelda isikuandmeid, sh eriliiki isikuandmeid,
turvalises ja kontrollitud keskkonnas. See vähendab andmesubjektide õiguste riivet, kuna:
süsteemi kasutamisel on kohustus rakendada rangeid tehnilisi ja korralduslikke
turvanõudeid (pseudonüümimine, piiratud juurdepääs, logimine, andmete kustutamine
pärast uuringu lõppu);
uuringu tegijal on juurdepääs ainult neile andmetele, mida on lubatud töödelda;
selliste andmete allalaadimine, mis võimaldaks isikut tuvastada, on välistatud.
Riskide maandamise meetmena enne süsteemi kasutuselevõttu kontrollib AKI, vajadusel
kaasates Riigi Infosüsteemi Ametit, kas kõik seaduses sätestatud tingimused ja turvanõuded on
täidetud. Süsteemi kasutamisel on kohustus tagada, et kõik töötlustoimingud on logitud.
Uuringu tegijal on juurdepääs ainult neile andmetele, mida on lubatud töödelda konkreetse
uuringu jaoks. Kui kõik seaduses sätestatud tingimused on täidetud ja kontrollitud, ei ole vaja
eetikakomitee täiendavat hinnangut ega ka AKI teavitamist, mis vähendab halduskoormust,
kuid säilitab andmekaitse kõrge taseme.
Tuleb silmas pidada, et iga andmetöötlussüsteemi pakkuja peab enne süsteemi kasutuselevõttu
koostama oma süsteemi kohta andmekaitsealase mõjuhinnangu, see kohustus tuleb IKÜM-i
artiklist 35, mille kohaselt kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat
kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja
eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht,
hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise
toimingute mõju isikuandmete kaitsele. Andmekaitsealase mõjuhinnangu olemasolu on
eelduseks AKI-poolsele kontrollile ja süsteemi kasutuselevõtule.
Protsessiskeem eelnõu rakendamiseks
Tervishoiu ja sotsiaalkaitse valdkonna terviseandmeid võib töödelda § 61 tingimustele
vastavas AKI kontrollitud keskkonnas.
20
Joonis 1. Protsessiskeem isikuandmete kasutamiseks teadus- ja ajaloouuringu ning statistika
eesmärgil. Allikas: JDM.
4. Eelnõu terminoloogia
Muudatusega võetakse termin „uuring“ kasutusele laiemas tähenduses. Muudatuse järel
nimetatakse teadus-, ajaloo- ja statistika eesmärgil tehtavat uuringut edaspidi ühise terminiga
„uuring“. Teadusuuringu eesmärgil isikuandmete töötlemine hõlmab näiteks tehnoloogia
arendamist ja tutvustamist, alusuuringuid, rakendusuuringuid ja erasektori vahenditest
rahastatavaid uuringuid. Ka tehisaru arendamine on osa tehnoloogiaarendusest.
5. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõuga ei võeta üle Euroopa Liidu õigust. Eelnõu koostamisel on arvesse võetud
isikuandmete kaitse üldmääruses12 ja õiguskaitseasutuste direktiivis13 sätestatut.
6. Seaduse mõjud
Seaduse rakendamise mõju avaldub eelkõige riigiasutuste ja kohaliku omavalitsuse
korralduses, sotsiaalvaldkonnas ning majanduses. Mõju puudutab AKI-t, eetikakomiteesid,
riigiasutusi, KOV-e, ülikoole ja ettevõtjaid ning andmesubjekte (füüsilisi isikuid, kelle
isikuandmeid uuringutes töödeldakse). Peamised mõjud seisnevad uuringute korralduse
muutumises, isikuandmete töötlemise tingimuste täpsustumises ning halduskoormuse
vähenemises. Mõju riigi julgeolekule ja välissuhetele, regionaalarengule ning elu- ja
12 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel
ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse
üldmäärus) 13 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses
pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist
ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK
21
looduskeskkonnale on hinnanguliselt väike. Muudatustega võib kaasneda andmesubjektide
õiguste riive või andmekaitsenõuete ebaühtlane rakendamine, kuid nende riskide realiseerumise
tõenäosus on hinnanguliselt väike.
6.1. Andmekaitse Inspektsioon – mõju töökorraldusele
Hetkel ei ole teada, kui palju tehakse aastas teadus- ja ajaloouuringuid ning statistilisi analüüse,
mille tegemiseks on vaja töödelda isikuandmeid. Riigiasutused tellivad või teevad
poliitikakujundamise eesmärgiga uuringuid aastas 25–30. Eeldatavasti teadusasutused teevad
neid kordades rohkem, lisanduvad KOV-id ja muud juriidilised isikud. Eestis on kokku 78
kohaliku omavalitsuse üksust, kui pool neist teeb ühe uuringu aastas, tähendab see 39 teavitust.
Muudatusega väheneb AKI koormus, mis tal kehtiva IKS-i kohaselt on seoses enne uuringu
alustamist tehtud taotluse läbivaatamise ja hindamisega. Eelnõuga tehtava muudatuse tõttu
kasvab aga järelevalvega seotud tegevus, kuna kui uuringus töödeldakse tuvastamist
võimaldavaid isikuandmeid, peab uuringu tellija AKI-t teavitama uuringu eesmärkidest,
töödeldavatest andmetest ja rakendatud kaitsemeetmetest. AKI-l on võimalik vajaduse korral
teha järelevalvet juba enne uuringu alustamist või ka hilisemas etapis. Kui uuringuid tehakse
andmetöötlussüsteemis, on AKI ülesandeks kontrollida enne süsteemi kasutuselevõttu, kas kõik
tehnilised ja korralduslikud tingimused on täidetud, vajadusel kaasates Riigi Infosüsteemi
Ametit. Eeldatavasti tekib selliseid andmetöötlussüsteeme 3–5, seega kontrollide maht ei ole
suur, küll aga tuleb silmas pidada, et kontrollile kuluv aeg on siiski arvestatav, sest hõlmab
tehniliselt paljusid aspekte ja andmekaitsetingimuste täitmise kontrolli. AKI roll uuringute
järelevalves ja andmetöötlussüsteemide eelkontrollis suureneb, kuid AKI-l ei ole enam sellist
rolli nagu on eetikakomiteedel. AKI koormus väheneb seetõttu, et ta ei tee enam uuringute
eelkooskõlastusi, kuid suureneb järelevalve ja eelkontrollide tõttu.
Kokkuvõttes muutub AKI töö iseloom – vähem rutiinset üksikjuhtumite menetlemist, rohkem
süsteemset järelevalvet ja tehnilist hindamist.
6.2. Eetikakomiteed – mõju töökorraldusele
Muudatuse järel hakkavad eetikakomiteed hindama uuringuid, mis tehakse eriliiki
isikuandmetega lõike 3 ja 4 tingimustele vastavalt, ehk siis nii isikustatud kui ka
pseudonüümitud isikuandmetega. Juhul kui eriliiki isikuandmeid töödeldakse
andmetöötlussüsteemis, eetikakomitee hindamise kohustust ei ole, kui seaduses ei ole
sätestatud teisiti. Muudatusega eetikakomitee koormus väheneb, kuna hinnanguid ei ole vaja
anda, kui eriliiki isikuandmeid töödeldakse andmetöötlussüsteemis, mis peab lisaks § 61 lõikes
2 sätestatud nõutele vastama ka IKS § 6 lõikes 3 sätestatud tingimustele. Eetikakomiteelt
positiivse hinnangu saamine on kohustuslikuna sätestatud järgmistes seadustes:
inimgeeniuuringute seadus (§-d 27 ja 32), nakkushaiguste ennetamise ja tõrje seadus (§ 201),
narkootiliste ja psühhotroopsete ainete ning nende lähteainete seadus (§ 112), rahvatervishoiu
seadus (§ 30), ravimiseadus (§-d 811ja 992), meditsiiniseadme seadus (§ 213), surma põhjuse
tuvastamise seadus (§ 321), Tervisekassa seadus (§ 466), TAIKS (§ 26) ning tervishoiuteenuste
korraldamise seadus (§ 594).
Muudatusega laieneb termini „uuring“ sisu – poliitika kujundamise uuringud (nt riigiasutuste
ja KOV-ide analüüsid ja uuringud) kuuluvad samuti § 6 alla ning võivad vajada eetikakomitee
hinnangut. Kuid oluline muudatus on, et kui uuring tehakse spetsiaalses
andmetöötlussüsteemis, siis eetikakomitee hinnangut vaja ei ole. Paljusid poliitika kujundamise
22
uuringuid, milleks seni on olnud vaja eetikakomitee ja AKI hinnangut, saab edaspidi teha ilma
nendeta, kui kasutatakse piisavaid tehnilisi ja organisatsioonilisi kaitsemeetmeid vastavas
andmetöötlussüsteemis. Seega eetikakomitee ei pea menetlema kõiki avaliku sektori tehtavaid
uuringuid, vaid ainult neid, kus eriliiki isikuandmeid töödeldakse väljaspool
andmetöötlussüsteemi, kui seaduses ei ole sätestatud teisiti. Siinkohal sobivad näiteks Eesti
Geenivaramu uuringud, mille puhul tuleb andmekogu vastutaval töötlejal saada oma
uuringutele teaduseetika komitee heakskiit.
6.3. Andmesubjektid – sotsiaalne mõju
Kuna muudatusega nähakse ette kindlad kaitsemeetmed isikuandmete töötlemisele, siis
väheneb riive isikute põhiõigustele. Muudatusega luuakse võimalused andmete töötlemiseks
andmetöötlussüsteemis ning väheneb isikustatud andmete töötlemise maht. Avades KOV-idele
uuringute tegemise võimaluse, laieneb isikuandmete töötlejate ring, kuid samas nähakse ette
kaitsemeetmed isikuandmete töötlemisele, seega ei suurene oluliselt isikute põhiõiguste riive.
Isikute põhiõigustele muudatused olulist lisariivet ei tekita.
Andmesubjekt võib sõltuvalt uuringust olla iga inimene. Muudatusega luuakse andmetöötluse
protsess, mis riivab vähem isikute põhiõigusi, ning täiendatakse andmetöötluse
kaitsemeetmeid, mis tagavad tõhusama isikuandmete kaitse. Muudatus mõjutab andmesubjekti
positiivselt, kuna lisaks IKS § 6 tingimuste täitmise hindamisele antakse uuringule ka eetiline
hinnang. Kuna isiku tuvastamist võimaldavate andmetega tehtud uuringute tegemise kohta
avalikustatakse info Eesti teabeväravas, võimaldab see andmesubjektil saada ülevaate, milliseid
uuringuid tema andmetega tehakse. Andmesubjekt saab vajadusel lisateabe saamiseks
pöörduda uuringu tellija poole. Samuti säilib andmesubjektil õigus pöörduda AKI poole, kui ta
leiab, et tema andmeid on töödeldud ebaseaduslikult või tema õigusi on rikutud.
6.4. Asutused, kohalikud omavalitsused ja nende hallatavad asutused – mõju
töökorraldusele
Kui praegu võivad asutused isikuandmeid kasutades uuringuid teha peamiselt poliitika
kujundamise eesmärgiga, siis edaspidi saavad nad seda teha ka muudel eesmärkidel, näiteks
teenuste arendamiseks või avalikes huvides innovatsiooni elluviimiseks. Kõikidele uuringu
tellijatele hakkavad kehtima võrdsed õigused ja kohustused, olenemata sellest, kas tegemist on
riigiasutuse, KOV-i, ülikooli või ettevõtjaga.
Praegu ei saa KOV-id teha isikuandmetel põhinevaid uuringuid. Muudatuse mõju KOV-idele
on seega positiivne, kuna selline võimalus neile luuakse. Positiivne on mõju ka teistele
asutustele, sest muudatus võimaldab teha kiiremini andmetel põhinevaid otsuseid. Enamikuks
uuringuteks ei ole vaja töödelda isikustatud andmeid ja uuringu tegijale on vajalikud üksnes
statistilised andmed. Sellist andmetöötlust saab eelnõu kohaselt edaspidi teha
andmetöötluskeskkonnas. Keskkonnas ei töödelda andmeid, mis võimaldavad isikut tuvastada,
mistõttu ei ole vajalik eetikakomitee eelnev hinnang, mistõttu kiireneb uuringu protsess. Nendel
juhtudel, kui on vaja töödelda eriliiki isikuandmeid väljaspool andmetöötlussüsteemi, tuleb
enne andmetöötlusega alustamist läbida eetikakomitee. Kehtiva õiguse järgi tuleb juhul, kui
uuring tehakse eriliiki isikuandmetega, läbida nii eetikakomitee kui ka AKI menetlus, kuid
muudatuse järel ei ole vaja AKI eelnevat hinnangut.
Asutustel, KOV-idel ja nende hallatavatel asutustel tekib rohkem võimalusi ja paindlikkust
uuringute tegemisel, kuid ka suurem vastutus andmekaitsenõuete täitmise eest.
23
6.5. Ülikoolid, ettevõtjad – majanduslik ja töökorralduslik mõju
Muudatusega luuakse selgemad tingimused, millal ja milliste andmetega uuringuid on lubatud
teha. Luuakse selgus, millal ja millise eetikakomitee poole peab uuringu tellija pöörduma.
Uuringu tellijale luuakse võimalus andmeid töödelda andmetöötluskeskkonnas, väheneb
uuringu tellija töökoormus ja lüheneb uuringu tegemise aeg, kuna eriliiki isikuandmete
andmetöötluskeskkonnas töötlemise tarvis ei ole vaja eetikakomitee hinnangut. Isikuandmete
töötlemine tähendab teadustöö tellijale paratamatult IKS-ist tulenevaid piiranguid ja
halduskoormust (eetikakomitee menetlus). Kavandatavad muudatused küll muudavad kehtivat
korda, kuid eeldatavasti halduskoormus teadustöö tegijatel ei suurene, vaid pigem väheneb
olukorras, kus soovitakse töödelda eriliiki isikuandmeid andmetöötlussüsteemis. See on ka
oluline aja kokkuhoid. Teatavat mõju halduskoormusele võib tekitada AKI teavitamise
kohustus, kuid võrreldes eetikakomitee menetlusega ei ole see märkimisväärne.
6.6. Riikliku statistika tegijad
RStS-i muudatustel ei ole mõju olemasolevale korrale ega praktikale, mis kehtib riikliku
statistika vajadusteks isikuandmete töötlemisel.
24
6.7 Mõjude koondkokkuvõte
Halduskoormus ettevõtetele
Eelnõu rakendamise tulemusel halduskoormus ettevõtetele üldjuhul väheneb. Vähenemine
tuleneb eelkõige võimalusest teha uuringuid ja analüüse nõuetele vastavas
andmetöötlussüsteemis, mille kasutamisel ei ole vaja läbida kõiki seniseid kooskõlastus- ja
hindamismenetlusi (nt eetikakomitee menetlust). Teatav täiendav halduskoormus võib
kaasneda AKI teavitamise kohustusega, kuid see on võrreldes varasema menetlusega vähem
ajamahukas.
Halduskoormus inimestele (andmesubjektidele)
Eelnõu ei too kaasa inimestele uusi kohustusi ning halduskoormus kodanikele tervikuna ei
suurene. Andmesubjektide vaates muutub andmetöötlus läbipaistvamaks (nt uuringute
avalikustamine Eesti teabeväravas), mis võib vähendada vajadust pöörduda selgituste
saamiseks asutuste poole.
Töökoormus avalikule sektorile
Avaliku sektori töökoormus oluliselt ei suurene. AKI töö iseloom muutub – väheneb üksikute
eelmenetluste menetlemine ning suureneb järelevalve ja andmetöötlussüsteemide
eelkontrolliga seotud töö. Eetikakomiteede töökoormus väheneb, kuna andmetöötlussüsteemis
tehtavate uuringute puhul ei ole üldjuhul eetikakomitee hinnangut vaja. Riigiasutuste ja KOV-
ide jaoks lihtsustub uuringute tegemine.
7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Teenistujate töökoormuse kasv seoses AKI veebilehel uuringute ja andmetöötlussüsteemide
kohta teabe avaldamisega sõltub uuringute arvust. Seaduse rakendamine ei too riigile ega
kohalikele omavalitsustele kaasa olulisi täiendavaid kulusid. Mõningane töökoormus võib
kaasneda AKI-le järelevalvega ning uuringute ja andmetöötlussüsteemide kohta teabe
avaldamisega AKI veebilehel. Nende tegevustega seotud tööjõukulu sõltub eelkõige
läbiviidavate uuringute arvust. Seaduse rakendamisega ei kaasne täiendavaid tulusid.
8. Rakendusaktid
Eelnõu § 61 lõige 4 näeb ette volitusnormi, mille kohaselt on valdkonna eest vastutaval ministril
õigus kehtestada määrusega täiendavaid tehnilisi ja korralduslikke turvanõudeid
andmetöötlussüsteemis andmete töötlemisele. Selline volitusnorm on vajalik, et tagada
paindlikkus ja ajakohasus turvanõuete rakendamisel, arvestades tehnoloogia kiiret arengut ning
uute riskide ilmnemist andmetöötluses. Tegemist on lubava volitusnormiga, mis võimaldab
reageerida kiiresti olukordadele, kus senised seaduses sätestatud nõuded ei pruugi olla piisavad,
ning kehtestada lisameetmeid, mis on vajalikud andmete turvaliseks töötlemiseks.
9. Seaduse jõustumine
Seadus jõustub üldises korras, kuna eelnõu seadusena jõustumine ei too kaasa vajadust
praktiliste muudatuste järele. See loob võimaluse uut moodi andmetöötluseks. Kuna tegemist
ei ole kohustusega, siis ei ole eelnõu adressaatidel seaduse jõustumisel vaja oma tegevust suures
mahus ümber korraldada.
25
10. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
VTK koostamisele eelnesid arutelud riigi andmete juhtrühma õiguse töörühma kohtumistel,
kuhu lisaks ministeeriumidele olid kaasatud Riigikantselei, AKI, Õiguskantsleri Kantselei,
Statistikaamet, ülikoolid ja Eesti Andmekaitse Liit. Samuti toimusid kohtumised Eesti
Infotehnoloogia ja Telekommunikatsiooni Liidu ja IT-ettevõtjatega. Avalikus konsultatsioonis
kaasati veel Eesti Juristide Liit, Eesti Advokatuur, Riigi Infosüsteemi Amet, Eesti
Infotehnoloogia ja Telekommunikatsiooni Liit, Eesti Teaduste Akadeemia, Eesti rektorite
nõukogu, Rahvusarhiiv, Eesti Linnade ja Valdade Liit, Riigikohus, Tallinna Ringkonnakohus,
Tartu Ringkonnakohus, Tallinna Halduskohus, Tartu Halduskohus, Tartu Ülikool, Tallinna
Tehnikaülikool, Tallinna Ülikool, Eesti Maaülikool, Eesti Kunstiakadeemia, Eesti Muusika- ja
Teatriakadeemia, Eesti Lennuakadeemia, Kaitseväe Akadeemia, Sisekaitseakadeemia, Tallinna
Tehnikakõrgkool, Tallinna Tervishoiu Kõrgkool, Kõrgem Kunstikool Pallas,
rakenduskõrgkoolide rektorite nõukogu, SA Eesti Teadusagentuur, Eesti Isikuloo Keskus, Eesti
Mälu Instituut, Inimõiguste Instituut, E-riigi Akadeemia, Eesti Koostöö Kogu, Eesti
Kaubandus-Tööstuskoda, Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon ning Eesti
Tööandjate Keskliit. VTK esitati teadmiseks Riigikogule, kelle soovil tutvustati VTK-d
põhiseaduskomisjonis.
VTK kohta esitasid tagasiside Haridus- ja Teadusministeerium, Siseministeerium,
Sotsiaalministeerium, Rahandusministeerium, Kultuuriministeerium, Eesti Linnade ja Valdade
Liit, mõttekoda Praxis, Regionaal- ja Põllumajandusministeerium, Statistikaamet, Tallinna
Tehnikaülikool, Tartu Ülikool, Eesti Meediaettevõtete Liit, Eesti Rahvusraamatukogu, Eesti
rakendusuuringute keskus Centar, Eesti Tööandjate Keskliit, Eesti Kunstiakadeemia,
Kaitseministeerium, Majandus- ja Kommunikatsiooniministeerium, Andmekaitse
Inspektsioon, Eesti Andmekaitse Liit, Eesti Infotehnoloogia ja Telekommunikatsiooni Liit,
Eesti Advokatuur, Eesti Maaülikool, SA Eesti Teadusagentuur ja Rahvusarhiiv. Eelnõu on
koostatud arutelude käigus saadud infot ja VTK tagasisidet arvestades.
Eelnõu esitati kooskõlastamiseks eelnõude infosüsteemi (EIS) kaudu kõikidele osapooltele, kes
olid kaasatud VTK etapis. Eelnõu kohta esitatud arvamused koos selgitustega on toodud
seletuskirja lisas.
Isikuandmete kaitse seaduse muutmise ja sellega seonduvate teiste seaduste muutmise seadus
eelnõu seletuskirja Lisa
Kooskõlastustabel
1.Tervise Arengu Instituut Justiits- ja Digiministeeriumi märge
1.1 TAI ei saa nõustuda hinnanguga, et uus seaduse sõnastus vähendab teadlaste halduskoormust. Terviseandmeid kasutavates teadusuuringutes peame teaduse hea tava kohaselt igal juhul läbima eetikakomitee menetluse ka juhul, kui taotleme pseudonüümitud andmeid, sageli on see ka publitseerimise eeltingimus. Lisaks peame edaspidi täiendavalt teavitama AKI- t igast uuringust, milles kasutame isikuandmeid. Kõige suurem probleem on meie hinnangul seni kehtinud nõude eemaldamine, mille kohaselt pseudonüümitud eriliiki andmete kasutamiseks on vajalik eetikakomitee kooskõlastus. Eetikakomitee ei hinda mitte ainult andmekaitse nõuete täitmist, vaid ka andmete minimaalsuse printsiibi täitmist, kaudse tuvastamise võimalust, uuringukavandi asjakohasust ja metoodika pädevust ning muid uuringueetikaga seotud asjaolusid. Nõude eemaldamine suurendab olulisel määral TAI kui andmekogude vastutava töötleja halduskoormust. Esiteks suureneb tõenäoliselt päringute maht, sest uuringute tegijad ei pea enam eetikakomitee hindamist läbima ja teiseks peab edaspidi TAI ise hindama neid ülalnimetatud uuringuga seotud asjaolusid, mida varem hindas eetikakomitee. Eetikakomitee hindamise nõude puudumine eriliiki andmete puhul võib tekitada ka laiemaid probleeme (annab vale signaali, et pseudonüümitud uuringuid nt terviseandmetega võibki teha ilma eetikakomitee kooskõlastuseta) ja on vastuolus hea tavaga. Samuti näeme riski, et juhul kui uuringut soovib läbi viia nt. väiksem KOV oma elanikele osutatava teenuse parendamiseks, siis võivad isikuandmed vaatamata pseudonüümimisele olla valimi väiksuse tõttu siiski isikustatavad.
Selgitame. Eetikakomitee hinnangut on vaja üksnes juhul kui töödeldakse eriliiki andmeid ning seda ei tehta IKS § 61 sätestatud tingimustele vastavas andmetöötlussüsteemis. Eelnõu § 6 lg 3 kohaselt, ei tohi uuringu tegemisel teha toiminguid, mis võimaldavad isikuid tuvastada. KoV-i näite pinnalt ei oleks lg 3 tingimused täidetud, isik oleks tuvastatav ning sellisel juhul peab siiski pöörduma eetikakomiteesse hinnangu saamiseks.
1.2 Eelnõu kohaselt (IKS § 6 lg 9) nähakse ette võimalus, et kui uuringu tegija töötleb andmeid ühe andmekogu piires, mille vastutavaks töötlejaks ta on, siis ei pea ta järgima § 6 lg 3 p-de 1–3 ja lg 5 ning 7 nõudeid. Samas ei kohaldu nimetatud säte, kui uuringu tegija töötleb andmeid, mis pärinevad mitmest andmekogust, olles samas ise nende kõigi vastutav töötleja. Vastav selgitus on küll toodud eelnõu seletuskirjas, kuid ei ole sõnaselgelt väljendatud eelnõu tekstis. Õigusselguse huvides teeme ettepaneku lisada IKS § 6 lõikesse 9 järgnev lause: “Kui uuringu tegija töötleb isikuandmeid, mis pärinevad mitmest
Mittearvestatud. Selgitame. Seaduses on selgelt öeldud, et tegemist on andmetöötlusega, mis toimub ühe andmekogu piires, mitte ei ole seotud ühe vastutava töötlejaga, kellele võib kuuluda mitu andmekogu.
2
andmekogust, mille kõikide puhul on ta vastutavaks töötlejaks, siis § 6 lg 3 p- de 1–3 ja lg 5 ning 7 nõuded kohalduvad.“.
2. Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon Justiits- ja Digiministeeriumi märge
2.1 Eelnõu kohaselt võib isikuandmeid, sealhulgas eriliiki isikuandmeid, andmesubjekti nõusolekuta teadus-, ajaloouuringu- või statistikatöö (edaspidi uuring) eesmärgil töödelda eelkõige, kasutades pseudonüümimist või muud samaväärset kaitset pakkuvat meedet. Pseudonüümimisega või muu samaväärse meetmega on eelnõu järgi tegemist, kui on täidetud kõik järgmised tingimused: 1) enne isikuandmete üleandmist uuringu tegijale need pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid päringu saanud andmekogus; 2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada; 3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut, kelle isikuandmeid, sealhulgas eriliiki isikuandmeid, töödeldi; 4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju. Siin ei ole tegemist pseudonüümimise või muu samaväärse meetme tingimustega, vaid pseudonüümitud või samaväärse meetmega kaitstud isikandmete töötlemise tingimustega. Loetelu neljanda punkti näol on tegemist ka sama paragrahvi lõikes 6 toodud tingimuse mittevajaliku kordusega.
Eelnõu ja seletuskirja muudetud. Selgitame, et IKS kohaselt lubatakse uuringus isikuandmeid töödelda kui on täidetud lg 3 tingimused. Lg 4 kohaselt kui on sättest toodud tingimused täidetud, siis on lubatud andmeid töödelda isiku tuvastamist võimaldaval kujul. Kordus on vajalik, sest tingimus peab olema täidetud nii lg 3 kui ka lõige 4 alusel toimuva andmetöötluse puhul.
2.2 Eelnõus sätestatakse, et isikuandmete kaitse seaduse tähenduses
loetakse seaduses sätestatud uuringuks ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüsid ja uuringud, sealhulgas tehnoloogiaarendused. Probleem seisneb selles, et isikuandmete kaitse üldmäärus reguleerib ainult avalikes huvides toimuvat andmetöötlust arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Kehtiva seaduse tähenduses loetakse teadusuuringuks ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. See tegevus toimub kindlasti avalikes huvides. Aga kõik muud avaliku sektori institutsioonide analüüsid ja uuringud ei pruugi olla teostatud avalikes huvides. Ka teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse järgi on teadus- ja arendustegevuse osalised selle seaduse mõttes ainult teadlased, teadus- ja arendusasutused, ülikoolid, rakenduskõrgkoolid ning teised osalised, kes kavandavad, viivad läbi, korraldavad, rahastavad, toetavad või hindavad teadus- ja arendustegevust või avaldavad teadus- ja arendustegevuse tulemusi. Oluline
Selgitame, et tulenevalt IKÜM-i eesti keelses ebaõnnestunud tõlkest tuleb arvesse võtta IKÜM-i originaal keelt, mille kohaselt peab üksnes arhiveerimine toimuma avalikes huvides. IKÜM art 89 Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Statistikat ja teadusuuringuid on lubatud teha ka juhul kui avaliku huvi ei ole.
3
on see, et isikuandmete kaitse üldmääruse kohaselt isikuandmete vastav töötlemine lubatud ainult avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Sellise tingimusega tuleks eelnõus täiendada ka avaliku sektori institutsioonide, kes ei ole teadus- ega arendusasutused, analüüse ja uuringuid, et vältida vastuolu üldmäärusega.
2.3 Andmesubjektil on isikuandmete kaitse üldmääruse järgi õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju. Erandina on selline tegevus lubatud vastutava töötleja poolt kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks. Kui me lähtume eeldusest, et avalike ülesannete automatiseerimine ja selleks tehnoloogia või tehisintellekti arendamine toimub avalikus huvis, siis on ka vajalik eelnevalt kehtestada väljaspool andmekaitse valdkonda üldine regulatsioon, milles sätestatakse andmesubjekti kaitsemeetmed või nõuded tema kaitseks kohaldatavatele meetmetele, kui andmesubjekti suhtes hakatakse tegema otsuseid ainult automatiseeritud töötluse alusel.
Selgitame, et säte ei reguleeri avaliku ülesande käigus tehnoloogia kasutamist vaid olukorda kui soovitakse tehnoloogia välja arendada. Juhul kui avalik sektori hakkab välja arendatud tehnoloogiat kasutama oma avalike ülesannete täitmisel peab tal selleks olema seaduses omaette õiguslik alus.
2.4 Eelnõusse võetakse üle ka kehtiva seaduse tekst, kus on sätestatud, et kui paragrahvi 6 lõike 3 tingimused ei ole täidetud, on isikuandmete, sealhulgas eriliiki isikuandmete töötlemine uuringuks lubatud üksnes juhul, kui on täidetud kõik järgmised tingimused: 1) pärast tuvastamist võimaldavate andmete eemaldamist ei oleks andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada; 2) uuringu tegija hinnangul on selleks ülekaalukas avalik huvi; 3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi. Üks probleem on seotud siin sellega, et ülekaaluka avaliku huvi määratlemine ei tohi sõltuda ainult uuringu tegija hinnangust. Teine probleem seisneb selles, et on määratlemata, mida tähendab andmesubjekti õiguste ülemäärane kahjustamine. Ülemäärase õiguste kahjustamise keelu asemel võiks sätestada, et peavad olema tagatud muud sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.
Selgitame. Ülekaalukas avalik huvi on määratlemata õigusmõiste, mida peab iga juhtumi puhul eraldi hindama võttes ühelt poolt arvesse avaliku huvi ja teiselt poolt andmesubjekti õigusi. See on ettevõtjate ja kõigi uuringu tegijate igakordse hindamise kohustus, mille kriteeriumeid selle eelnõuga ka ette ei kirjutata. Sarnane loogika on ka õigustatud huvi hinnanguga, kus iga juhtumi korral tuleb teha eraldi kaalumine. Näitliku loetelu tuua paraku ei saa, sest see võib jätta eksliku mulje, justkui tegevuid, mis ei ole loetelus ei peagi hindama. Ka riigikohus on oma 13.juuni 2005 lahendis nr 3-4-1-5-05 märkinud, et määratlemata õigusmõiste on õigustehniline vahend, mille puhul seadusandja loobub detailsete ettekirjutuste andmisest seadustes enestes, delegeerides normi täpsustamise seaduse rakendajale (p 16).
2.5 Eelnõu paragrahvi 61 kohaselt võib seaduse §-s 6 sätestatud eesmärgil isikuandmeid, sealhulgas eriliiki isikuandmeid, töödelda ka selleks ettenähtud andmetöötlussüsteemis, kui on täidetud seaduse § 6 lõike 3 punktides 2–4 ja
Selgitame, et eelnõuga ei ole silmas peetud mitte ühtegi konkreetset andmetöötlussüsteemi vaid on sätestatud nõuded andmesüsteemile, mida võib kasutamiseks igaüks pakkuda, kui vastavad tingimused on täidetud.
4
paragrahvis 61 sätestatud tingimused. Olemuslikuks probleemiks on siin see, et andmete töötlemine toimub alati mõnes andmetöötlussüsteemis. Ei ole arusaadav, mille poolest erineb eelnõus reguleeritud andmetöötlussüsteem teistest andmetöötlussüsteemidest ja miks ainult sellele andmetöötlussüsteemile kehtestatakse eelnõus eraldi nõuded. Kas see on mõeldud näiteks muudel eesmärkidel kogutud isikuandmete töötlemiseks? Ka andmekogu ise on avaliku teabe seaduse kohaselt defineeritud kui riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Riigi infosüsteemi kuuluvad näiteks andmekogud, mis on infosüsteemi andmevahetuskihiga liitunud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid.
Andmetöötlussüsteeme võib kasutada mitmetel eesmärkidel. Antud juhul on loodud lahendus, kus süsteemis teadusuuringu tarbeks andmete töötlemisel kontrollitud süsteemist kehtivad nö leebemad reeglid, sest süsteem ise tagab piisavad kaitsemeetmed, mis eelnõuga ette nähtud. Siin ei ole silmas peetud andmekogusid, vaid andmetöötlussüsteeme, milles uuringuid soovitakse läbi viia.
2.6 Samuti ei ole arusaadav, kas eelnõus reguleeritud andmetöötlussüsteemi võiks käsitleda ka tehisintellekti regulatiivliivakastina. EL määruse 2024/1689 kohaselt võib muudel eesmärkidel seaduslikult kogutud isikuandmeid tehisintellekti regulatiivliivakastis töödelda üksnes teatavate tehisintellektisüsteemide arendamiseks, treenimiseks ja testimiseks liivakastis, kui on täidetud kõik määruses loetletud tingimused. Osaliselt need kattuvad eelnõus reguleeritud andmetöötlussüsteemi tingimustega. Omaette küsimus on, et kas väljaspool regulatiivliivakasti on määruse kohaselt üldse lubatud muudel eesmärkidel kogutud isikuandmeid kasutada määruse kohaldamisalasse jäävate tehisintellektisüsteemide arendamiseks, treenimiseks ja testimiseks. Näiteks ei kohaldata määrust 2024/1689 tehisintellektisüsteemide või tehisintellektimudelitega seotud teadus-, testimis- või arendustegevuse suhtes enne nende turule laskmist või kasutusele võtmist.
Andmetöötlussüsteemid ei ole selle eelnõu kontekstis regulatiivliivakastina. Võimalik, et kui need vastavad ka viidatud määruse tingimustele, võib neid ka sellisel eesmärgi kasutada.
3. Eesti Kaubandus- ja Tööstuskoda Justiits- ja Digiministeeriumi märge
3.2 Eetikakomitee menetluse kaotamine Eelnõu § 1 punkti 1 (IKS § 6 lg 5) kohaselt ei pea uuringu tegija taotlema enne andmete töötlemist eetikakomitee hinnangut, vaid on kohustatud teavitama Andmekaitse Inspektsiooni vastavast uuringust, uuringu eesmärkidest, töödeldavatest andmetest ja IKS § 6 lg 3 sätestatud tingimuste täitmisest. Kaubanduskoda toetab muudatust, et vähendatakse uuringu tegijate halduskoormust viisil, et uuringu tegijad ei pea läbima eetikakomitee
Teadmiseks võetud.
5
menetlust, kui soovitakse töödelda eriliiki isikuandmeid ja kasutatakse pseudonüümimist või muud samaväärset kaitset pakkuvat meedet. Uuringu tegijate jaoks on oluline, et ei eksisteeriks kohustust läbida paralleelselt mitut eraldi menetlust. Sellest tulenevalt tähendab muudatus uuringu tegijate jaoks menetlusaegade lühenemist, kulude vähenemist ja prognoositavuse suurenemist, mis on olulise tähtsusega kiiresti arenevates valdkondades tegutsevatele uuringu tegijatele, sh tehisaru ja innovatsiooniprojektide puhul. Kaubanduskoja ettepanek: Toetame eelnõu § 1 punkti 1, millega muudetakse IKS § 6 lõiget 5.
3.2 Uuringu tegemise eesmärgi laiendamine Eelnõu § 1 punkti 1 (IKS § 6 lg 2) kohaselt laiendatakse uuringu tegemise eesmärki poliitika kujundamiselt teenuste arendamiseni. Uuringule antakse laiem tähendus, mis hõlmab akadeemilistele ja teadusuuringutele lisaks riigi ja omavalitsusüksuste ning nende allasutuste koostatud või tellitud analüüse, uuringuid ja tehnoloogiaarendusi. Toetame eelnõuga läbiviidavat muudatust, millega laiendatakse uuringu tegemise eesmärki poliitika kujundamiselt ka muude eesmärkideni, näiteks teenuste arendamiseni või avalikes huvides innovatsiooni elluviimiseni. Uuringu tegemise eesmärgi laiendamine loob senisest paremad võimalused kasutada andmepõhiseid lahendusi uute toodete ja teenuste väljatöötamiseks. Kaubanduskoja ettepanek: Toetame eelnõu § 1 punkti 1, millega muudetakse IKS § 6 lõiget 2.
Teadmiseks võetud.
3.3 Andmetöötlussüsteemi pakkujate ringi laiendamine Eelnõu § 1 punkti 2 (IKS § 61 lg 2) kohaselt on ettevõtjatel õigus hakata pakkuma andmetöötlussüsteeme. Kaubanduskoda toetab muudatust, et eelnõuga ei kitsendatud andmetöötlussüsteemide teenusepakkujate ringi selliselt, et süsteemi võib hakata pakkuma ainult üks keskne riigiasutus, vaid et seda võimaldatakse ka ettevõtjatel omal vabal valikul pakkuda. Kaubanduskoja ettepanek: Toetame eelnõu § 1 punkti 2, millega lisatakse isikuandmete kaitse seadusesse § 61 lõige 2.
Arvestatud.
3.4 Teabe avalikustamine Eesti teabeväravas Arvestatud ja seletuskirja täiendatud.
6
Eelnõu § 1 punkt 1 (IKS § 6 lg 5) kohaselt on uuringu tegija kohustatud teavitama Andmekaitse Inspektsiooni uuringu eesmärgist, töödeldavatest andmetest ja rakendatavatest kaitsemeetmetest, mille Andmekaitse Inspektsioon avaldab Eesti teabeväravas. Seletuskirja (lk 7) kohaselt tagatakse Eesti teabeväravas uuringu kohta teabe avalikustamisega läbipaistvus. Ühelt poolt Kaubanduskoda toetab läbipaistvust, mis tuleneks uuringute kohta teabe avaldamistest Eesti teabeväravas. Samas peame oluliseks, et muudatus ei tooks kaasa olulisi ärisaladuse avalikustamise ja konkurentsipositsiooni halvendamise riske. Eelnõu seletuskirja kohaselt võimaldaks teabe avaldamine huvigruppidel ja avalikkusel saada ülevaate, milliseid isikuandmeid ja mis eesmärgil töödeldakse. Seeläbi saaksid teised ettevõtjad informatsiooni ettevõtja arendusplaanide ja strateegiliste suundade kohta. Seetõttu leiame, et teabe avalikustamisel teabeväravas peab kehtima selge erand ärisaladust ja tundlikke innovatsiooniprojekte kaitsvatel juhtudel ning avalikustamisele kuuluva teabe maht peab piirduma minimaalselt vajaliku teabega. Kaubanduskoja ettepanek: Täpsustada eelnõu § 1 punktis 1 (IKS § 6 lg 5) teabeväravas avalikustatava teabe ulatus ja määratleda selgelt, et avalikustamine ei kahjustaks ettevõtjate ärisaladust ega konkurentsivõimet.
Selgitame. Antud juhul on tegemist avaliku teabega AvTS-i mõttes ning juhul kui teave sisaldab juurdepääsupiiranguga andmeid, siis AvTS § 35 lg 1 kohaselt seda osa teabest ei tohi avalikustada. Seega peab antud juhul ette võtja teabe AKI-le edastamisel ära märkima, milline osa teabest on ärisaladus.
3.5 „Ülekaaluka avaliku huvi“ määratlemine Eelnõu § 1 punkti 1 (IKS § 6 lg 6 p 2) kohaselt lubatakse erandina isikuandmete töötlemist ilma pseudonüümimiseta või samaväärset kaitset pakkuva meetme rakendamiseta vaid juhul, kui samaaegselt on täidetud kolm lõikes 6 toodud tingimust, sealhulgas ülekaaluka avaliku huvi olemasolu. Kaubanduskoda leiab, et IKS § 6 lõige 6 punkt 2, mis toob välja „ülekaaluka avaliku huvi“, on hetkel ebamäärane. Näiteks eelnõu ei täpsusta, millistes olukordades ja milliste tunnuste alusel tingimuse täitmist hinnata. Seletuskiri (lk 7) toob ainsa näitena välja olukorra, kus terviseuuringus soovitakse analüüsida haruldase haiguse levimust Eestis, kuid pseudonüümitud andmete analüüsimine ei võimaldaks haiguse leviku mustri tuvastamist, mistõttu otsustab uuringu tegija andmeid töödelda tuvastamist võimaldaval kujul. Sellisel juhul on tal kohustus IKS § 6 lõike 6 punkti 2 alusel põhjendada, et eriliiki isikuandmete töötlemisel uuringuks on tegemist ülekaaluka avaliku huviga. Sellest näitest hoolimata ei ole „ülekaaluka avaliku huvi“ piisaval määral lahti kirjutatud, et ettevõtjad saaksid enesekindlalt sellele tugineda. Ettevõtjatel on vajadus hinnata õiguslikke riske ette, eriti investeeringute
Seletuskirja täiendatud. Vt selgitust p 2.4.
7
tegemisel uuringute läbiviimisse ja innovatsiooni. Tüüpolukordade seletuskirjas esiletoomine, kus ülekaalukas avalik huvi võiks suure tõenäosusega eksisteerida, võimaldaks ettevõtjatel prognoosida, kas andmete töötlemine uuringu läbiviimiseks oleks seadusega lubatud. Kaubanduskoja ettepanek: Täpsustada seletuskirjas eelnõu § 1 punkti 1 (IKS § 6 lg 6 p 2) ülekaaluka avaliku huvi kriteeriumi sisu ning välja tuua vähemalt näitlik loetelu olukordadest, kui see eeldus võib olla suure tõenäosusega täidetud.
3.6 Andmete töötlemine andmetöötlussüsteemis Euroopa Majanduspiirkonna territooriumil Eelnõu § 1 punkti 2 (IKS § 61 lg 2 p 8) kohaselt peab andmetöötlussüsteemi pakkuja tagama andmete töötlemise Euroopa Majanduspiirkonna territooriumil. Peame oluliseks märkida, et selline nõue ei tulene otseselt Euroopa Parlamendi ja nõukogu määrusest (EL) nr 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus (edaspidi IKÜM)). Pigem kujutab see endast riigisisest täiendavat piirangut ja puudutab otseselt ettevõtjaid, kes asuvad ise Eestis, kuid kes soovivad kasutada väljaspool Euroopa Majanduspiirkonna territooriumit asuvaid rahvusvahelisi pilveteenuseid andmete töötlemiseks. Kuigi IKÜM ei kasuta ega defineeri mõistet „andmekaitsesüsteem“, millele IKS-is luuakse eraldi regulatsioon, on IKÜM siiski Euroopa Liidu ülene andmetöötlust reguleeriv otsekohalduv õigusakt. IKÜM artikkel 3 lõige 1 sätestab, et määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu. Seega ei piira IKÜM andmete töötlemist ei väljaspool Euroopa Liitu ega ka Euroopa Majanduspiirkonna territooriumit, kui andmete töötleja ise asub Euroopa Liidus. Kaubanduskoja ettepanek: Palume vähemalt seletuskirjas selgitada eelnõu § 1 punkti 2 (IKS § 61 lg 2 p 8) tingimust, miks on eelnõusse lisatud nõue, et andmetöötlussüsteemi pakkuja peab tagama andmete töötlemise Euroopa Majanduspiirkonna Territooriumil.
Selgitame, et riigisisese õigusega võib liikmesriik ette näha kaitsemeetmeid teadusuuringu tegemiseks ning üheks kaitsemeetmeks on piirang, et andmeid ei tohi töödelda väljaspool Euroopa Majanduspiirkonna territooriumil. Nõue on sätestatud sõltuvalt asjaolust, et süsteemis töödeldakse suures mahus isikuandmeid, mis peavad vastama kõrgele andmekaitse tasemele, mis väljaspool piirkonda alati ei pruugi tagatud olla.
4. SA Eesti Teadusagentuur Justiits- ja Digiministeeriumi märge
4.1 IKS § 6 reguleerimisala „nõusolekuta“ uuringud on liiga lai
8
IKS plaanitava § 6 lõike 1 kohaselt antakse §-s 6 alus isikuandmete andmesubjekti nõusolekuta töötlemiseks teadus-, ajaloouuringu või statistikatöö eesmärgil. IKÜM artikli 6 lõikes 1 on loetletud viis isikuandmete töötlemise seaduslikku alust, mis ei põhine andmesubjekti nõusolekul ning mis seetõttu kõik võiksid langeda IKS § 6 reguleerimisalasse. Meie hinnangul on see liiga lai. IKÜM artikli 6 lõike 2 kohaselt võivad liikmesriigid kehtestada konkreetsemad regulatsioone kohandamaks IKÜM sätteid seoses isikuandmete töötlemisega artikli 6 lõike 1 punkti c (kui see on vastutava töötleja juriidiline kohustus) või punkti e (töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks) alusel. Liikmesriigid võivad määrata üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis. Mainitud peatükki kuulub ka artikkel 89, mis lubab liikmesriigil ette näha erandeid teatud andmesubjekti õigustest, kui andmete töötlemine toimub avalikes huvides arhiveerimise, teadus- ja ajaloouuringu või statistilisel eesmärgil. Teine IKÜM säte, mis jätab liikmesriigile võimaluse täiendavaid isikuandmete töötlemise tingimusi sätestada, puudutab eriliiki isikuandmete töötlemist. Nii on artikli 9 lõike 2 punktis j on sätestatud erand eriliikide töötlemise keelule: „töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, tuginedes liidu või liikmesriigi õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks“. Sama artikli lõike 4 kohaselt võivad liikmesriigid kehtestada täiendavaid tingimusi. Meie hinnangul võiks IKS lähtuda nendest sätetest, eelnõuga uuringus isikuandmete töötlemisele seatud piirangud ja tingimused on eelkõige vajalikud selleks, et tasakaalustada IKÜMis teadusuuringutele ettenähtud erandeid, mitte selleks, et seada täiendavaid tingimusi õiguspäraselt läbiviidud uuringutele. Nii ei peaks IKS näiteks kehtestama lisatingimusi õigustatud huvi alusel läbiviidavatele uuringutele ja analüüsidele, kui need järgivad kõiki IKÜM tingimusi.
Arvestatud osaliselt, eelnõu ja seletuskirja muudetud. Selgitame. IKS § 6 on õiguslikuks aluseks isikuandmete töötlemisel, kui seda on vaja teha teadus- või ajaloouuringu või statistika vajadusteks. Tegemist on erandiga, mis tuleneb IKÜM-i artiklist 89. IKS § 6 põhineb ka IKÜM-i artikli 6 lõike 1 punktil e, mille kohaselt on liikmesriigil võimalik õigusaktiga täpsustada avalikes huvides oleva ülesande täitmise aluseid. IKS § 6-ga ei sätestata piirangud õigustatud huvi alusel toimuvale andmetöötlusele. Avaliku huvi osas vaata p 2.4.
9
Kuna seletuskirjast võib välja lugeda, et IKS § 6 regulatsioon on mõeldud täiendama IKÜMi artikli 6, lõike 1 punkti e (isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks) erandit, teeme õigusselguse huvides ettepaneku selle ka eelnõus konkreetselt sõnastada. Näiteks: „(1) Isikuandmeid võib teadus- või ajaloouuringu või statistika eesmärgil töödelda Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 6 lõikes 1 punktis e nimetatud alusel, kui järgitakse kõiki käesolevas paragrahvis sätestatud tingimusi.“ Lisaks võiks seadusega täpsustada eelkõige neid aspekte, mida IKÜM ei reguleeri või milles on jäänud võimalus liikmesriikidel täiendavaid tingimusi sätestada. Üheks selliseks on IKÜM art 9 lg 2 p j sätestatud erand eriliikide töötlemise keelule. Kokkuvõtteks: lahendus oleks IKS-is täpsustada nõudeid ja tingimusi, mis kaasnevad avalikes huvides ülesandena määratlevatele teadusuuringutele, jättes reguleerimisalast välja muud õiguslikud alused (eelkõige õigustatud huvi) ja kitsendaks uuringute ringi, kellele uues kohustused kohalduksid.
4.2 IKS § 6 lõigetes 1 ja 2 käsitletud „uuringu“ mõiste on liiga lai Seletuskirja kohaselt on termin „uuring“ laia tähendusega ning see hõlmab teadus- ja ajaloouuringuid ning statistikat. Samuti on seletuskirjas väidetud, et „kehtiv IKS kitsendab ülemäära asutuste ringi, kellel on lubatud analüüse ja uuringuid teha“. Oluline on siinkohal välja tuua, et IKS eesmärk ei ole defineerida teadusuuringut (teadus- ja arendustegevuse defineerib TAIKS) ega anda üldist luba uuringute tegemiseks. IKS peaks eelkõige täpsustama vaid neid erandeid ja tingimusi, mis üldmäärus teadus- ja ajaloouuringute ning statistika osas selgelt ette näeb. IKS § 6 lõikega 2 võrdsustatakse teadusuuringutega hulk avaliku sektori analüüse ja uuringuid ning laiendatakse neile ka üldmääruses teadusuuringutele tehtavad erandid. Mitte iga analüüs, mida riigiasutus isikuandmete põhjal teeb, ei ole ega peagi olema käsitletav kui teadusuuring. Paratamatult tähendab see ka seda, et mitte iga analüüs ei saa toetuda üldmääruses teadusuuringutele ette nähtud eranditele. Näiteks üldmääruse art 9 lg 1 sätestab eriliiki isikuandmete keelu, millest erandid on loetletud sama artikli lõikes 2. Üheks erandiks on teadusuuringud (art 9 lg 2 p j), kui see tagab piisava kaitse andmesubjekti õigustele ning järgib liikmesriigi õigust. Kui
Mittearvestatud. Selgitame, et IKS ei defineeri teadusuuringu mõistet. IKÜM-i põhjenduse 159 kohaselt tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada nii laialt, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks arvesse võtta EL-i toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum, rahvatervise valdkonnas peaks teadusuuringute eesmärk hõlmama avalikust huvist lähtuvalt tehtud uuringuid. Juhime tähelepanu, et IKÜM on otsekohalduv EL-i määrus, mida siseriikliku õigusega kitsendada ei saa. Veel enam on TAIKS §-is 9 ka sätestatud ministeeriumi ja Riigikantselei ülesanded teadus-ja arendustegevuse ning innovatsiooni valdkonnas, seega on juba TAIKS-iga öeldud, et ka riiklikult tegeletakse teadus- ja arendustegevuse ja innovatsiooniga ning selline TAIKS kohaldub ka riigipoolse teadustegevuse korral. Lisaks selgitame, et juhul kui avaliku sektorile on juba seadusega pandud ülesandeks uuringuid läbi viia, andmetöötluse eesmärgid ja andmete kategooriad seaduse tasandil toodud on juba seaduses toodud õigusliku alusega andmetöötluseks.
10
„uuringu“ mõistet liigselt laiendada, loob see suurele hulgale tegevustele võimaluse eriliikide töötlemise keelust mööda minna. Ei ole selge, kas ja kuivõrd see läheb kokku üldmääruse mõttega luua erand teadusuuringutele kui olulise avaliku huviga tegevusele. Sarnaselt on üldmäärus ette näinud võimaluse piirata andmesubjekti õigusi, kui see takistab teadusuuringute eesmärkide saavutamist (vt EN § 6 lg 11). Ka siin on sama probleem – kui uuringu mõistet liigselt laiendada, laieneb ühtlasi selliste isikuandmete töötlemise toimingute hulk, kus andmesubjekti õigusi piiratakse. Ettepanek on täiendavalt hinnata erinevate õiguslike mõistete kooskõla, kuna uuringu mõiste laienemisega kaasneb suurem privaatsuse riive. Samuti aitaks see vältida võimalikke probleeme seaduse rakendamisel. Eelkõige tuleks täiendavalt hinnata, kas ja kuivõrd ühtivad TAIKS teadus- ja arendustegevuse ning IKS uuringu mõiste. Ka teadus- ja arendustegevuse mõiste ei piira asutuste ega isikute ringi, kes saavad alus- ja rakendusuuringuid ning eksperimentaalarendust läbi viia. Küll seab see kõrgema lävendi tegevuse sisule ja tulemustele – rutiinsed analüüsid ei mahu nt teadus- ja arendustegevuse mõiste alla. Kitsam tõlgendus on kooskõlas üldmääruse eesmärgiga ja tagab suurema kaitse andmesubjektide privaatsusele. Asjaolu, et konkreetne uuring (nt turu-uuring) või analüüs (nt teenuse kasutatavuse ülevaade) ei liigitu teadusuuringuks, ei tähenda, et need uuringud ei ole lubatud. Sel juhul ei saa lihtsalt toetuda üldmääruses teadusuuringutele ette nähtud eranditele. Neid tegevusi saab endiselt läbi viia toetudes üldmääruse üldnõuetele – kui selleks on sobiv õiguslik alus ning järgitakse teisi üldmääruse nõudeid. Kui avalikule asutusele on näiteks õigusaktiga antud ülesanne pakkuda avalikku teenust, siis peaksid ka selle avaliku teenusega seotud analüüsid olema kaetud sama ülesandega ning eraldi õiguslikku alust selliste analüüside jaoks ei ole vaja.
4.3 Teadusuuringud ja statistika võiksid olla eraldi paragrahvidena reguleeritud Sarnaselt avalikes huvides arhiveerimisele (IKS § 7), võiks ka statistika eesmärgil isikuandmete töötlemine olla reguleeritud eraldi paragrahvina. Kuna statistika tulemuseks on alati koondandmed, mis ei ole käsitletavad isikuandmetena (IKÜM sp 162), on statistika koostamisega seotud riskid teadusuuringutega võrreldes väiksemad.
Mittearvestatud. Selgitame, et määrav ei ole siinjuures üksnes uuringu või statistika tulem vaid selle tulemusel töödeldakse isikuandmeid, mistõttu ka tingimused andmetöötlusele peavad olema samad.
11
Mitmed eelnõus ettenähtud nõuded või kohustused ei tundu mõistlikud statistilisel eesmärgil toimuva töötlemise suhtes, seda enam, et Statistikaameti tööd reguleerib eraldi seadus ja seega eelnõu tingimused neid ei puuduta (EN IKS § 6 lg 10). Seega reguleeriks eelnõu kõikide teiste isikute ja asutuste tegevust kogutavate või olemasolevate andmete põhjal statistika koostamisel. Ettevõtted ja muud asutused teevad regulaarselt statistilisi ülevaateid oma tegevusest, töödeldes selleks klientide või teenuste kasutajate andmeid, et seeläbi teha paremaid otsuseid asutuse tegevuse osas. Kuigi staatilisel eesmärgil isikuandmete töötlemine võib põhineda ka nõusolekul, on tõenäoline, et statistiliste ülevaadete koostamine ei põhine nõusolekul, vaid mõnel muul alusel, nt õigustatud huvil või „eesmärgi kooskõla“ hindamisel. Probleemi illustreerimiseks lisasime ka näite (vt II osa). Ei ole arusaadav, miks asutused peaksid AKI-t teavitama statistika koostamisest vaid seetõttu, et isikuandmete statistilisel eesmärgil töötlemine ei põhine nõusolekul. Mõnevõrra erinev on olukorda statistikauuringutega (statistical surveys), kus kogutaksegi uusi andmeid statistika koostamise eesmärgil, kuid need toimuvad kas: 1) nõusoleku alusel (nt uuringufirmad, kes respondente küsitlevad); 2) seaduse alusel riikliku statistika raames. Mõlemad juhud jäävad niikuinii IKS § 6 reguleerimisalast väljapoole. Kolmanda probleemina ei ole mõistlik statistika eesmärgil toimuvale isikuandmete töötlemisele ette näha eetikakomitee kooskõlastuse kohustust, kuna statistika koostamine ei sobitu teadusuuringute hindamiseks mõeldud raamistikku. Ettepanek toetaks ühtlasi meie teist ettepanekut, mille kohaselt „uuringu“ mõiste on liiga lai.
4.4 Teavitamiskohustus on liiga lai ja ei täida oma eesmärki Plaanitud kujul tuleb AKI-t teavitada igal juhul, kui töödeldakse andmesubjekti nõusolekuta isikuandmeid teadusuuringu eesmärgil, sõltumata sellest kas need on tavalised või eriliiki isikuandmed, pseudonüümitud (IKS § 6 lg 5) või isikustatud (IKS § 6 lg 6–7) või kasutatakse andmetöötlussüsteemi (IKS §61 lg 7). Samuti kohaldub kohustus IKS § 6 lõigete 1 ja 2 kohaselt lisaks teadusasutustes tehtavale teadustööle, ka statistikatööle, KOV analüüsidele ning erasektori uuringutele – see suurendab teavituste hulka ja tekitab täiendava koormuse kõigile uuringute tegijatele. Mida laiemalt määratleda „uuringu“ mõiste, seda suuremaks läheb nende uurimistegevuste hulk, millest
Arvestatud osaliselt, eelnõu ja seletuskirja muudetud. AKI teavitamise kohustu on üksnes juhul kui töödeldakse isiku tuvastamist võimaldavaid andmeid. AKI saab pisteliselt vajadusel teha järelevalvet seirates tehtavate uuringute eesmärke ja kasutatavate andmete kategooriad. Teabe esitamise ja avaldamise vormi osas nõustume, et see peab toimuma lihtsalt ja arusaadavalt, aga on tehniline küsimus, mida võibolla vajalik läbi juhise lahendada. Tegemist ei ole eelnõud puudutava küsimus.
12
AKI-t teavitama peaks. Kui aastas tehakse 200 teavituse ringis, tuleks välja mõelda ka see, kuidas nende uuringute teavet arusaadavalt avaldada, et inimesed vajaliku info üles leiaks. Vastasel korral tekib sama efekt liiga pikkade andmekaitse tingimuste avaldamisega – inimesed loobuvad selle lugemisest ja läbipaistvus sellega ei parane. Ka ei ole üheselt selge, mida AKI selle teabega peale hakkaks ning millist probleemi selline teavitus aitaks lahendada. Kui eeldus on, et AKI tuvastab vastavust seadusega, siis ei ole tegemist pelgalt teavitusega, vaid AKI peaks ka uuringu asjaoludesse süvenema – see oleks pigem uut tüüpi menetlus, mitte pelgalt teavitus. Teavitamise vajadus on küsitav ka seetõttu, et teavituse sisu (§ 6 lg 5) on niivõrd üldine, et selle põhjal ei ole võimalik kõikide § 6 lg 3 ja 6 nõuete täidetust kontrollida. Lisaks on seletuskirja peatükis 7 nimetatud, et ainus täiendav tööjõukulu AKI-le on seoses „AKI veebilehel uuringute kohta teabe avaldamisega“ – sellest võiks eeldada, et AKI esitatud teabe põhjal uuringuid ei kontrolli. Kui veebilehel uuringute nimekirja avaldamine on ainus eesmärk, siis leidub teavitamisele ka paremaid alternatiive, mis sarnaselt läbipaistvust aitavad tagada. Ettepanek on selliselt sätestatud teavitamise kohustusest loobuda, sest 1) korrektselt pseudonüümitud andmete töötlemisel on eelduslikult taastuvastamise risk maandatud ja täiendav kontroll ei ole põhjendatud – pealegi on IKS § 6 lg 3 tingimused tehnilist laadi, mille kontrollimine eeldaks täpsemaid selgitusi pseudonüümimise meetodi osas, mida oskab selgitada andmekogu pidaja (ehk andmete väljastaja), mitte uuringu tegija; 2) eetikakomitee poolt hinnatud uuringu osas hindab eetikakomitee juba niikuinii IKS § 6 lg 6 tingimusi ning teeb väljastatud kooskõlastuse avalikuks (kõik kooskõlastatud uuringud avaldatakse veebilehel) – ei ole selge, miks peaks veel täiendavalt sellest AKI-t teavitama, kes sarnaselt avaldaks veebilehel uuringu andmed. See viimane ülesanne oleks dubleeriv. Kui riigi eesmärk on isikuandmete taaskasutust soodustada, siis oleks igati mõistlik vältida ebamõistlikult koormavaid kohustusi, mis vastupidiselt pärsivad andmete taaskasutust. Alternatiivne lahendus teavitamisele: teavitamiskohustuse eesmärk peaks olema selgem ja suunatud kõige kriitilisemate probleemide lahendamiseks: 1) parem järelevalve riigi valduses olevate eriliiki ja tundlike andmete kasutamise osas; 2) suurem läbipaistvus andmesubjektile tema andmete uuringutes
13
kasutamise osas. Eeldus on, et 2. eesmärk toetab ühtlasi 1. eesmärki, kuna andmesubjektid saavad teada anda uuringutest, mis tekitavad küsimusi. Selliselt võiks minimaalsem teavitamiskohustus olla järgnev: kohustus piirduks vaid riiklikest andmekogudest uuringute eesmärgil andmete väljastamisega (selle asemel, et käsitleda kõiki teadusuuringus nõusolekuta isikuandmete töötlemise olukordi); 2) teavitamise adressaat peaks olema eelkõige (või täiendavalt ka) andmesubjekt, kelle isikuandmeid töödeldakse – selleks saaks kasutada andmejälgija funktsiooni, mille laiendamine on ilmselt niigi plaanis; 3) teavituse peaks saatma andmekogu pidaja (vastutav töötleja), kellel on vajalik teave isikuandmete pseudonüümimise ja turvalise töötlemise osas – uuringu tegijal ei saa tagada, et andmed on korrektselt pseudonüümitud (IKS § 6 lg 3) ega seda, et andmetöötlussüsteem vastab IKS EN §61 seatud tingimustele; 4) teavitamine võiks olla võimalikult suurel määral automatiseeritav ning integreeritud andmejälgija või andmetöötlustoimingute (sh andmepäringute) logimisega – see oleks jällegi võimalik vaid andmekogu pidaja poolelt, mitte uuringu läbiviija poolelt. Kokkuvõtteks: teavitamiskohustuse ulatust aitaks piirata ka see, kui lähtuvalt ettepanektust 1 ja 2 kitsendada IKS § 6 reguleerimisala.
4.5 Eelnõu ei arvesta teadusuuringutega, kus ei kasutata andmekogude andmeid Eelnõus on läbivalt kirjeldatud olukordi, kus uuringu jaoks saadakse andmeid andmekogust (EN IKS § 6 lg 3, 4, 9, 11, samuti kogu § 61). Samas töödeldakse teadusuuringus nõusolekuta isikuandmeid ka juhul, kui andmed ei pärine andmekogust. Oleme II osas kirjeldanud mitmeid uuringute tüüpe, kus toimub „nõusolekuta“ andmetöötlus, kuid kus ei küsita andmeid andmekogudest – kuna „uuringu“ mõiste on väga lai, tähendab see paratamatult, et uued kohustused tabavad ka neid uuringuid. Probleemi aitaks lahendada see, kui IKS § 6 reguleerimisala kitsendada vastavalt 1. ettepanekule.
Mittearvestatud. Uued nõuded peavad olema kasutusel igasugusel andmetöötlusel, mis toimub teadusuuringu eesmärgil. Andmesubjektide õigused peavad olema kaitstud igasuguse andmetöötluse puhul. Kui ettevõte töötleb andmeid nt õigustatud huvi alusel siis on siinkohal tegemist hoopis omaette IKÜM-is sätestatud õigusliku alusega, millele kehtivad omad nõuded, nt õigustatud huvi hinnangu koostamine jne.
4.6 Ei ole selge, kes on „uuringu tegija“ Üldmäärus kasutab mõisteid volitatud töötleja ja vastutav töötleja. Kui uuring tellitakse teiselt asutuselt, on uuringu läbiviimisega seotud mitu asutust – kes sel juhul on uuringu tegija? Kuna kohustused kaasnevad uuringu tegijale,
Arvestatud, seletuskirja täiendatud. Uuringu tellija vastutab teavitamise eest. Juhul kui uuringut teeb üliõpilane oma õpptegevuse käigus on temal, kui uuringu vastutaval töötlejal, teavitamise kohustus.
14
peaks seadus selle mõiste täpsemalt määratlema. Oluline on see eelkõige olukordades, kus uuring tellitakse ettevõttelt või teadusasutuselt või kui uuringu viib läbi konsortsium, kus kõik asutused võivad olla kaas-vastutavad. Kas üliõpilastöödes, kus töödeldakse avalikustatud isikuandmeid ilma nõusolekuta (nt meedia ja sotsiaalmeedia sisu), tuleneb teavitamise kohustus üliõpilasele või ülikoolile?
4.7 Pseudonüümsuse tingimused ei ole selged Kuigi seletuskirja kohaselt on eesmärgiks luua selgus, millisel juhul on tegemist pseudonüümimisega, ei loo EN IKS § 6 lg 3 tingimused kuigi palju selgust. Praegusel juhul on lõikes kirjas, et „Pseudonüümimine … on meede, mille puhul… enne isikuandmete üleandmist uuringu tegijale need pseudonüümitakse“. Selliselt on pseudonüümimine defineeritud/määratletud iseenda kaudu – see ei ole kuigivõrd abiks praktikas, kus tuleb otsustada konkreetse andmekogumi põhiselt, milliste tunnuste alusel peale otseste identifikaatorite võiksid andmesubjektid olla tuvastatavad. Lisaks määratlevad pseudonüümimist veel lisatingimused (lõike 3 punktid 2-3), mis suurendab segadust veelgi. Arusaadav on seletuskirjas välja toodud probleem, et praktikas on pseudonüümimine tekitanud segadust, kuid lahendus sellele oleks andmekogu pidajate juhendamine või koolitamine. Pseudonüümimise osas võiks arvesse võtta ka hiljutist Euroopa Kohtu otsust CJEU - C-413/23 P - EDPS v SRB1 (vt punktid 82–86), mis käsitleb pseudonüümitud isikuandmete vastuvõtja kohustusi – kohtu hinnangul tuleb hinnata, kas vastuvõtja jaoks on saadud andmed võimaldavad andmesubjekti tuvastada või mitte. Kohus rõhutab ühtviisi seda, et pseudonüümitud isikuandmed ei pruugi alati olla vastuvõtja vaatest isikuandmed (punkt 86), kui ka seda, et andmed, mis iseenesest ei ole isikuandmed, võivad muutuda isikuandmeteks (punkt 84). Selline isikuandmete õigusliku staatuse muutumine võib tekitada probleeme ka plaanitava IKS 6 osas, kuna mõnel juhul võib IKS § 6 lg 3 tingimuste kohaselt pseudonüümitud andmeid pidada nende vastuvõtja ehk uuringu tegija vaatest mitte-isikuandmeteks. Sel juhul on küsitav ka see, millest ja miks peab uuringu tegija AKI-t teavitama, kui tema töödeldavad andmed ei ole isikuandmed.
Arvestatud osaliselt, eelnõu ja seletuskirja muudetud. Lisaks selgitame, et eelnõuga nähakse ette tingimused, millal kaitsemeetmed on piisavad, et isikuandmeid saab uuringu läbiviimiseks töödelda, sõltumata sellest, millisel kujul uuringu tulem on. Eelnõu ja seletuskirja muudetud. AKI-t peab teavitama juhul kui uuringus töödeldakse isiku tuvastamist võimaldavaid andmeid.
4.8 Kaaluda võiks eelnõu § 6 lg 9 erandi laiendamist kõigile vastutavatele ja volitatud töötlejatele
15
Lisaks andmekogude pidajatele leidub isikuandmeid töötlevaid asutusi, kellel ei ole andmekogu avaliku teabe seaduse tähenduses, kuid kes ometi kasutavad olemasolevaid andmeid uuringute eesmärgil (nt statistika tegemiseks) – sellisel juhul on vastutaval töötlejal ikkagi kohustus järgida kõiki EN IKS § 6 nõudeid, sõltumata sellest, et vastutav töötleja juba niigi kontrollib andmeid ja peab tagama nende turvalise ning õiguspärase töötlemise. Selline erinev kohtlemine andmekogu pidajate ning muude vastutavate töötlejate vahel ei ole eelnõus põhjendatud, kuna mõlemal juhul on andmekaitse alased riskid samaväärsed. Kui teavitamiskohustus jääb eelnõusse alles, tuleks kaaluda erandi loomist olukorras, kus teadusuuringu läbiviija töötleb iseenda töödeldavaid isikuandmeid, mille suhtes ta on vastutav töötleja. Teine pool vastutava töötlejaga seotud probleemist puudutab olukorda, kus vastutava töötleja andmekogusse kuuluvaid isikuandmeid kasutab uuringu tegemiseks, analüüsiks või statistiliseks kokkuvõtteks volitatud töötleja. Näiteks on Eesti Teadusagentuur riigi infosüsteemi kuuluva andmekogu Eesti Teadusinfosüsteem volitatud töötleja. Samal ajal on Eesti Teadusagentuuril TAIKS §10 lõike 2 punkti 6 kohaselt ülesanne koguda, säilitada ja analüüsida teavet teadus- ja arendustegevuse kohta ning teha see kättesaadavaks. Kas IKS § 6 lg 9 erandile saab tugineda ka volitatud töötleja oma seaduses kehtestatud ülesannet täites?
Mittearvestatud. Säte on vajalik avaliku sektori andmekogude vaatest, kellel täna seaduses ei ole andmekogu eesmärgina ette nähtud ka oma andmekogu piires statistika ja analüüside tegemist. See ei piira kuidagi erasektori tegevust tema ettevõtte andmetega. Eelnõu ja seletuskirja muudetud. Teavitamiskohustus on üksnes juhul kui töödeldakse isikustatud andmeid Selgitame. Volitatud töötleja õiguslikuks aluseks saab olla üksnes see, mis on vastutaval töötlejal, volitatud töötleja tegutseb vastutava töötleja nimel ja tema õiguste piires. Kui Eesti Teadusagentuuril on seadusega ka omaette ülesanded pandud, mida ta täidab läbi sama andmekogu, siis peab ta olema nende ülesannete osas andmekogu kaasvastutav töötleja.
4.9 Ühe andmekogu piires isikuandmete töötlemine uuringu eesmärgil peaks olema siiski läbipaistev Eelnõu IKS § 6 lg 9 annab andmekogu vastutavale töötlejale õiguse ühe andmekogu piires isikuandmeid uuringute eesmärgil töödelda ilma § 6 nõudeid järgimata – see teeb küll vastutavale töötlejale elu lihtsamaks ja vähendab halduskoormus, kuid samas väheneb läbipaistvus ühe andmekogu piires toimuva töötlemise osas. Vastupidiselt nt praegu Riigikogus menetluses olevas inimgeeniuuringute seaduses nähakse samasugused kohustused ette kõigile uurijatele – ka geenivaramu enda uuringud peavad saama eetikakomitee kooskõlastuse. Kuna nii mitmeski riiklikus andmekogud on väga tundlikud andmed, tuleks siiski hinnata, kuidas toimub järelevalve selliste uuringute üle, mida andmekogu vastutav töötleja ühe andmekogu piires teostab. Oluline on arvestada ka seda, et üksnes turvalisuse tagamine ei lahenda uuringutega
Selgitame, et andmekogudes toimuva andmetöötluse üle teostab järelevalvet Andmekaitse Inspektsioon. Lisaks kohaldub endiselt ka AvTS § 28 lg 1 p 18, milles on sätestatud teabevaldaja kohustust avaldada riigi- või kohaliku omavalitsuse asutuse tellitud uuringud ja analüüsid. See tagab avaliku sektori andmetöötluse läbipaistvuse.
16
seotud eetilisi ega põhiõiguslikke küsimusi – kuna andmesubjekti kontroll andmekogus olevate andmete üle on väga piiratud, püsib risk, et andmekogu vastutav töötleja soovib isikuandmeid kasutada selleks, et arendada välja uudseid meetodeid, mis ei ole ühiskonnas läbi arutada või tekitavad eetilisi küsimusi (nt ennustav politseitöö). Kuna igasugune isikuandmete töötlemine kujutab endast isiku privaatsuse riivet, põhineb selline lai erand andmekogu vastutavatele töötlejatele suurel ühiskondlikul usaldusel. Kaaluda võiks täiendavaid läbipaistvust tagavaid lahendusi sellistele töötlustoimingutele – üks võimalus oleks ka andmejälgija funktsionaalsuse laiendamine sellistele uuringutele (mis on vist niigi plaanis).
Teadmiseks võetud. Võimalusel saab ehk ka tulevikus andmejälgijat rakendada, aga juhime tähelepanu, et andmejälgija saab kohustuslikuks üksnes juhul kui andmeid edastatakse riigi infosüsteemi kuuluvast andmekogust x-tee vahendusel. x-tee vahendusel. Juhul kui andmeid x-tee vahendusel ei edastata, ei ole ka tehniliselt andmejälgijat võimalik kasutada.
4.10 Eetikakomiteega seonduv halduskoormus võib kasvada Eetikakomitee isikuandmete kaitsega seotud halduskoormus võib suureneda, kuna plaanitava muudatusega hõlmatakse ka mitte-eriliiki isikuandmed eetikakomitee kooskõlastuse kohustusega. Samas väheneb eetikakomitee koormus nende uuringute võrra, kus on andmed eelnevalt pseudonüümitud või kus uuringu viib läbi andmekogu vastutav töötleja ühe andmekogu piires (IKS § 6 lg 9). Eetikakomitee kooskõlastus võiks sarnaselt kehtivale korrale jääda vaid nendele uuringutele, kui töödeldakse eriliiki isikuandmeid. Tavaliste isikuandmete osas on see kohustus selgelt ülemäärane, eriti kui arvestada, et eetikakomiteel on niikuinii õigus otsustada, et sisuline hindamine ei ole sellise uuringu puhul vajalik. Ka selliste hinnangute väljastamine on täiendav halduskoormus eetikakomiteele. Probleemi aitaks lahendada ka see, kui vastavalt ettepanekutele 1–3 eelnõu § 6 reguleerimisala kitsendada.
Arvestatud, eelnõu ja seletuskirja muudetud.
4.11 Seos andmekogude regulatsiooniga ei ole selge Eelnõu põhjal on keeruline mõista, kuidas hakkavad omavahel toimima IKS § 6 ja andmekogude regulatsioon, kuna mitmel andmekogul (nt rahvastikuregister, terviseinfosüsteem) on täiendavalt reguleeritud see, kuidas andmete väljastamine toimub. Seega on võimalik, et kogu uuring vajab eetikakomitee kooskõlastust, isegi kui isikuandmeid töödeldakse andmetöötlussüsteemis, kuna muuseas kasutatakse ka terviseinfosüsteemi andmeid (TTKS § 594). Sellised erijuhte võib veelgi olla, mistõttu on keeruline hinnata, kas ja kuivõrd uuringute tegemine lihtsamaks muutub. Selge ei ole ka
Selgitame. Esmalt tuleb lähtuda andmekogu enda regulatsioonist andmete väljastamise ja andmete juurdepääsu võimaldamisel. IKS § 6 on nö lisalahendus kui andmekogu regulatsioon vajaliku andmeväljastust ei võimalda.
17
see, kas eetikakomitee peaks sellisel juhul hindama „isikuandmete väljastamise vajalikkust ja põhjendatust“ vaid seaduses nimetatud andmekogu piires (antud näites tervise infosüsteem) või kogu uuringu piires.
4.12 Seos nõusolekuteenusega ei ole selge Nõusolekuteenuse abil on võimalik teha päringuid andmekogudesse selliselt, et isikuandmete töötlemise aluseks on nõusolek. Kui nõusolekuteenust saaksid kasutada ka uuringud, siis sellistele uuringutele IKS § 6 nõuded ei rakenduks, isegi kui tegemist on isikustatud kujul eriliiki isikuandmete töötlemisega. See-eest kui oleks ühtsed nõuded andmekogudest isikuandmete uuringuteks väljastamisele, rakenduksid need ühtviisi kõigile uuringutele sõltumata õiguslikust alusest. Kas ja kuivõrd on eelnõu väljatöötamisel arvestatud võimalusega, et uuringute tegemiseks saaks tulevikus nõusolekuteenust kasutada?
Selgitame, nõusolekuteenuse kasutamine ei ole selle eelnõu skoobis kuna reguleerib andmetöötlust isiku nõusolekuta. Kui uuringu tegija soovib uuringut läbi viia andmesubjekti nõusolekul võib ta tehnilise võimekuse korral nõusolekuid koguda ka nõusolekuteenust kasutades.
4.13 Puuduvad sätted eriliiki isikuandmete osas Lisaks panime tähele, et edaspidi ei oleks IKS §-s 6 sätteid, mis kohalduks eriliiki isikuandmete töötlemisele. Selle asemel on riskid määratletud isikustatud kuju põhiselt, kuna sellisel juhul peab uuring saama ka eetikakomitee kooskõlastuse. Ühelt poolt on selline muudatus arusaadav, kuna mõnel juhul võivad n-ö tavalised isikuandmed olla väga tundlikud (nt sotsiaalteenuste, kuritegevuse jms andmed). Teisalt tundub selline muudatus kummaline, kuna edaspidi piisab eriliiki isikuandmete uuringus töötlemiseks sellest, et need enne uuringu läbiviijale edastamist pseudonüümitakse – kas see ei vähenda liigselt eriliikidele kohaldatavat kaitset, eriti arvestades, et eelnõus on uuringu mõistet laiendatud ka ettevõtete arendustegevusele? Arvestades, et inimesed ei loovuta oma eriliiki isikuandmeid andmekogudesse vabatahtlikult, kujutaks selline töötlemine endast väga olulist inimeste privaatsusõiguse riivet, mis peaks olema piiratud vaid avalikkuse huvi seisukohast vajalike ja põhjendatud uuringutega.
Selgitame, isikuandmete töötlemise kaitse taset ei ole selle eelnõuga alandatud vaid pigem võimaldatakse nende töötlemine hõlpsamalt kui on tagatud andmetöötlusele eelnõuga ettenähtud kõrgendatud kaitsemeetmed.
4.14 Andmetöötlussüsteemis töödeldavate andmete pseudonüümsus Eelnõust ega seletuskirjast ei tule täpselt välja, kas andmetöötlussüsteemis saab andeid töödelda ainult pseudonüümitud kujul või on IKS § 61 lõike 2 punktis 3 ette nähtud pseudonüümimise teenus vaid üks võimalus andetöötlussüsteemi kasutamiseks.
Selgitame, et säte mõte on, et enne andmetöötlussüsteemi ei edastamist ei pea andmete edastaja andmeid pseudonüümina, selle tagab § 61 lg 2 p 3 kohaselt andmetöötlussüsteemi pakkuja.
5. Statistikaamet Justiits- ja Digiministeeriumi märge
18
5.1 Eelnõuga jäetakse § 6 lõikest 1 välja sõna „riiklik“ põhjendusega, et säte kohaldub igasuguse, mitte ainult riikliku statistika kohta. Sealjuures selgitatakse, et statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringuteks või statistika koostamiseks. Eelnõus ega ka seletuskirjas ei ole defineeritud, mida tähendab statistika, sh millest tuleb lähtuda hindamaks, kas isikuandmete töötlemise korrektse õigusliku aluse nõuded on täidetud. Juhime siinkohal tähelepanu, et ka EL isikuandmete kaitse üldmääruses (edaspidi IKÜM) on põhjenduspunktis 163 viide vajadusele riiklike statistikaasutuste poolt kogutava Euroopa ja riikliku ametliku statistika koostamiseks kasutatavate isikuandmete puhul lähtuda nii vastavast EL statistika üldmäärusest (EÜ) nr 223/200 kui liikmesriigi õigusest. Kuivõrd kehtivas IKS-is on reguleeritud isikuandmete töötlemist riikliku statistika vajadusteks ka teistes § 6 lõigetes, tekib küsimus, kuidas tagatakse vastav erisus, mis täna on riikliku statistika seaduse (edaspidi RStS) § 31 lõikes 1 ja § 38 lõikes 1. Hetkel jääb ebaselgeks, mille alusel töötleb amet edaspidi isikuandmeid, kui peab täitma enda seadusest tulenevat ülesannet ehk tegema statistikat, mis RStS § 1 lõike 1 kohaselt saadakse riikliku statistika programmi või programmivälise statistikatöö raames andmete statistilise töötlemise tulemusena. Lisaks, milline saab olema teavitamiskohustus AKI ees vastavalt eelnõu lõikele 5, kuivõrd uuringu mõiste on laiem, hõlmates ka statistikat. Samuti, kas lõige 10 võiks hõlmata ka RStS-i, kui paragrahvis sätestatud nõudeid ei kohaldata olukorras, kus uuringu eesmärgid ja isikuandmete töötlemise ulatus on otseselt määratud seadusega, kuigi lõike juures on selgitatud, et tegemist on tehnilise muudatusega. Märgime, et muudatusega ei tohi isikuandmete töötlemise nõuded riikliku statistika tegemise jaoks muutuda keerulisemaks, pigem peaks eelnõu muudatuse eesmärgi valguses isikuandmete töötlemine riikliku statistika tegijate jaoks muutuma paindlikumaks ja lihtsamaks. Statistika tegemist võimaldav lahendus on see, et kehtiva IKS § 6 lõigetes 1-3 ja 6 viidatud riikliku statistika vajadusteks isikuandmete töötlemise põhimõtted jäävad kehtima, kuivõrd ka RStS § 31 lõikes 1 on selgesõnaliselt sätestatud, et riikliku statistika tegemisel kasutatakse isikuandmeid IKÜM-is ja IKS-is ettenähtud alustel ja korras, arvestades käesolevas seaduses sätestatud erisusi.
Eelnõu ja seletuskirja täiendatud. Riikliku statistika puhul on tegemist Statistikaametile pandud seadusest tuleneva ülesandega, mille alused sätestatakse eriseadusega, RStS-i tuuakse õiguslik alus andmetöötluseks.
5.2 Eelnõuga laiendatakse isikuandmete töötlemise õigusliku aluse, sh isikuandmete töötlejate ringi ning sätestatakse täiendavad tingimused isikuandmete töötlemise lubatavusele. Siinkohal on oluline tuua välja, et RStS § 1 lõike 1 kohaselt on riiklikuks statistikaks nii see teave, mis saadakse riikliku statistika programmi alusel tehtavate tööde tulemusena kui ka
Selgitame, et vastutava ja volitatud töötleja rolle eelnõu ei muuda. Juhul kui andmed on Statistikaametil olemas (kogutud riikliku statistika käigus või andmed, mis on saadud programmiväliste tööde tegemisest ja mille säilitamiseks on Statistikaametil volitatud töötlejana ka pärast statistikatöö õiguslik alus), siis võib neid samamoodi teadusuuringu tarvis väljastada juhul, kui andmetöötluseks on olemas õiguslik alus,
19
programmivälise statistikatöö raames. Tänase IKS-i tõlgenduse kohaselt on nii Justiits- ja Digiministeeriumi (edaspidi JDM) kui Andmekaitse Inspektsiooni (edaspidi AKI) poolt Statistikaametit käsitletud programmivälise statistikatöö puhul volitatud töötlejana, mistõttu programmivälise statistikatöö tellijal ehk vastutaval töötlejal peab olema vajalike isikuandmete töötlemise õiguslik alus. Palume selgitada täpsemalt, kuidas toimuks uue regulatsiooni alusel programmiväliste statistikatööde tegemisel isikuandmete töötlemine lähtudes JDMi ja ja AKI tõlgendusest. Näiteks, kas Statistikaamet saab kasutada selleks juba riikliku statistika tegemiseks kogutud andmeid või peab vastavalt § 6 nõuetele küsima andmeid andmekogudest teistkordselt, sh vastavalt § 6 lõike 3 punktile 1 pseudonüümitult. Samuti, kui programmiväline statistikatöö vajab täiendavaid andmeid andmekogudest, siis kas nende andmete puhul peab lähtuma § 6 lõike 3 punkti 1 nõuetest ja need andmed tuleb eelnevalt pseudonüümida. Selgituseks märgime, et vastavalt riikliku statistika seaduse §-le 30 toimub andmete pseudonüümimine Statistikaametis. Statistika tegemist võimaldav lahendus on see, et programmivälise statistikatöö tarbeks laekuvad andmed Statistikaametisse isikustatult ning pseudonüümimine toimub riikliku statistikaga sarnaselt Statistikaametis.
antud juhul siis IKS § 6 või 61 tingimusi täites. See protsess ei erine hetkel kehtivast olukorrast.
5.3 Eelnõuga laiendatakse § 6 lõikes 2 eelkõige avaliku sektori isikute ringi, kes võivad teha lõikes 1 nimetatud uuringuid. Kuivõrd eelnõu seletuskirjas selgitatakse, et IKÜM-i põhjenduse 159 kohaselt tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada nii laialt, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid ning et teadusuuringuid tuleb mõista laiemalt kui üksnes teadusasutuste tehtavaid uuringuid ja et IKÜM ei piiritle isikute ringi, kes võiksid teadusuuringuid teha, loeme sellest välja, et Statistikaameti poolt varasemalt praktikast tulenevalt viidatud vajadus laiendada õigustatud subjektide ringi hõlmab uue eelnõuga ka erasektoris tegutsevaid asutusi ja organisatsioone. Seda kinnitaks ka mõjude osas välja toodud asjaolu, et kõikidele uuringu tegijatele hakkavad kehtima võrdsed õigused ja kohustused, olenemata sellest, kas tegemist on riigiasutuse, KOV-i, ülikooli või ettevõtjaga. Märgime, et õiguslikud alused isikuandmete töötlemiseks (nii õigustatud isikute ring, kasutusjuhud kui ka tingimused) peavad olema võimalikult selgelt eelnõus endas või siis eelnõu seletuskirjas välja toodud (vajadusel näidetena vmt). See tagab hilisema seaduse rakendamise sujuvuse ning võimalike ebakõlade vältimise, mistõttu palume lisada vajalikud täiendused.
Arvestatud, seletuskirja täiendatud. Selgitame, et ka praegu kehtiv IKS ei välista erasektori võimalust teadusuuringu (sh innovatsioon, tehnoloogiaarendus) vajadusteks IKS § 6 alusel isikuandmeid töödelda. Eelnõu seda ei muuda. Seletuskirjas on seda selgitatud.
20
5.4 Eelnõu § 6 lõikes 3 tuuakse välja kumulatiivsed neli tingimust, millal isikuandmete töötlemine on lubatud ilma andmesubjekti nõusolekuta, kui kasutatakse meetmena pseudonüümimist või muud samaväärset kaitset tagavat meedet. Punktis 1 nimetatud tingimuse puhul palume täpsustada, kas siin on mõeldud avaliku teabe seaduse tähenduses riigi infosüsteemi kuuluvat andmekogu. Sama mõistet kasutatakse ka järgnevates lõigetes, kus on vajalik aru saada, kes on sel juhul vastutav töötleja (nt lõige 9). Punktis 2 sätestatud lisatoimingu keeld, mis tekitaks võimaluse isik tuvastada, ei pruugi olla sõnastuslikult täielikult kooskõlas Statistikaameti praktikaga. Vastavalt RStS § 34 lõikele 1 on andmed, mis võimaldavad statistilise üksuse otsest või kaudset tuvastamist ja seeläbi üksikandmete avalikustamist, konfidentsiaalsed andmed ning §-is 34 on sätestatud erinevad reeglid otsese ja kaudse tuvastatavuse tagamiseks. Seetõttu teadlaste turvalises keskkonnas pärast andmetöötlust ja enne uuringu edastamist selle autorile, teostatakse vastav väljundikontroll, et vältida otsest või kaudset tuvastamist. Sama kehtib ka punkt 3 osas, kus tuvastamist tuleks vältida just tulemuse osas, sest ka töötlemise käigus võib veel esineda kaudset tuvastamist. Nimetatud sätte sõnastus vajab seetõttu muutmist.
Arvestatud, eelnõu ja seletuskirja täiendatud. Eelnõuga ei kitsendata andmeid teadusuuringu tarbeks väljastatavate isikute ringi, see võib olla erasektori valduses olev andmestik või ka riigi infosüsteemi kuuluv andmekogu. Mittearvestatud. Selgitame, et juhul kui töötlemise käigus võib esineda kaudset tuvastamist, ei ole IKS § 6 lg 3 tingimused täidetud ning tuleb lähtuda eelnõu lõikest 4.
5.5 Eelnõu § 6 lõikega 4 tuuakse Statistikaameti vaatest sisse uus teenus, kuivõrd Statistikaametile antakse õigus isikustatud andmeid töödelda viisil, et ühe või mitme andmekogu vastutavad töötlejad edastavad isikustatud andmed Statistikaametile andmete pseudonüümimiseks või muu samaväärset kaitset pakkuva meetme kasutamiseks ja uuringu tegijale edastamiseks. Seletuskirjas viidatakse sellele kui alternatiivsele lahendusele juhuks, kui näiteks on vaja eri andmekogude andmed isikustatud kujul ühendada, aga puudub võimalus eri andmekogudes andmed nt sarnase metoodika järgi pseudonüümida. Seletuskirjas on selle lõike juures selgitatud, et Statistikaametile antakse õigus isikustatud andmeid töödelda selleks, et muuta need uuringu tegijale sisuliselt anonüümseteks andmeteks. Siin on oluline vältida mistahes väärarusaamu mõistete kasutamisel ehk et kui eelnõu tekstis kasutatakse mõistet „pseudonüümimine“, siis seda ei saa võrdsustada andmete anonüümseks muutmisega, sest pseudonüümimise tulemusel ei muutu andmed anonüümseteks. Anonüümsed andmed on täielikult isikust eraldatud nii, et inimest ei ole enam võimalik tuvastada, ei otse ega kaudsete meetoditega. Lisaks, kui näiteks § 61 lõikes 4 on ette nähtud võimalus, et valdkonna eest vastutaval ministril on õigus kehtestada määrusega täiendavaid tehnilisi ja korralduslikke turvanõudeid andmetöötlussüsteemis andmete töötlemisele,
Arvestatud, säte eelnõust välja jäetud.
21
siis kuidas tagatakse Statistikaametis pärast andmete pseudonüümimist ja tellijale edastamist, et vastuvõtjal on olemas turvaline ja seadusele vastav keskkond. See tähendab, millised on ameti volitused selle teenuse pakkumisel seaduse alusel näiteks kontrolli teostamisel või on vastutus täielikult tellijal. Juhime ka tähelepanu, et Statistikaameti poole pole seni ükski klient sellise eraldi pseudonüümimise vajadusega pöördunud. Selline tegevus oleks ameti jaoks täiendav ressursikulu ja täiesti uus teenusetüüp, mille puhul tuleb arvestada uue protsessi ülesehitamist, et andmete vastu võtmine, hoidmine, pseudonüümimine ja edasi saatmine toimuks turvanõudeid jälgides ülejäänud statistikatootmisest eraldisesivana. See nõuab uusi tehnilisi lahendusi, aga ka uut pseudonüümimismetoodikat. Kuna uue teenuse vajadus ja potentsiaalsed kasutajad on teadmata, siis võiks kaaluda selle teenuse välja jätmist. Seni ja ka tulevikus on võimalik riikliku statistika programmivälise tööna mitme andmekogu ühtse metoodika alusel pseudonüümitud andmete ühendamine Statistikaameti abil ning Statistikaameti pakutavas turvalises keskkonnas, milles tagatakse ka väljundi kontroll, välistamaks kaudse tuvastamise võimalus.
5.6 Eelnõu § 6 Lõike 5 kohaselt ei pea olukorras, kus uuringus töödeldakse andmeid nii, et on täidetud lõikes 3 sätestatud tingimused, enne taotlema eetikakomitee hinnangut, vaid uuringu tegija teavitab AKI-t vastavast uuringust, uuringu eesmärkidest, töödeldavatest andmetest ja § 6 lõikes 3 sätestatud tingimuste täitmisest. Kuna erinevalt kehtivast seadusest ei kasutata eelnõus mõisteid vastutav ja volitatud töötleja, v.a andmekogu vastutav töötleja, jääb antud lõike puhul ebaselgeks, kellena käsitletakse uuringu tegijat ning kes ja kuidas teavitab AKI-t, kuna uuringu tellija ja teostaja võivad olla erinevad isikud. Palume samuti täpsustada, kas samad tingimused andmetele ligipääsuks kehtivad ka eriliiki isikuandmete puhul ehk vajalik on üksnes AKI teavitamine sõltumata uuringu eesmärgist ja teostajast, s.t ka erasektori uuringu puhul. Sellisel juhul kohalduks vastav kord justkui nii neile juhtumitele, kui Statistikaamet täidab ise ülesannet ja töötleb andmeid, kui ka neile, kus uuringu tegija soovib ise turvalises töötluskeskkonnas pseudonüümitud andmeid analüüsida. Siin sooviksime ka täpsemat riskide hindamist.
Arvestatud, eelnõu ja seletuskirja täiendatud. Selgitame, et kui Statistikaamet täidab talle seadusega pandud ülesannet ja andmete töötlemise ulatus ja eesmärk on seaduses toodud, siis IKS § 6 ei kohaldu.
5.7 Eelnõuga tuuakse sisse uus § 61, mis sätestab tingimused, kui isikuandmeid uuringu teostamisel töödeldakse vastavas
Selgitame, et nõuded on kehtestatud lähtudes eelkõige Euroopa terviseandmeruumi (EHDS) määrusest. Seda, kas andmetöötlussüsteemi pakkuja
22
andmetöötlussüsteemis. Eelnõu seletuskirjas on mõjude punkti all viidatud, et eelduslikult tekib selliseid andmetöötlussüsteeme 3–5. Palume siiski täpsemalt selgitada, millest lähtudes on nõuded taolisele andmetöötlussüsteemile kehtestatud, kes võiks olla sellise andmetöötlussüsteemi teenuse pakkujad (sh kas on teada, kellel on praegu juba eelnõus sätestatud nõuetele vastavad andmetöötlussüsteemid olemas või kes on neid süsteeme arendamas), kes ja kuidas saavad selliseid süsteem kasutada ning kas tegemist oleks tasulise teenusega. Lisaks märgime, et lõikes 5 tuuakse sisse enne süsteemi kasutuselevõttu või selles tehtud arenduse kasutuselevõttu AKI kontroll, mille käigus hinnatakse muu hulgas, kas andmetöötlussüsteemis rakendatakse piisavaid meetmeid andmete pseudonüümimiseks, logimiseks, juurdepääsu piiramiseks ja muude riskide maandamiseks. Palume siinkohal täpsustada, kuidas on silmas peetud arenduste hindamist ehk kas peetakse silmas üksnes uute moodulite lisamist või iga üksikut tehnilist parendust. Samuti, millist kompetentsi see uus funktsioon AKI-lt eeldab ja millises osas on RIA abiks arvestades, et seletuskirjas on viidatud, et AKI koormus väheneb seetõttu, et ta ei tee enam uuringute eelkooskõlastusi, kuid suureneb järelevalve ja eelkontrollide tõttu.
saab teenuse eest tasu küsida, sõltub sellest, kes teenust pakub. Kui teenuse pakkuja on erasektori asutus, saavad uuringu tegija ja teenuse pakkuja omavahel kokku leppida (lepinguline suhe) tasu maksmise küsimuse. Kui teenust pakub avaliku sektori astutus, peab tasu küsimise võimalus olema ette nähtud seadusandja poolt. Eelnõu ja seletuskirja on täiendatud. Eelnõuga nähakse ette andmetöötlussüsteemi pakkujale kohustus vähemalt kord aastas kontrollida andmetöötlussüsteemi nõutele vastavust ning esitada aruanne Andmekaitse Inspektsioonile.
6. Tallinna Ülikool Justiits- ja Digiministeeriumi märge
Isikuandmete kaitse seaduse (edaspidi IKS) § 6 (eelnõu § 1 p 1) 6.1 Lõikes 2 on sätestatud, et uuringuks peetakse ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüse ja uuringuid, sealhulgas tehnoloogiaarendusi. Juhime tähelepanu, et avalik-õiguslik ülikool on avalik- õiguslik juriidiline isik. Avalik-õigusliku ülikooli õiguslik seisund, eesmärk ja ülesanded, tegevuse alused ning juhtorganid sätestatakse ülikooli kohta käivas seaduses ja avalik-õiguslikel ülikoolidel ei ole ülikoolide seaduste kohaselt hallatavaid asutusi . Eelnõu seletuskirjast ega sätte sõnastusest ei selgu, kas võib esineda analüüse ja uuringuid, mis ei mahu käesoleva käsitluse “analüüside ja uuringute, sh tehnoloogiaarenduste” raamidesse. Ühe näitena võib tuua nüüdisaegsed personaliandmekogud, milles säilitatavate andmete koosseis võimaldab analüüsi. Teise näitena on ülikoolidel kohustus osaleda akrediteerimisprotsessis, mille üheks sisendiks on ülikooli töötajate rahuloluküsitlused. Seletuskirjast ei tulene selgelt välja milliseid uuringuid ja
Selgitame. Olukorras kus uuringu ja analüüsi tegemiseks on eriseaduses loodud õiguslik alus, toodud töödeldava isikuandmete kategooriad ja uuringu eesmärk, siis see ongi uuringu tegija õiguslik alus andmetöötluseks, mitte IKS § 6. Selgitame, et juhul kui andmetöötlus toimub ühe andmekogu piires (personaliandmekogud), siis selleks on loodud eraldi õiguslik alus IKS § 6 lg 9. Ülikooli töötajate rahuoluküsitlused toimuvad eelduslikult töötata nõusolekul ning see ei ole IKS § 6 kohaldamisalas vaid omaette õiguslik alus andmetöötluseks.
23
analüüse käesoleva seaduse muudatusega silmas peetakse. Ülikoolides viiakse läbi töötaja ja teadlaste seas rahulolu uuringuid, mis aitavad kaasa ülikoolide akrediteerimisele. Kas sellisel juhul võiksid rahuoluolu uuringud kuuluda samuti eelmainitud "analüüside ja uuringute" alla?
6.2 Lõike 3 punktis 3 võib osutuda rakendamisel ülemäära piiravaks arvestades lõike 2 praegust sõnastust. Seetõttu vajab täpsustamist, milliseid lisatoiminguid on silmas peetud, mida ei tohi uuringu läbiviimisel teha, kuna nende tulemusel võib isik olla tuvastatav. Näiteks, kas sellisel juhul tähendab see seda, et kui uuring viiakse läbi pseudonümiseeritud andmetega teatud tüüpi isikute ja andmete osas, ning seejuures viiakse täiendavalt läbi ka sama rühma/gruppi kuuluvate inimestega teise meetodiga uuring ning võib esineda risk, et pseudonüümitud andmete taga olev isik võib osutada samaks, kes tegelikult osaleb ka intervjuudes. Kas sellisel juhul ei tohiks näiteks intervjuusid läbi viia? Lõigete 2 ja 3 koosmõjus rakendamisel võib tekkida olukord, kus tehnoloogiaarendusi ei ole võimalik kasutada. Palume kaaluda sätete koosmõjus rakendumise riske ja selgitada võimalikke mõjusid.
Selgitame, et kui viiakse läbi ka intervjuusid, siis ei põhine uuring enam üksnes andmetel ning intervjuude läbiviimine toimub eelduslikult nõusoleku alusel. Juhul kui samade inimestega viiakse läbi ka intervjuusid, kelle andmeid eelnevalt töödeldakse siis kokkuvõttes ei ole tegemist pseudonüümitud andmetega uuringu tegemisega ja kohaldub IKS § 6 lg 4.
6.3 Lõige 4 järgi võib valdkonna eest vastutav minister määrusega kehtestada andmetöötlussüsteemis andmete töötlemisele täiendavad tehnilised ja korralduslikud turvanõuded. Siinkohal tuleks täpsustada, millele täiendavad turvanõuded vastama peaksid (nt riiklikule või rahvusvahelisele infoturbestandardile).
Arvestatud, vt p 6.11.
6.4 Lõige 5 sätestab, et kui isikuandmeid töödeldakse sama paragrahvi lõikes 3 sätestatud tingimustel, teavitab uuringu tegija enne isikuandmete töötlemist uuringust, uuringu eesmärkidest, töödeldavatest andmetest ja käesoleva paragrahvi lõikes 3 sätestatud tingimuste täitmisest Andmekaitse Inspektsiooni (edaspidi AKI). Sättest ei selgu aga, millised on täpsemad protseduurireeglid uuringu läbiviija seisukohast AKI teavitamiseks (nt teavitamise tähtaeg, millises vormis nõutud andmed esitatakse jne). Selles osas tuleks seletuskirja täiendada. Ühtlasi tekib küsimus, kas AKI-l tekib ka täiendavaid kohustusi või õigusi ning milline on sel juhul AKI menetlus.
Arvestatud osaliselt, seletuskirja täiendatud. Eelnõus ja seletuskirjas on toodud, et teavitus tuleb teha enne andmate töötlemist, samuti on toodud, milline teave tuleb AKI-le edastada. Eelnõu ei näe ette teavituse edastamise viisi, kas teavitusi tehakse e-postiga, saab selleks olema veebivorm AKI kodulehel või tulevikus loodava ühtse taotluste menetlemise keskkonnas, ei ole hetkel selge. AKI-le on ka täna IKS-i alusel järelevalvepädevus, AKI-l tekib täiendav võimalus teatud uuringute osas järelevalvet vajadusel teha. Lisaks on eelnõu muudetud selliselt, et AKI teavitus tuleb teha juhul kui andmeid töödeldakse lg 4 alusel.
6.5 Lõige 6 punktis 1 on kasutusele võetud mõiste “ebamõistlikult raske”, kuid selle sisu jääb ebaselgeks ning ka seletuskiri seda ei ava. Olukorras kus uurija peab täiendavalt tasuma andmete täiendava töötlemise eest ning see muudab
Selgitame, et tegemist on kehtiva regulatsiooni mõistetega.
24
uuringu rahastamist ja võib mõjutada uuringu edasist käiku finantsilisest aspektist, siis vajab täpsustamist, kas sellist olukorda võib käsitada kui „ebamõistlikult rasket“. Punkti 2 osas toome välja, et kõikides uuringutes ei pruugi olla võimalik ülekaalukat avalikku huvi sellisel määral põhjendada. Võib tekkida olukord, kus avalik huvi küll esineb, kuid ei ole selgelt ülekaalukas. Seetõttu teeme ettepanek täpsustada seletuskirjas, milliste kriteeriumide alusel hinnatakse ülekaaluka avaliku huvi olemasolu.
6.6 Lõike 7 kolmanda lause kohaselt on Rahvusarhiivis säilitatavate isikuandmete puhul eetikakomitee õigused Rahvusarhiivil. Paraku jääb ebaselgeks, kas Rahvusarhiivil on juba olemas eetikakomitee või nähakse selle sätte alusel ette eetikakomitee moodustamine. Vajab täpsustamist, millisel kujul ja alustel eetikakomitee õigusi Rahvusarhiivis teostatakse.
Selgitame, et Rahvusarhiivil ei ole eetikakomiteed, vaid tema täidab eetikakomitee rolli arhiveerimise puhul. Siin kehtivat regulatsiooni ka ei muudeta. Rahvusarhiivil on õigus ja kohustus kontrollida, kas esinevad tingimused, mis võimaldavad Rahvusarhiivis säilitatavaid eriliiki isikuandmeid töödelda teadus- või ajaloouuringu koostamise eesmärgil andmesubjekti tuvastamist võimaldaval kujul andmesubjekti enda nõusolekuta.
6.7 Lõikest 8 ega eelnõu seletuskirjast ei selgu, milliste kriteeriumide alusel hinnatakse uuringu andmekaitsealaseid ja eetiliste riskide „väiksust“. Täpsustamist vajab, kas väike risk peab esinema nii andmekaitsealases kui ka eetilises aspektis või piisab sellest, kui risk on väike vaid ühes neist. Samuti ei ole seletuskirjas analüüsitud ega kirjeldatud „väikese“ riski sisulisi kriteeriume, mistõttu võib sätte kohaldamine jääda liialt subjektiivseks.
Säte eelnõust välja jäetud.
IKS § 61 (eelnõu § 1 p 2) 6.8 Lõike 3 esimeses lauses kasutatakse mõistet “uurimistulemuste valideerimine”, kuid selle tähendus ja ajaraamistik jäävad ebaselgeks. Kuigi seletuskirjas on valideerimist kirjeldatud kui teaduslikku protsessi, on see praktikas varieeruv ning võib ajaliselt venida. Samuti võib olla ebaselge, millisel hetkel saab lugeda valideerimise lõppenuks. Selline ebamäärasus võib raskendada andmete kustutamise kohustuse üheselt mõistetavat täitmist ning vajab täpsustamist. Sama lõike teises lauses on ette nähtud, et logid kustutatakse üks aasta pärast uuringu käigus töödeldavate andmete kustutamist, kuid seletuskirjast ei selgu selgelt antud tähtaja põhjendus. Puudub selgitus, miks on valitud just
Selgitame. Valideerimise perioodi ei ole üheselt ja kindla ajapiiranguga seadusega ette näha. Kohaldub üldine IKÜM põhimõte, tohib säilitada nii kaua, kui see on teadusuuringu eesmärgi saavutamiseks vajalik. Hea teadustava1 kohasel säilitab teadlane isikustatud kujul andmeid säilitab nii kaua kui vaja ja nii vähe kui võimalik. AKI on hinnanud, et üks aasta on piisav tähtaeg võimalik järelevalvemenetluse tarvis.
1 hea_teadustava_est_0.pdf
25
üheaastane tähtaeg ning kas selle määramisel on arvesse võetud võimalikke nõuete esitamise tähtaegu.
6.9 Lõikes 4 teeme ettepaneku asendada lauseosa "... minister võib määrusega kehtestada..." osaga "...minister kehtestab...". Eelnõus pakutud sõnastus jätab turvanõuete kehtestamise kaalutlusõiguseks, mis ei tohiks aga nii olla. Samuti ei selgu seletuskirjast, kas vastava määruse ettevalmistamine on kavandatud, millise ajakavaga see toimub ning millal täiendavad turvanõuded jõustuvad.
Mittearvestatud. Selgitame, hetkel leiame, et vajalikud tingimused on seaduse tasandil ette nähtud, kui see peaks ajas muutuma, siis on jäetud paindlikus tingimuste täpsustamiseks.
6.10 Lõikes 7 on seadusesse sisse toodud mõiste “avategija”, mis vajab aga mõistena määratlemist.
Eelnõu sellist mõistet ei kasuta.
6.11 Ühtlasi vajab täpsustamist, kas andmetöötlussüsteem peab vastama ka kindlatele infoturbestandarditele, nagu Eesti infoturbestandard (E-ITS) või rahvusvahelised standardid (nt ISO/IEC). Seletuskirjast võiksid selguda täpsemad nõuded andmetöötlussüsteemile. Samuti jääb ebaselgeks, millisele regulatsioonile eelnõus viidatakse.
Arvestatud, seletuskirja täiendatud. Selgitame, et Eesti infoturbestandardi või selle alternatiiviks oleva standardi (rahvusvaheline standard ISO/IEC 27001 või Eesti standard EVS-EN ISO/IEC 27001) nõude rakendamise kohustus tuleneb teatud organisatsioonidel (küberturvalisuse seaduse tähenduses teenuseosutajatel) küberturvalisuse seaduse § 7 lõike 5 alusel antud Vabariigi Valitsuse määrusest nr 121 “Võrgu- ja infosüsteemide küberturvalisuse nõuded” - vt määruse § 3. Selle hulgas on osad, kuid mitte kõik teenuseosutajad, kes peavad isikuandmete kaitse seadust, sh siinse eelnõu nõudeid järgima. Mitte kõik küberturvalisuse seaduse tähenduses olevad teenuseosutajad ei pea rakendama Eesti infoturbestandardit või selle alternatiivset standardit, kuid miinimum on, et nad kõik täidavad ära esmaste turvameetmete nõuded (vt eelviidatud määruse § 51 ja sama määruse lisa).
Tähelepanekud lastega seotud isikuandmete kaitse küsimuse osas 6.12 Eelnõu § 6 lõige 2 sõnastus laiendab uuringu mõistet selliselt, et see hõlmab ka asutuste siseseid analüüse, teenuste ja infosüsteemide arendusi ning tehnoloogiaarendusi. Selline sõnastus muudab uuringu sisuliselt üldiseks aluseks avaliku sektori andmete laialdaseks sekundaarseks kasutamiseks, sealhulgas laste ja perede eriliiki isikuandmete puhul. Siinkohal on vajalik regulatsiooni täiendav piiritlemine, et välistada tundlike isikuandmete, sh laste, sotsiaal- ja tervisevaldkonna andmete kasutamine teenuse-, infosüsteemi- ja tehnoloogiaarendustes uuringu nime all ilma täiendava sisulise ja eetilise hindamiseta. Kuigi § 6 lõige 7 näeb ette eetikakomitee kohustusliku kaasamise juhtudel, mil töödeldakse tuvastatavaid andmeid § 6 lõike 6 alusel, jäävad eelnõu kohaselt eetikakomitee hinnanguta kõik juhtumid, kus laste, sotsiaal-, tervise- ja vaimse tervise valdkonna eriliiki
Osaliselt arvestatud, eelnõu muudetud, selgitame. Eelnõu kohaselt kui töödeldakse eriliiki isikuandmeid (sh laste andmeid) tuleb läbida eetikakomitee hindamine. Toodud näidete pinnalt liigituksid alaealisi puudutavad andmed eriliiki andmete alla ning tuleb ka läbida eetikakomitee. Tervishoiu ja sotsiaalkaitse valdkonna terviseandmeid võib töödelda üksnes § 61 tingimustele vastavas andmetöötlussüsteemis.
26
andmeid töödeldakse pseudonüümimisele tuginedes § 6 lõike 3 alusel. Selline lahendus ei taga piisavat eetilist ega sisulist kontrolli laste ja perede andmete süsteemsel sekundaarse kasutuselevõtul teenuse- ja tehnoloogiaarendustes.
6.13 Eelnõu ei sisalda erisätteid, mis arvestaksid lapse kui erilise kaitsevajadusega isiku staatust isikuandmete töötlemisel uuringu eesmärgil. ÜRO lapse õiguste konventsiooni artikli 3, Euroopa Liidu põhiõiguste harta artikli 24 lõike 2 ning isikuandmete kaitse üldmääruse põhjenduse 38 (sätestab laste isikuandmete kõrgendatud kaitse põhimõtte) ja artikli 89 kohaselt on lapsel isikuandmete töötlemisel õigus kõrgendatud kaitsele ning täiendavatele kaitsemeetmetele. Laste isikuandmete, eeskätt eriliiki isikuandmete töötlemine eeldab täiendavaid ja selgelt sätestatud kaitsemeetmeid, arvestades laste suurenenud haavatavust ning andmetöötluse võimalikku pikaajalist mõju lapse õigustele ja arengule. Ettepanek on täiendada IKS § 6 eraldi lõikega, mis sätestab, et alla 18- aastaste isikute isikuandmete töötlemisel uuringu eesmärgil tuleb lähtuda lapse parimate huvide põhimõttest ning rakendada täiendavaid kaitsemeetmeid. Laste eriliiki isikuandmete töötlemine oleks lubatud üksnes eelneva asjaomase valdkonna eetikakomitee positiivse hinnangu olemasolul.
Vt p 6.12 selgitust.
6.14 Eelnõuga kavandatav andmetöötlussüsteem loob laiaulatusliku infrastruktuuri isikuandmete töötlemiseks uuringu eesmärgil. Arvestades süsteemi potentsiaali võimaldada suuremahulist ja automatiseeritud andmetöötlust, on vajalik täpsustada, et laste, sotsiaal- ja tervisevaldkonna eriliiki isikuandmete kasutamine selles süsteemis oleks piiratud ning lubatud üksnes selgelt piiritletud teaduslikel eesmärkidel ja eelneva asjaomase valdkonna eetikakomitee positiivse hinnangu olemasolul.
Mittearvestatud. Andmetöötlussüsteemile nähakse seadusega ette tingimused, millele see peab vastama, sh ei ole seal andmed isikustatud kuju.
Muud olulised tähelepanekud 6.15 Eelnõu seletuskirjas on märgitud: “...eetikakomitee peab olema moodustatud seadusega või selle alusel, kuna kehtiva seaduse kohaselt võiks eetikakomitee luua põhimõtteliselt igaüks.“. Samuti on seletuskirja põhjendustes viidatud VTK tagasisidele, milles toetati ettepanekut, mille kohaselt “...eetikakomitee oleks loodud seadusega või selle alusel antud õigusaktiga ja tema pädevus oleks selgelt määratud. Toetati suunda, kus Eestis oleks ühtne eetikakomiteede süsteem („ühe ukse poliitika“), mis koondab kõik valdkondlikud komiteed ühe juhtiva struktuuri alla.”.
Selgitame, et eetikakomiteede reguleerimine seaduse tasandil ei ole JDM-i pädevuses, ega selle eelnõu skoobis.
27
Käesoleval ajal tegutseb TLÜ-s eetikakomitee, mis menetleb igakuiselt keskmiselt 12 uuringut. TLÜ eetikakomiteele esitatakse uuringuid mitte üksnes eetilise ja andmekaitsealaselise hinnangu saamiseks, vaid ka seetõttu, et eetikakomitee kooskõlastust vajatakse juhul kui uurija soovib uuringu põhjal kirjutada teaduslikku artikli ning avaldada selle rahvusvahelises teadusväljaandes. TLÜ eetikakomiteele seni ja ka edaspidi esitatavad uuringutele võib kohalduda antud seadusemuudatus, mille kohaselt peab uurija pöörduma seaduse alusel loodavasse eetikakomiteesse. TLÜ eetikakomitee ei ole loodud seaduse alusel, vaid moodustatud rektori korraldusega vastavalt eetikakomitee statuudi p-le 2.2 (statuut on kehtestatud TLÜ põhikirja § 12 p 10 ja § 14 lg 1 alusel). Kahetsusväärselt ei ole seletuskirjas analüüsitud olemasolevate eetikakomiteede edasine saatus. Samuti ei ole selgitatud, kas on plaanis luua volitusnorm, mis lubab edaspidi ülikoolide ja teiste asutuste juures ka käesoleval ajal tegutsevaid eetikakomiteid seaduse alusel luua ning millisel alusel ja põhimõtetel tegutsevad edaspidi olemasolevad eetikakomiteed. Palume seletuskirjas vastavat teemat täiendavalt analüüsida ning selgitada, milline on olemasolevate eetikakomiteede edasine õiguslik staatus.
6.16 Seletuskirjas on öeldud, et AKI avaldab info tehtavatest uuringutest Eesti teabeväravas. Seletuskirjas ei ole selgitatud, millist infot ja millises mahus avaldatakse ega ka seda, millal antud info avalikuks tehakse. Seletuskirjas pole samuti selgelt väljendatud, kas vastav avaldamine võib mõjutada uuringute konfidentsiaalsust ja intellektuaalomandi kaitset või sellega kaasnevaid riske.
Selgitame. Teave, mis tuleb esitada AKI-le on sama teave, mille AKI eelnõu kohaselt oma veebilehel ka avaldav, sh saab teavet kuvada tehnilise lahenduse olemasolul Eesti teabeväravas. Juurdepääsupiiranguga teabe osas on seletuskirja täiendatud.
6.17 Arvestades, et käesoleva eelnõu seletuskirjas tuuakse esile, et juhul kui uuringu tegija andmeid isikustatud kujul ei vaja ning teadusuuringu tegijale luuakse võimalus andmeid töödelda andmetöötluskeskkonnas, väheneb uuringu tegija töökoormus ja lüheneb uuringu tegemise aeg. Isikuandmete töötlemine andmesubjekti nõusolekuta tähendab teadustöö tegijale paratamatult IKS-ist tulenevaid piiranguid ja halduskoormust (eetikakomitee menetlus). Märgime, et eelmise aasta lõpus otsustati põhikooli- ja gümnaasiumiseaduse ning kutseõppeasutuse seaduse muutmise seadusega (direktorite atesteerimine, õpetajate karjäärimudel ning isikuandmete töötlemine tehisintellekti rakenduse kasutamisel) anda seaduslik alus õpilaste isikuandmete töötlemiseks tehisintellekti rakenduse kasutamisel põhikooli- ja gümnaasiumiseadusega kõigile koolidele.
Selgitame, et koolidele loodi õiguslik alus tehisintellekti rakendustes isikuandmete kasutamiseks, mitte arendamiseks, mida käesolev eelnõu käsitleb.
28
Palume võimalusel käesoleva eelnõu ettevalmistamisel Teie ekspertarvamust selles, millisele alusele isikuandmete töötlemise nõudeid silmas pidades peaksid tuginema ülikoolid üliõpilaste isikuandmete töötlemiseks tehisintellekti rakenduste kasutamisel ülikoolides. Viidatud eelnõu menetlemisel põhjendati reguleerimise vajadust järgmiselt - “...luua õiguslik alus õppetegevuses tehisintellekti rakenduste kasutamiseks põhikooli- ja gümnaasiumiseaduses, kuna sellele osundas Andmekaitse Inspektsioon. Tehisintellektil põhinevate tehnoloogiate järjest laienev kasutuselevõtt, sh ka koolide poolt õppetegevuses on toonud kaasa vajaduse õpilaste isikuandmete kaitse täiendavaks tagamiseks ning sellest tulenevalt õigusaktide muutmiseks.”
7. Andmekaitse Inspektsioon Justiits- ja Digiministeeriumi märge
7.1 Eesmärk ja kohaldamisala Eelkõige märgime, et uuringu tegemise võimaluste ja tegijate ringi laiendamine on igati tervitatav. Siiski on mõnevõrra ebaselge seaduse kohaldamisala. Seletuskirja kohaselt on eelnõu eesmärk tagada õigusselgus, kes ja millistel tingimustel võivad andmesubjekti nõusolekuta töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. On oluline, et kõigile osapooltele, kellel on vaja isikuandmeid nimetatud eesmärgil töödelda, kohalduksid võrdsed õigused ja kohustused, olgu selleks ülikool, üliõpilane, riigiasutus, kohalik omavalitsus (KOV) või ettevõtja, kes soovib teha teadusuuringut või innovatsiooni avalikes huvides. Tegemist on erandiga, mis tuleneb IKÜM-i artiklist 89. IKS § 6 põhineb ka IKÜM-i artikli 6 lõike 1 punktil e, mille kohaselt on liikmesriigil võimalik õigusaktiga täpsustada avalikes huvides oleva ülesande täitmise aluseid. Teadus-ja ajaloouuringud ning statistika on avalikes huvides olevad ülesanded. Eelnõus on võetud kasutusele laiem termin „uuring“, mis seletuskirja punkti 4 kohaselt hõlmab näiteks tehnoloogia arendamist ja tutvustamist, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid. Ka tehisaru arendamine on osa tehnoloogiaarendusest. Statistika puhul on loobutud piirangust, et isiku nõusolekuta võib andmeid töödelda vaid riikliku statistika tegemiseks. Seega peaks uuringu tegemise eelduseks olema vaid avalik huvi, st IKÜM artikli 6 lõike 1 punkt e koos IKS §-ga 6. AKI eeldab, et eelnõuga on silmas peetud siiski kõiki võimalikke uuringute tegijaid nii avaliku, kui erasektori esindajaid sõltumata omandivormist või ülesannetest, ka näiteks eraõiguslikud uriidilised isikud, ja sh ka nt riigi asutatud sihtasutused jms. Samas on eelnõus eraldi säte (§ 6 lõige 2), mis loetleb nö avaliku sektori
Selgitus on toodud punktis 2.2 ja 2.4. Eelnõu ja seletuskirja on täiendatud, et asutuse tehtava uuringu ja tema ülesande vahel peab olema eesmärgipärane seos. Selgitame, et uuringu tegijate ring ei ole piiritletud, seda ei tee ka IKÜM.
29
asutused, kes võivad uuringuid teha. Seetõttu tekib küsimus, kas eelnõu § 6 lõike 1 alusel on uuringute tegijate võimalik ring kuidagi piiritletud, nt teadus-ja arendustegevuse osalised TAIKS mõttes? Seletuskirja punktis 4 kirjeldatakse, mida on mõeldud terminiga „uuring“. Mõiste hõlmab teadus-ajaloo ja statistika eesmärgil tehtavaid uuringuid. Teadusuuringud on erinevad tüüpi uuringud ja ka tehnoloogiaarendused. Sellest tulenevalt jääb selgusetuks, mis põhjusel on IKS§ 6 lõikes 2 avaliku sektori asutustele eraldi tehnoloogiaarendused välja toodud. Kas seda tuleb mõista selliselt, et avaliku sektori asustuste uuringud on kuidagi piiratud? Eeltoodust tulenevalt palume kavandatava IKS § 6 lõike 2 kohaldamisala ja eesmärgi seletuskirjas paremini selgitada. Lisaks märgime, et jääme väljatöötamiskavatsusele esitatud arvamuses toodud seisukoha juurde, et kui eesmärki sisustatakse ainult läbi avaliku huvi, siis reaalsuses tekib võimalik vaidluskoht –kui konkreetne eesmärk tegelikult on. Hetkesõnastus annab alust sisustada uuringu eesmärki vaid läbi selle, et esineb avalik huvi. Avalikku huvi mõistet ei ole aga kuskil lahti selgitatud, seda hinnatakse igakordselt. AKI arvates peaks eesmärgi määratlemisel olema lisaks avalikule huvile veel mingi tingimus või kriteerium. Näiteks teadusuuringute puhul on kriteeriumiks ka see, et sellest peab tekkima uus väärtus, tulemus annab sisendit asutuse töö muutmiseks, tõhustamiseks, õigusraamistiku muutmisega vms. Uuring peab olema seotud asutusevalitsemisala või ülesannetega. Samas AKI hinnangul tekib sellise hoomamatu eesmärgi puhul oht, et uuringu varjus hakatakse tegema asutuse ülesannete täitmiseks kogu aeg massandmetöötlust (nt elanikkonna profileerimist) ilma selleks muud õiguslikku alust loomata. Kui ikkagi mõnel asutusel on vaja teha mõnda analüüsi vms iga-aastaselt või mingi perioodi tagant ehk tegemist on selgelt asutuse avaliku ülesandega, siis tuleks see eraldi seadusega reguleerida. IKS § 6 alusel ei tohiks massandmetöötlus toimuda tavapärase ametliku ülesande täitmiseks. Võrreldes kehtiva õigusega laiendatakse nö seni poliitika kujundamise eesmärgil tehtavate uuringute regulatsiooni. Eelnõus kasutatakse uuringu mõistet laiana ning kavandatava IKS § 6 lõikes2 sätestatakse avaliku sektori asutuste loetelu, kes võivad uuringuid teha. AKI märgib, et kui uuringu tegemise õigus ei ole kuidagi asutuse tegevusvaldkonnaga piiritletud, nt võib
Arvestatud, eelnõu ja seletuskirja muudetud, lõikest 2 on välja jäetud tehnoloogiaarendused kuna teadusuuring IKÜM-i mõttes katab ka tehnoloogiaarendused.
30
mistahes uuringuid teha ka KOV-i lasteaed või hooldekodu, siis võib tekkida oht andmete hankimiseks näiliste uuringute kaudu.
7.2 Läbipaistvus Kavandatavate IKS§ 6 lõike 5 ja § 6¹ lõike7 kohaselt teavitatakse uuringust AKI-t, kes avaldab selle teabe oma veebilehel. Seletuskirja kohaselt avaldab AKI selle teabe Eesti teabeväravas. Palume avaldamist puudutava osa täpsustada ning viia eelnõu ja seletuskiri omavahel kooskõlla. Lisaks kitsendab eelnõuI KÜM artiklis 14 sätestatud avaldatavat teavet, milleks AKI põhjust ei näe. Läbipaistvuse põhimõtte tagamiseks peaks see lõige sisaldama rohkem avaldatavat teavet lähtuvalt IKÜM artiklist 14. Kavandatav IKS § 6 lõige 9 võimaldab ühe andmekogu piires töödeldavate andmetega teha uuringuid eelnõussätestatud kaitsemeetmeid järgimata. AKI hinnangul tuleb seejuures arvestada, et puudub ka teavitamiskohustus või muud kaitsemeetmed, nt kohustuslik regulatsioon andmekogu põhimääruses ehk andmesubjektil ei ole võimalik oma andmete töötlemise kohta mingit teavet saada. AKI leiab, et selline andmetöötlus ei vasta IKÜM läbipaistvuse nõudele. Seletuskirja punktis 6.3. on riive andmesubjektile käsitlemata. Ka eelnõu § 6¹ lõige 6 ütleb, et kui on selle paragrahvi nõuded täidetud, siis ei kohaldata lõiget 7 ehk siis igasugune teavitamise kohustus puudub. AKI ei leia, et ka andmetöötlussüsteemis tehtud analüüside kohta tuleb AKI-t teavitada, kuid selleks, et tagada läbipaistvus, peaks siiski ka selliste analüüside kohta olema teave avaldamise kohustus andmetöötlejal endal.
Arvestatud, seletuskirja täiendatud. IKÜM art 14 osas selgitame, et vastutava töötleja kohustus uuringu kohta teabe avaldamine isikule nt oma veebilehel IKÜM arti 14 tulenevas mahus on uuringu tegija kohustus andmesubjekti ees. Eelnõu reguleerib, millist teavet peab uuringu tegija avaldama AKI-le. Eelnõu ja seletuskirja täiendatud. Selgitame, IKS § 6 lg 8 (varasem lg 9) puhul on tegemist andmekogusisese andmetöötlusega, mida tehakse seaduse lausel asutusele pandud ülesannete täitmiseks, sellisest andmetöötlusest isikuid eraldi ei teavitata, see töötlemise alus on seaduses kindlaks määratud. Samuti vajab asutus oma ülesannete täitmiseks sh analüüside tegemiseks ja teenuste paremaks planeerimiseks ja pakkumiseks andmeid oma andmekogu piires töödelda. Selline andmetöötlus jääb seadusega pandud piiridesse ning ei vaja eraldi isiku teavitamist. Selguse huvides võiks andmekogu põhimääruses ja analüüside tegemise korda reguleerida, nt läbi andmekogu andmelao kasutamise. Samas peab uuringute tegemisel lähtuma ikkagi IKS § 6 sätestatud tingimustest, eelkõige teha uuringuid isikustamata andmetega. Arvestatud, eelnõu ja seletuskirja täiendatud. AKI teavitamise kohustus on juhul kui andmeid töödeldakse isiku tuvastamist võimaldaval kujul.
7.3 Andmeandja õiguslik alus Eelnõu seletuskirja kohaselt on eelnõu eesmärgiks õigusselguse tagamine, kes ja millistel tingimustel võivad andmesubjekti nõusolekuta töödelda isikuandmeid teadus-ja ajaloouuringu ning statistika eesmärgil. Praktikas on ilmnenud probleem sellega, et andmeandjad, kelle kogutud isikuandmeid soovitakse uuringus kasutada, ei ole uuringu mõttes vastutavad ega volitatud töötlejad ning neil puudub selge õiguslik alus andmete töötlemiseks
Mittearvestatud. Selgitame, et teadusuuringuks andmete väljastamine ja nende eelnev töötlemine ei ole nt kuidagi erinev sellest töötlusest, mis tehakse taotlusele vastamisega, nt teisele asutusele tema ülesannete täitmiseks andmete edastamiseks või ajakirjanikule või isikule endale. Kui teisel poolel on õiguslik alus andmete saamiseks siis nende andmete töötlemiseks ka õigus on olemas. Eelnõu ei vaja siinkohal täiendamist kuna tegemist oleks topelt reguleerimisega.
31
(väljastamiseks) uuringus kasutamiseks. IKÜM artikli6 lõike1 punktid c ja e, mis saaksid üldjuhul olla andmete andmise aluseks, nõuavad IKÜM artikli 6 lõike3 järgi töötlemise aluse kehtestamist liikmesriigi õigusega. Seetõttu teeme suurema õigusselguse tagamiseks ettepaneku kaaluda eelnõu täiendamist sättega, mis annaks andmeandjale andmete välja andmiseks selge õigusliku aluse.
7.4 Mõisted Kehtiva IKS § 6 sätted kohalduvad riikliku statistika tegemisele. Riikliku statistika mõistet avab riikliku statistika seadus. Eelnõuga laiendatakse töötlemise õigust lihtsalt statistika tegemiseks. Sellest võib tekkida statistika mõiste määratlemise küsimus, mille tegemiseks võib kavandatava IKS § 6 alusel isikuandmeid töödelda. Sama puudutab ka andmekogu mõistet, mis on väga selgelt seotud avaliku teabe seadusega (AvTS). Selgusetuks jääb, kas eelnõus kasutatavat mõistet tuleb mõista andmekoguna AvTS mõttes või kehtib see mistahes andmekogumitele, mis ei ole AvTS kohaselt andmekoguna reguleeritud. Eelnõu eesmärgist tulenevalt ei piirdu andmete allikad aga AvTSi alusel asutatud andmekogudega, vaid uurijale võiks vaja minna ka teistest andmekogumitest andmeid. Eeltoodust tulenevalt leiame, et eelnõus kasutusele võetud mõistete osas võiks seletuskirjas olla täpsemad selgitused, mis neid mõisteid avavad.
Selgitame, muudatuse sisu seisneb selles, et muu kui riikliku statistika tarvis andmete töötlemisel tuleb lähtuda IKS-i tingimustest, juhul kui säte reguleeriks riikliku statistikat, siis justkui nö tavalist statistikat tehes kaitsemeetmeid järgima ei peaks. Riikliku statistika tegemise tingimused on tõstetud RStS-i. Arvestatud. Seletuskirja täiendatud.
7.5 Statistikaameti kaasamine Eelnõu § 6 lõige 4 näeb ette, et käesoleva paragrahvi lõike 3 punktis 1 sätestatud tingimusloetakse täidetuks ka juhul, kui ühe või mitme andmekogu vastutavad töötlejad edastavad isikustatud andmed Statistikaametile andmete pseudonüümimiseks või muu samaväärset kaitset pakkuva meetme kasutamiseks ja uuringu tegijale edastamiseks. Seletuskirjas on selgitatud, et Statistikaametile antakse õigus isikustatud andmeid töödelda selleks, et muuta need uuringu tegijale sisuliselt anonüümseteks andmeteks. See on alternatiivne lahendus juhuks, kui näiteks on vaja eri andmekogude andmed isikustatud kujul ühendada, aga puudub võimalus eri andmekogudes andmed nt sarnase metoodika järgi pseudonüümida. Ehk Statistikaamet paneb erinevate andmekogude andmed kokku ning edastab neid pseudonüümitud kujul uuringu tegijale. Seletuskirjast ei tulene,
Säte eelnõust välja jäetud.
32
et oleks hinnatud ka eelnõu kooskõla RStS-ga Statistikaametile pandud ülesannete kontekstis. Eelnõu säte ise ei pane Statistikaametile vastavat ülesannet, vaid puudutab ainult viidet sellele võimalusele seoses eelnõus ette nähtud tingimuste täitmisega. Selle ülesande täitmisel on Statistikaamet volitatud töötlejarollis. IKÜM artikkel 28 näeb ette, et selline andmetöötlus on võimalik ainult töötlejate omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kuna isikuandmeid puudutav osa sellest informatsioonist sisaldub eetikakomiteele esitatud avalduses ja see on läbinud hindamisprotsessi ning andmetöötlus peab toimuma selle alusel, oleks AKI arvates mõistlik seadusega ära reguleerida vastutava ja volitatud töötleja vastavad suhted, et kaks riigiasutust ei peaks sõlmima omavahel vastutava-volitatud töötleja lepingut. Viidatud regulatsioon peab vastama IKÜM artiklis 28 märgitud tingimustele.
7.6 Isikustatud kujul andmete töötlemise tingimused Eelnõu § 6 lõige 3 näeb ette tingimused, millal on lubatud kasutada isikuandmed isikustatud kujul. Punkti 1 kohaselt on selline uuring lubatud juhul, kui pärast tuvastamist võimaldavate andmete eemaldamist ei ole andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada. Väljatöötamiskavatsusele antudarvamuses juhtis AKI tähelepanu vajadusele esitada seletuskirjas lisa selgitusi sellele, mida loetakse ebamõistlikult raskeks. Näiteks, kas uuringu maksumuse suurenemine on põhjuseks, et lubada isikustatud kujul andmete kasutamine? Lisaks märkisime, et punkti 2 sõnastus vajab täpsustamist, kuna uurija enda hinnang on alati subjektiivne, see iseenesest ei saa olla tingimuseks, vaid avalik huvi peab objektiivselt olema ülekaalukas ehk hinnangu peab andma ikkagi uuringut lubav asutus. Paraku ei ole nende tähelepanekutega eelnõus arvestatud. Palume hinnata punkti 2 sõnastuse täpsustamise võimalust ning täiendada seletuskiri lisaselgitustega.
Selgitame, et säte ei ütle, et on ebamõistlikult kulukas vaid raske, ehk siis sisuliselt võimatu uuringu eesmärke saavutada. Avaliku huvi osas on toodud selgitus punktis 2.4 Mittearvestatud. Selgitame, et kui andmeid töödeldakse lg 6 tingimustel, siis annab eelneva hinnangu eetikakomitee, kes mh ka hindab ülekaaluka avaliku huvi olemasolu.
7.7 Andmete säilitamine ja kustutamine Eelnõu ei reguleeri isikuandmete säilitamist ega näe ette andmete kustutamise nõuet uuringu tegijatele, vaid ainult andmetöötluskeskkonna pidajale. Mainitud
Uuringu tegija vastutava töötlejana peab lähtuma IKÜM-is sätestatud eesmärgipärase ja minimaalsuses põhimõttest, ehk olukorras kus andmeid uuringu
33
on ka Statistikaameti kohustus andmeid kustutada pärast nende edastamist, samas täpsustamata on andmete kustutamise tähtaeg. Kui seadusega on reguleeritud isikuandmete töötlemine, peab regulatsioon hõlmama ja isikuandmete säilitamist ning andmete kustutamist pärast säilitamise tähtaja lõppu. Seejuures palume arvestada sellega, et isikuandmete säilitamise tähtaegpeaks olema selgeminimääratletud(nt mingi kriteeriumi täitmiseni). Eelnõu § 6¹ lõikes 3 mainitud uurimistulemuste valideerimine on väga erinev. On olukordi, kui valideerimist üldse ei toimu, kuna see ei ole teatud uuringute puhul kohustuslik. Seega selgusetuks jääb, kas ja millal siis andmed kustutakse. Lisaks sellele jääb ebamääraseks, millal see „pärast“ saabub, nt kas aasta pärast valideerimist, viivitamatult või mingil muul perioodil.
eesmärgil enam vaja ei ole, tuleb need kustutada. Selle tähtaja peab vastutav töötleja ise eelolenevatele põhimõtetele tuginedes määrama. Seadusega on reguleeritud, millistele tingimustele andmetöötlus vastab, seadusandja ei saa uuringu vastutavale töötlejale ette näha, milliseid andmeid uuringu vajadusteks töödelda ning kui kaua neid uuringu vajadusteks töödelda võib. Kuna eelnõuga luuakse tingimused, millele peab vastama andmetöötlussüsteem, siis selles osas nähakse ka ette, et andmed tuleb pärast seda kui uuringu tegija on eesmärgi täitnud kustutada. Valideerimise perioodi ei ole üheselt ja kindla ajapiiranguga seadusega ette näha. Kohaldub üldine IKÜM põhimõte, tohib säilitada nii kaua, kui see on teadusuuringu eesmärgi saavutamiseks vajalik. Hea teadustava2 kohasel säilitab teadlane isikustatud kujul andmeid säilitab nii kaua kui vaja ja nii vähe kui võimalik.
7.8 Andmesubjekti õiguste piiramine Eelnõu§ 6 lõige 11reguleerib andmesubjekti õiguste piiramist. Kuivõrd loodava sätte mõte on piirata andmesubjekti õigust saada juurdepääsu enda andmetele IKÜM artikli 23 tähenduses, siis AKI hinnangul on hetkel piirangut kehtestav säte liiga üldine. Isiku õigus tutvuda enda kohta kogutud andmetega tuleneb IKÜM artiklist 15. Seda õigust saab IKÜM artikli 23 kohaselt piirata seadusandliku meetmega, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada IKÜM artikli23 lõike 1 alapunktides sätestatud eesmärke. IKÜM artikli 23 lõige 2 täpsustab, milliseid sätteid peab viidatud seadusandlik meede sisaldama. IKÜM artikli 23 alusel võetud meetmed peavad olema selged ja täpsed, nagu liidu seadusandja on seda ka määruse põhjenduses 41 rõhutanud, ning nende kohaldamine peab olema õigussubjektidele ettenähtav. Eelkõige peab viimastel olema võimalik kindlaks teha asjaolud ja tingimused, mille esinemisel võib neile selle määrusega antud õiguste ulatust piirata. Sättes ei ole selgelt reguleeritud, kes (vastutav või volitatud töötleja) ja kuidas otsustab, et andmesubjekti õigusi tuleb piirata, kaua see piirang kestab (piirang ei tohi olla igavene –seadusega tuleb sätestada, et kui õiguste piiramise aluseks olev
Arvestatud, eelnõu ja seletuskirja täiendatud.
2 hea_teadustava_est_0.pdf
34
asjaolu langeb ära, siis tuleb isikule tema õigused tagada). Seega tuleks AKI hinnangul kaaluda võimalust andmesubjekti õigusi piirava sätte sõnastuse täpsustamist.
7.9 Eelnõu mõju Mõjude hindamisel ei ole AKI töökorralduse osas arvestatud uuringute mõiste ja tegijate ringi olulise laienemisega. Teavitamiskohustus hakkab kehtima kõikidele uuringu tegijatele. Hetkel ei ole AKI-le teada,kui palju Eestis uuringuid kokku tehakse. Poliitikakujundamise uuringuid on aastas ca 25-30. Eelduslikult teadusasutused teevad neid kordades rohkem, lisanduvad KOVid ja ka muud juriidilised isikud. Eestis on kokku 78 kohalikku omavalitsust, kui poolneist teeb kasvõi üheuuringu aastas, kaasneb sellega juba 39 teavitust.Ehk teavitamiskohustusega seotud AKI töökoormuse mõju on tegelikult uurimata. Muu hulgas mõjutab AKI töömahtu igasuguse statistikatöö kuulumine uuringu mõistesse. Eelkontrolli kohustus kaob, kuid järelevalve on juba olemuselt oluliselt ressursimahukam tegevus, kui eelnev kooskõlastamine. Järelevalve koosmõjus uuringute mahu kasvuga mõjutab AKI koormust tõenäoliselt oluliselt enam, kui eelnõus on arvatud. Seletuskirja punktis 7 ei ole välja toodud AKI-le seaduse rakendamisega kaasnevaid võimalikke kulusid. Lisaks veebilehel uuringute kohta teabe avaldamise tööjõukulule tekib järelevalve kulu nii menetluse mahukuse, kui uuringute mahu kasvu tulemusel. Tõenäoliselt kaasneb AKI-le kulu ka teabe avalikustamise kohustuse täitmiseks tehnilise vahendi loomiseks. Muudatuse eeldatav jõustumise aeg tuleks välja tuua, kuivõrd seaduse rakendamisest tekib mõju AKI töökorraldusele ja ressursile.
Eelnõu on teavitamise kohustuse osas kitsendatud.
8. Regionaal- ja Põllumajandusministeerium Justiits- ja Digiministeeriumi märge
8.1 Juhime tähelepanu, et eelnõu § 1 punktiga 1 kavandatav isikuandmete kaitse seaduse § 6 sõnastuse muudatus puudutab otseselt ka Riigikogu menetluses oleva kohaliku omavalitsuse korralduse seaduse (edaspidi KOKS) ja sellega seonduvate seaduste muutmise seaduse eelnõuga (688 SE) kavandatavaid muudatusi kohaliku omavalitsuse üksuste (edaspidi KOV) isikuandmete töötlemisel. 688 SE sisaldab ettepanekut täiendada KOKSi peatükiga 31 „Isikuandmete töötlemine“, mille eesmärk on reguleerida isikuandmete töötlemist valla- ja linnaelanike kaasamiseks, analüüside, küsitluste ja uuringute koostamiseks, ning sätestada isikuandmete saamise õigus valla- ja linnaelanike kaasamis- ja osalemisõiguste kontrollimisel.
Arvestatud, eelnõu ja seletuskirja täiendatud.
35
Eelnõus on käsitletud samuti isikuandmete töötlemist KOVide läbiviidavates analüüsides ja uuringutes. Eelnõu seletuskirja punktis 1.3 „Märkused“ on esitatud eksitav väide, et eelnõu ei ole otseselt seotud teiste menetluses olevate eelnõudega. Eelnõu seletuskirjas ei ole käsitletud eelnõu § 6 muudatuste kooskõla 688 SE kavandatavate muudatustega KOKSis. Eelnõu § 6 lõike 2 muutmise osas on eelnõu seletuskirjas selgitatud, et sätte eesmärk on anda uuringule laiem tähendus, mis hõlmab peale akadeemiliste ja teadusuuringute ka riigi ja omavalitsusüksuste ning nende allasutuste koostatud või tellitud analüüse, uuringuid ja tehnoloogiaarendusi. See tähendab, et kõik tegevused, mille käigus kogutakse, analüüsitakse ja tõlgendatakse andmeid avalike ülesannete täitmiseks, loetakse seaduse tähenduses uuringuks. Juhime tähelepanu, et seetõttu langeb eelnõu sõnastus osaliselt kokku 688 SE-ga kavandatava KOKS § 311 lõikega 3. Kuivõrd analüüside ja uuringute osas kavandatav eelnõu regulatsioon haakub osaliselt Riigikogu menetluses olevate KOKSis kavandatavate muudatustega (688 SE), tuleb eelnõu edasises menetluses mõelda, kuidas nende kahe kavandatava regulatsiooni võimalik vastuolu lahendada (näiteks kaaluda KOKS § 311 lõike 3 kehtetuks tunnistamist). Leiame, et kui ka KOV analüüse ja uuringuid puudutav säte jääks näiteks vaid eelnõusse, siis tuleks siiski säilitada 688 SE-ga kavandatav lahendus, millega KOVid saavad õiguse teenuste arendamise ja innovatsiooni edendamise eesmärgil teha rahulolu- ja tagasisideküsitlusi ning kaasata valla- ja linnaelanikke andmepõhise kohaliku poliitika kujundamisse nii, et küsitluste korraldamiseks ja elanike kaasamise tarvis valimi moodustamiseks ning valimisse kuuluvate isikutega kontakteerumiseks võib teha päringuid rahvastikuregistrisse isikute ees- ja perekonnanime, isikukoodi, elukoha- ja kontaktandmete ning emakeele andmete saamiseks, misjärel edasine osalemine toimuks isikute nõusoleku alusel.
8.2 Eelnõu § 6 lõike 6 sissejuhatavast lausest ei tulene otseselt, kas säte on mõeldud kohalduma juhtudeks, kui isikuandmeid ei ole olnud võimalik pseudonüümida ehk tegemist on isikustatud andmetega. Sätet võiks parema rakendatavuse huvides täpsustada.
Mittearvestatud. Säte ütleb, et kui ei ole täidetud IKS § 6 lg 3 tingimused, millest pseudonüümimine on üks nendest tingimustest, mistõttu selline täiendus ei oleks korrektne.
9. Kaitseministeerium Justiits- ja Digiministeeriumi märge
9. 1 Palume õigusakti ja seletuskirja tasandil selgitada, milline on sätte isikuline kohaldamisala, ehk kas IKS §-le 6 tuginemine on planeeritud sätestada kodanikuõigusena või on säte käsitletav igaüheõigusena (sh kolmandate riikide kodanike õigusena). Näiteks, kas riigiasutustel on õigus andmete
Arvestatud, seletuskirja täiendatud. Selgitame, et andmete andmekogust uuringu tarbeks väljastamise otsuse teeb lõppastmes andmekogu vastutav töötleja, kes peab tagama andmesubjektide eraelu kaitse või ka nt riigi julgeoleku. Juhul kui
36
väljastamisest keelduda, tuginedes andmesubjektide eraelu kaitsele või riigi julgeolekule (nt Moskva Ülikooli tudengi läbiviidav uuring). Advokatuuri komisjon on Pere Sihtkapitali kaasuses1 soovitanud tuua seadusesse lisatingimused uuringufirmadele, et tagada andmete kaitstus poliitiliselt, religioosselt või filosoofiliselt motiveeritud ühingute eest, kelle kavatsused võivad olla vähemasti küsitavad. Kehtiv õigus ning eelnõu selliseid lisatingimusi ei sätesta, seega puudub rakendajal alus andmete väljastamisest keelduda, kui uuringu läbiviija motiivid ei ole selged.
tegemist on juurdepääsupiiranguga andmetega, siis kohaldub ka siin andmete väljastamise AvTS-i loogika.
9.2 Eestis on paljud isikuandmed avalikud läbipaistvuse huvides ning isikuandmete avalikustamise puhul peavad vastavad sätted olema ette nähtud seadusega. Isikuandmete avalikustamine on suur põhiõiguste riive, kuna avalikustatud andmete puhul pääseb andmetele ligi põhimõtteliselt igaüks. Seega kaotab andmesubjekt kontrolli oma andmete üle2 . Ühiskonnas on alanud debatt selle üle, kas õigusaktide alusel on avalikustatud liialt isikuandmeid, mille avalikult kättesaadavust on asunud ära kasutama küberkurjategijad ning samuti võib kättesaadav teave olla vaenuliku riigi julgeolekuteenistuse tööriistaks kübermaailmas sihitatud rünnete tegemisel. Kaitsevägi teeb ettepaneku sõnastada säte selliselt, et andmesubjekti nõusolekuta isikuandmete, sh eriliiki isikuandmete töötlemisel on pseudonüümimine või samaväärset kaitset pakkuva meetme kasutamine kohustuslik, välja arvatud juhul, kui see muudab uuringuga planeeritud saavutatavat eesmärki. Erisuse kasutamisel on uuringu läbiviijal kohustus lähtuda IKS § 6 lõigetest 6 ja 7. Sätte praegune sõnastus annab uuringu läbiviijale liialt laia kaalutlusõiguse, mida toetab ka sätte seletuskiri („kui asjaolud võimaldavad, tuleb enne uuringu tegemist andmed pseudonüümida“). Isikuandmete vastutaval töötlejal tuleb tagada ja veenduda, et uuringu eesmärgil isikuandmete üleandmisel ning enne nende töötlemise alustamist, et töötlemisel järgitaks kõiki isikuandmete kaitse nõudeid, sh vältida olukordi, kus ka anonüümsete andmete kirjeldustest on võimalik isikuid tuvastada (sõltuvalt valimi väiksusest ning uuringu teemast võivad isikud olla tuvastatavad muude parameetritega). Samuti ei pruugi ülikooli uurimistöö kirjutaja omada piisaval määral tehnoloogilisi turvameetmeid, et kaitsta talle teadustöö koostamise raames edastatud isikuandmeid, sh eriliiki isikuandmeid. Isikuandmete kaitse üldmääruse (IKÜM) art 9 lg 2 punkti j kohaselt tuleb tagada sobivate ja konkreetsete meetmetega andmesubjekti põhihuvide ja õiguste kaitse. Kuna andmekogu omanik ei saa anda hinnangut uuringu läbiviija poolt kasutatavate andmetöötluse meetmete turvalisusele, nt ülikooli üliõpilase poolt uuringu läbiviimiseks kasutatava seadme ja selles
Teadmiseks võetud.
37
tehtava andmetöötluse turvalisusele, teeme ettepaneku kehtestada just sellistes olukordades isikuandmete kaitset pakkuvate meetmete kohustuslikkus ning määrusega kehtestada sarnaselt IKS § 61 lõikele 4 vastutava ministri määrusega tehniliste turvameetmete loetelu. Andmekogu omanikul, aga ka Andmekaitse Inspektsioonil (AKI) või eetikakomiteel puudub võimalus veenduda teadus- ja ajaloouuringu teostaja tehniliste seadmete andmekaitse tasemes, kui puuduvad kriteeriumid selle hindamiseks.
9.3 Eelnõus sõnastatud IKS § 6 lõike 3 punkt 2 sätestab ühe kohustusliku meetmena, et „uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada“. Palume täpsustada, milliseid toiminguid ning kelle poolt antud sätte puhul on silmas peetud.
Selgitame, juhul kui uuringu kasutatakse kahe andmekogu andmeid, siis ei tohi sinna lisada veel omakorda andmeid, mis võimaldaksid isikuid tuvastada.
9.4 IKS § 6 lõikega 4 luuakse eelnõus alternatiivne lahendus olukorraks, kus eri andmekogude andmed isikustatud kujul ühendada, aga puudub võimalus eri andmekogudes andmed nt sarnase metoodika järgi pseudonüümida. Sellisel juhul on võimalus kasutada Statistikaameti vahendusel andmete ühendamist ja pseudonüümimist. Seletuskirjast ei selgu, millised on turvalised edastusviisid või tehnilised meetmed andmemassiivide edastamiseks Statistikaametile teenuse osutamiseks. Palume selles osas seletuskirja täiendada.
Säte on eelnõust välja jäetud.
9.5 Eelnõukohase IKS § 6 lõike 5 kohaselt ei pea olukorras, kus uuringus töödeldakse andmeid nii, et on täidetud lõikes 3 sätestatud tingimused, eelnevalt taotlema eetikakomitee hinnangut, küll aga tuleb enne isikuandmete töötlemist uuringus teavitada uuringu eesmärkidest, töödeldavatest andmetest ja IKS § 6 lõike 3 tingimuste täitmisest AKI-t. Samas toob seletuskirja p 2 välja: „siinse eelnõuga allutatakse kõik uuringud eetikakomitee hindamisele“. Samas IKS § 6 lg 9 välistab AKI ja eetikakomitee kaasamise kohustuse. Palume selguse huvides üle vaadata sätete ja seletuskirja mõtete kattuvus. Lisaks palume selgitada, kas eetikakomitee hinnang kätkeb endas hinnangut ka andmekaitsealastele aspektidele, sh andmetöötluse tehnilisele korraldusele?
Arvestatud. Seletuskirja muudetud. Eetikakomitee hindab nii IKS § 6 sätestatud tingimuste täitmist kui ka uuringu eetilisust.
9.6 Kaitseväes läbi viidud uuringute üle peab arvestust Kaitseväe Akadeemia rakendusuuringute osakond, avaldades läbi viidud uuringute loetelu oma kodulehel. Kas IKS § 6 muudatusega on planeeritud Kaitseväe Akadeemia ja teiste kõrgkoolide juures läbi viidud uuringud koondada tänastest andmebaasidest teabeväravasse, arvestades seejuures teabele kehtestatud juurdepääspiiranguid? Kas säte omab tagasiulatuvat mõju või millisest hetkest
Selgitame. Teavitamise kohustusel ei ole tagasiulatuvat mõju. IKS-iga on plaanitud, et kõikidest uuringutest teavitatakse AKI-t, see ei välista info avaldamist ka mujal sh Kaitseväe Akadeemia kodulehel. Juhul kui uuringu puhul on tegemist AK teabega, siis tuleb teavitus ka vastavalt märgistada ning sellist teavet AKI ei avalda. Selles osas on seletuskirja täiendatud..
38
alates on AKI lehel ning teabeväravas uuringuid kajastav info planeeritud avaldama asuda? Palume selles osas seletuskirja täiendada
9.7 Eelnõukohane IKS § 6 lõige 6 annab võimaluse uuringu teostamiseks isikustatud isikuandmetega juhul, kui tegija põhjendab, et tegemist on ülekaaluga avaliku huviga. Käesoleva sätte mõistes vajab detailsemat sisustamist mõiste „avalik huvi“ (kas avalikule huvile saab tugineda nt isikustatud kujul uuringu läbiviimisel, mille eesmärk on uurida suitsiidide põhjuseid Politsei- ja Piirivalveameti/Kaitseväe teenistujatel). Samuti palume kaaluda, kas punktis 2 toodud näidete puhul (Moskva Ülikool või tundmatu taustaga uuringufirmad) saab uuringut läbiviiv organisatsioon tugineda avaliku huvi sättele.
Vt p 2.4 selgitust. Uuringu tegija peab välja tooma, milles seisneb tema hinnangul ülekaalukas avalik huvi ning eriliiki andmete töötlemisel annab selle kohta annab oma hinnangu eetikakomitee. Nö tavalise andmetega uuringute puhul on AKI-l järelevalvepädevus.
9.8 Paragrahvi 6 lõige 10 sätestab võimaluse jätta IKS § 6 kohaldamata, kui uuringu eesmärgid ja isikuandmete töötlemise ulatus tuleneb seadusest. Kaitseväe korralduse seadus ja Kaitseväeteenistuse seadus loovad Kaitseministeeriumi valitsemisalas õiguslikud alused isikuandmete töötlemiseks. Küll aga ei too kehtiv õigus eraldi välja kogutud andmete põhjal asutuse enda tarbeks statistika või andmete pealt analüüside koostamist. Eelnõukohase IKS § 6 seletuskiri selgitab: statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringuteks või statistika koostamiseks. Sama lai on IKÜM 159 põhjenduspunkti tõlgendus, mis annab teadusuuringu eesmärgil isikuandmete töötlemisele laia ampluaa. Palume täpsustada, kas lõike 10 kohaselt tuleb näiteks Kaitseväe või Kaitseressursside Ameti sisestest kogutud isikuandmete pealt tehtavatest, aga ka Kaitseväe Akadeemias õpingute raames läbiviidavates uuringutest teavitada AKI-t ja eetikakomiteed, kui isikuandmete töötlemine statistilisel eesmärgil või uuringute läbiviimiseks ei ole eraldi seaduses välja toodud, kuid on vajalikud näiteks juhtimisalaste otsuste tegemiseks, või saab sellistel puhkudel tugineda IKS § 6 lõikele 7.
Jah, juhul kui uuringud tehakse isikustatud andmetega.
9.9 Seletuskiri markeerib: „Tuleb silmas pidada, et ka tehisaru arendamine on osa tehnoloogiaarendusest ning ka tehisaru andmetöötlusele kohaldub IKS § 6 juhul, kui tehisaru arendamisel soovitakse kasutada isikuandmeid“. Teeme ettepaneku vähemalt seletuskirja tasandil välja tuua, millised andmetöötluspiirangud on sätestanud tehisintellekti määruse kohaselt isikuandmete kasutamise. Vastasel korral võib seletuskirja lugedes jääda rakendajale arusaam, et tehisaru arendamiseks on isikustatud isikuandmete kasutamine lubatud tingimusteta, kuid mõnel juhul on enne tehisaru
Selgitame. IKS § 6 saab olla õiguslikuks aluseks tehisaru arendamisel. Tehisaru kasutusele võtmisel peab olema selle alusel andmete töötlemiseks muu õiguslik alus.
39
kasutamisele võttu vajalik läbi viia mh mõjuhinnang. IKÜM kohaselt on andmekogu omanik, kes tehisaru arendajale andmeid edastab, vastutav töötleja, kelle kohustus on tagada andmete töötlemise turvalisus ka volitatud töötleja juures. Kaitseministeeriumi hinnangul on vaja kokku leppida tehisaru arendamiseks isikustatud andmete edastamise põhimõtted ning teabe kaitse meetmed. Lisaks markeerime, et teatud juhtudel võib vajada andmete edastamine tehisaru arendamiseks pädeva asutuse hinnangut riigi julgeolekule. Oluline on tehisintellektiga andmetöötluses eristada asutusesisest tehisaru treenimist avalikult kättesaadavast tehisarust, kuhu isikuandmete sisestamine ei ole lubatud ka teadustöö või uuringu koostamise abistava lahendusena mistahes uuringu läbiviimise etapis.
9.10 Riigiasutuste konsolideerimine on toonud kaasa olukorra, kus erinevad asutused töötlevad teavet teise asutuse jaoks ja teise asutuse, mh teenistujate kohta. Kaitseministeeriumile, Kaitseväele ja Riigi Kaitseinvesteeringute Keskusele osutab personaliteenust Kaitseministeeriumi valitsemisalasse kuuluv Kaitseressursside Amet. Samas töötleb asutus teavet, mis on oma olemuselt teise asutuse teave (näiteks Kaitseväe rahu- ja sõjaaja isikkoosseis on Kaitseväe inimvara). Sellistes olukordades võib vastav asutus olla küll teabe omanik, kuid isikuandmete töötleja mõistes volitatud töötleja või teabesaaja rollis. Andmete omanikule (teatud juhtudel jääb isikuandmete volitatud töötleja roll), peab jääma õigus läbi regulatsioonide ja ohuhinnangute hinnata ning otsustada andmete väljastamise üle. Teeme ettepaneku õigusakti tasandil kehtestada kohustus sellistes olukordades enne uuringu läbiviijale isikustatud kujul (näiteks IKS § 6 lg 6 alusel avalik huvi) andmete väljaandmist kooskõlastada andmete edastus volitatud töötlejaga, kui selline andmetöötlus võib seada ohtu riigi julgeoleku.
Selgitame. Andmete edastuse uuringu tegijale otsustab andmete vastutav töötleja, kes võib selle õiguse edasi volitada volitatud töötlejale. Juurdepääsupiiranguga teavet uuringu tegijale väljastada võib teavet valdava asutuse juhi otsusega.
10. Kultuuriministeerium Justiits- ja Digiministeeriumi märge
Oma 06.05.2025 vastuskirjas nr 1-12/440-2 väljatöötamiskavatsuse kohta palusime isikuandmete kaitse seaduse § 6 kohaldamisala laiendada ning lisaks täidesaatva võimu asutustele võimaldada uuringute ja analüüside läbi viimist ka riigi asutatud või riigi osalusega sihtasutustele oma põhikirjaliste eesmärkide täitmiseks. Oleme jätkuvalt samal seisukohal ja palume seda täiendust eelnõu väljatöötajal kaaluda.
Selgitame. Eelnõu ei piira sihtasutuste õigust uuringuid läbi viia.
11. Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Justiits- ja Digiministeeriumi märge
40
11.1 Oleme eelnõu analüüsinud ning toetame kehtiva isikuandmete kaitse seaduse § 6 muutmist eesmärgiga tagada õigusselgus, kes ja millistel tingimustel võivad andmesubjekti nõusolekuta töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. ITL-i hinnangul on eelnõu mitmes küsimuses ebaselge ning ei ole täielikult kooskõlas EL-i isikuandmete kaitse üldmäärusega. Mõistame, et õigusselguse huvides on püütud eelnõu teksti lisada rohkem selgitusi, kuid leiame, et sellest rohkest õigusnormi tekstist ei pruugi päriselus olla abi tagamaks, et tulevased uuringud toimuksid turvaliselt ja eetiliselt. Eelnõu peab andma selge vastuse küsimusele, millal on uuring turvaline. Teadusuuringud vajavad selgeid aluseid ning andmekaitse reeglitega arvestamist. Ka muud riiklikud ja kohaliku omavalitsuse uuringud peavad toimuma selgete piiride raames. Seetõttu leiame, et protsessi võiks veel läbi mõelda ja küsimusi analüüsida ning oleme valmis selleteemalistel aruteludel ka osalema. Kokkuvõtteksleiame, et eelnõuga kavandatavad muudatused on vajalikud, et kaasajastada ja ühtlustada uuringu tegemise andmetöötluse tingimusi ning sätestada täiendavad kaitsemeetmed, et andmesubjektide põhiõigused oleksid paremini kaitstud. Samas soovitame eelnõus selgemalt määratleda, kes on puudutatud isikud, täpsustada andmetöötlussüsteemi mõistet ja selle pakkujate ringi ning analüüsida veel kooskõla EL-i õigusaktidega.
Teadmiseks võetud. Selgitame, et eelnõuga ei nähta ette andmetöötlussüsteemi mõistet vaid tingimused, millele andmetöötlussüsteem peab vastama kui sellest IKS § 6 andmeid uuringu eesmärgil töödeldakse.
11.2 Subjekti määratlus ja adressaatide ring Eelnõust ja selle seletuskirjast ei tule selgelt välja, kes on subjekt ehk keda puudutab eelnõu §-ga 1 muudetav isikuandmete kaitse seaduse (IKS) §-is 6 sisaldav võimalus töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. Eelnõust on raske aru saada, et see on mõeldud ka ettevõtetele. Teeme ettepaneku eelnõu seletuskirjas selgemalt välja tuua, et muudatus puudutab lisaks riigiasutustele ja teadusasutustele ka ettevõtjaid, kes soovivad teha teadusuuringuid või innovatsiooni avalikes huvides. See pole hetkel üheselt arusaadav, kuna eelnõu tegeleb suuremas osas avaliku sektori käes olevate ja avaliku sektori poolt kasutatavate isikuandmetega ning samal ajal kehtib siiski ka eraettevõtetele.
Arvestatud, seletuskirja täiendatud.
11.3 Esmase ja teisese andmetöötluse eristamine
41
Eelnõu § 1 punktiga 1 muudetava IKS § 6 lõikes 1 ei eristata esmast ja teisest töötlust. Teisese töötlemise puhul võib pseudonüümimise nõue (siseriiklik õigus) teatud juhtudel olla madalama kaitsetasemega kui "mittetuvastava töötlemise" nõue, mis on teisese töötlemise puhul otsekohalduv kohustuslik kaitsestandard (EL-i isikuandmete kaitse üldmäärus ehk IKÜM art 89 lg 1 viimane lause, mis viitab sisuliselt IKÜM artiklile 11). See tähendab, et: 1) esmase andmetöötluse korral võib valida kaitsemeetmed vastavalt riskitasemele, mis kaasneb töötluse mõjuga andmesubjektide õigustele ja vabadustele, mh võib kasutada pseudonüümimist vastavalt IKÜM art 89 lg 1 eelviimasele lausele; 2) teisese andmetöötluse korral peab kohaldama eelkõige IKÜM art 89 lg 1 viimases lauses viidatud kaitsemeetmeid, s.t "mittetuvastavat töötlemist" vastavalt IKÜM artiklile 11. Seega siseriikliku õigusega on põhimõtteliselt võimalik täpsustada ainult sellise andmetöötluse tingimusi, kus pseudonüümine pole piisav kaitsemeede ning IKÜM artikli 11 järgne "mittetuvastav" töötlemine pole võimalik. Seetõttu teeme ettepaneku segaduste ja vääriti tõlgendamise vältimiseks selgelt sätestada, kas: A. IKS § 6 lg 1 on õiguslik alus nii esmaseks kui ka teiseseks isikuandmete töötluseks teadus-, ajaloouuringu, statistikatöö või muude avalikes huvides toimuvate analüüside ja uuringute (edaspidi "uuring") eesmärgil vastavalt IKÜM art 6 lg 1 punktile e (task carried out in the public interest, exercise of official authority vested in the controller). VÕI B. IKS § 6 kehtestab avalikes huvides toimuvate analüüside ja uuringute üldtingimused ja määratleb, millises andmetöötlussüsteemis töötlemist loetakse "mittetuvastavaks töötlemiseks" IKÜM art 11 järgi. Vastavad õiguslikud alused tuleb kehtestada eriseadustes (riiklik statistika, teadustegevuse korralduse alused, arhiivindus, ametkondlik statistika, hädaolukord, geeniuuringud jms) või toetuda andmesubjekti nõusolekule. Märgime, et ettepaneku järgi pole vajadust täpsustada, et töötlemine võib toimuda ilma "andmesubjekti nõusolekuta". See fraas tuleks eelnõust kustutada, kui eelnõuga nähakse ette iseseisev seadusest tulenev õiguslik alus isikuandmete töötlemiseks. Kehtivas IKS § 6 lõikes 1 tekitab
Mittearvestatud. Selgitame, et IKÜM ei erista esmast ja teisest andmetöötlust. Andmetöötlus toimub teatud eesmärgil ja õiguslikul alusel. Selgitame, esmase andmetöötlusega on tegemist juhul kui andmed kogutakse ühel eesmärgil, nt mõne avaliku ülesande täitmise eesmärgil, juhul kui andmeid on vaja kasutada teise asutuse eesmärkidel on tema selleks omaette õiguslik alus ning andmetöötlus toimub selle asutuse esmasel eesmärgil, temale seadusega pandud ülesande täitmiseks. Nüüd kui ühel eesmärgil kogutud andmeid hakatakse kasutama uuringu vajadusteks siis saab uuringu tegija vaatest tema esmaseks andmetöötluseks uuringu tegemine IKS õ 6 tuleneval õiguslikul alusel. Ei IKÜM ega ka IKS ei erista esmast ja teisest andmetöötlust. Eelnõu ja seletuskirja muudetud, nõusolekuta fraas eelnõust välja jäetud.
42
"andmesubjekti nõusolekuta" segadust ja mitmetimõistetavust eelkõige terviseandmete töötlemisel, kus "isiku nõusolek" võib olla käsitletav ka nõusolekuna sekkumiseks inimese kehalisse puutumatusse (inimgeeniuuringute vm meditsiiniliste uuringute puhul). Viimast tüüpi nõusolek võib olla nõutav sõltumata sellest, kas isikuandmeid töödeldakse andmesubjekti nõusoleku alusel või mitte.
11.4 Psedonümiseerimise defineerimine Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 3 kohta märgime, et siseriikliku õigusega ei saa minna sisustama ega muutma otsekohalduvas ELi määruses defineeritud õigusmõistet "pseudonüümimine" (IKÜM art 4 lg 1 punkt 5). Ka ei saa minna sisustama ega muutma otsekohalduva ELi määruses mõisteid "(isiku) tuvastamine" (identification) ega "tuvatatud/tuvastatav" (identified/identifiable). Teeme ettepaneku loobuda terminite "pseudonüümine" ja "muu samaväärset kaitset pakkuv meede" kasutamisest ning selle asemel viidata ainult § 6 lõike 3 kriteeriumitele:a) kaitsemeetmete rakendamise kohustus enne andmete üleandmist uuringu tegijale, b) isiku tuvastamise ja andmete isikustamise vältimise kohustus uuringu tegemisel, c) isiku tuvastamise ja andmete isikustamise vältimise kohustus uuringu väljundis. Eraldi tuua välja, et isegi kaitsemeetmetega andmetöötlus ei tohi muuta andmesubjekti kohustuste mahtu ega teda ülemäära kahjustada.
Arvestatud osaliselt, eelnõu muudetud. Selgitame, et pseudomüümimise puhul on tegemist on mõistetega, mida kasutavad nii IKÜM kui ka kehtiv IKS. Eelnõuga ei sisustata neid mõisteid vaid nähakse ette, milliseid tingimusi täites on lubatud IKS- i alusel andmed uuringus töödelda.
11.5 Andmete edastamine Statistikaametile Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 4 eeldab, et andmete edastamine Statistikaametile on tingimata vajalik selleks, et Statistikaamet saaks andmeid pseudonüümida või muid kaitsemeetmeid rakendada. Kui Statistikaamet kasutab selleks privaatsuskaitsetehnoloogiaid, siis ei ole andmete edastamine rangelt võttes vajalik, s.t Statistikaamet ise ei pea andmeid tingimata nägema või neist aru saama, et aidata andmeid kaitsta. See norm võimaldab Statistikaametit kaasata andmetöötluse otsustusprotsessi ja töödelda andmeid traditsiooniliste kaitsemeetmetega, mille riskitase on kõrgem kui privaatsuskaitsetehnoloogiatel. Tekib küsimus, miks peaks seadusega Statistikaametile rakendama kergendatud meetmeid, kui nad pakuvad üksnes andmetöötlusteenust ega töötle andmeid oma vajadusteks (riiklik statistika, teadlaste keskkond jms).
Säte eelnõust välja jäetud.
43
ITL-i ettepanek on kohaldada Statistikaameti poolt töötlemisel samu nõudeid nagu muude andmetöötlussüsteemide pakkujate puhul(vt eelnõu § 2 - IKS § 6').
11.6 Tuvastamist võimaldavate andmete eemaldamine Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 1 punkt 1 eeldab, et mittetuvastava töötlemise jaoks on vaja mingi osa andmeid eemaldada. Privaatsuskaitsetehnoloogiatega pole see vajalik - andmeid töödeldakse osapooltele mittenähtaval (mittetuvastaval) kujul, samas andmed ise jäävad algsele kujule. Teeme ettepaneku lihtsustada seda normiselliselt, et tuvastaval kujul (nt toorandmed või lihtpseudonüümitud andmed, kus vastutaval töötlejal on juurdepääs pseudonüümimisvõtmele) andmete töötlemine on lubatud ainult eriseadustes määratletud juhtudel, aga mittetuvastaval kujul töötlemine on lubatud IKS §-s 6 sätestatud tingimustel (töötlemine AKI poolt kontrollitud andmetöötluskeskkonnas, kus kasutatakse nii asjakohaseid tehnilisi kui ka organisatoorseid kaitsemeetmeid).
Mittearvestatud. Selgitame, et IKS § 6 alusel peab olema lubatud andmeid töödelda ka isikustatud kujul, sest kõiki uuringuid ei ole võimalik läbi viia pseudonüümitud kujul ning eriseadustega neid etteulatuvalt sätestada.
11.7 Ülekaalukas avalik huvi Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 1 punkt 2 on meie hinnangul liiga avatud tõlgendustele ja sõltub uuringu tegija suvast. Seetõttu teeme järgmised ettepanekud: täpsustada "uuringu tegija" mõistet - kas see on uuringu tellija või uuringu vahetu teostaja? täpsustada ülekaalukat avalikku huvi vähemalt riigi kui uuringu tegija puhul eriseadustes (riiklik statistika, hädaolukorrad, ametkondlik statistika poliitikauuringuteks, geeniuuringud jms) ja IKS-is viidata nendele eriseadustele. Selgitame, et poliitikauuringud vajavad selget seaduslikku alust (IKÜM art 6 lg 1 punkt e) ja igakordset põhiõiguste riivete proportsionaalsuse hindamist sõltumata uuringu riskitasemest (poliitikauuringud eeldavad suure hulga ühiskonna liikmete kohta info kogumist ja töötlemist, et teha ühiskonna jaoks vajalikke otsuseid). Ei piisa, et andmetöötlus põhineb avaliku võimu teostaja üldisel seadusest tulenevate ülesannete täitmise kohustusel. Alternatiivse ettepanekuna pakume IKS § 6 lg 1 punkti 2 kustutamist.
Arvestatud osaliselt. Eelnõu ja seletuskirja täiendatud. Avaliku huvi osas vt p 2.4. Selgitame, et, et asutuse tehtav uuring peab olema seotud temale pandud ülesandega, ülesande ja uuringu vahel peab olema eesmärgipärane seos.
44
11.8 Andmesubjekti õiguste piiramine uuringu tegija poolt Eelnõu § 1 punktiga 1 muudetava IKS § 6 lõikega 11 riik sisuliselt delegeerib oma seadusloome õiguse edasi uuringu tegijale. See seadusloome volitus tuleneb IKÜM artikkel 89 lõikest 2, mis lubab liikmeriikidel oma õigusega teha erisusi IKÜM artiklites 15, 16, 18 ja 21 loetletud andmesubjekti õigustest. IKS § 6 lg 11 aga delegeerib vastava erisuste tegemise otsustusõiguse seaduse asemel otse uuringu tegijale ning jätab selle tema valikuvabaduseks. Seejuures on jäetud tähelepanuta, et teisesel töötlemisel tuleb rakendada IKÜM artikli 89 lg 1 viimase lause kohaselt mittetuvastavat töötlemist - sellisel juhul IKÜM artiklid 15-20 ei kohaldugi. Teeme ettepaneku viia eelnõu tekst kooskõlla IKÜMi loogikaga, mille kohaselt on mittetuvastava töötlemise korral lubatud rohkem erandeid andmesubjekti õigustest, sõltumata andmetöötluse õiguslikust alusest (võib olla ka nõusolek) ja sõltumata sellest, kas tegu on esmase või teisese töötlemisega. Sisuliselt IKS § 6 lg 3 eelnõus nagunii dubleerib IKÜMi mittetuvastava töötlem ise nõudeid (IKÜM artikkel 11).
Eelnõu ja seletuskirja muudetud.
11.8 Andmetöötlussüsteemi mõiste ja pakkujad Seoses andmetöötlussüsteemiga (eelnõu § 2) vajab selgitamist, mis see täpsemalt on. Kas see on kitsas tegevus või saab andmeid töödelda igas IT- süsteemis? Mõiste "andmetöötlussüsteem" on määratlemata. Jääb segaseks, kas andmetöötlussüsteemi tuleb kasutada ainult mittetuvastava töötlemise tagamiseks või sobib see ka tuvastava töötlemise korral. Kas see on sama, mis "andmeruum" EL-i andmemääruse (Data Act Regulation No 2023/2854) artikli 33 tähenduses või "turvaline andmetöötluskeskkond" EL- i andmehaldusmääruse (Data Governance Act No 2022/868) artikkel art 2 lg 1 punkti 20 tähenduses? Kui jah, siis tuleks lisada viide. Teeme ettepaneku sätestada eelnõus definitsioon siseriikliku õiguse jaoks, arvestades ELi õigusest tulenevaid nõuded turvalistele andmetöötluskeskkondadele, andmeruumidele jne. Samuti vajab selgitamist, kes võib andmetöötlussüsteemi teenust pakkuda. Eelnõu seletuskiri küll selgitab, et turg on jäetud lahtiseks, kuid see võiks
Mittearvestatud. Selgitame, et kui eelnõu ei piira andmetöötlussüsteemi pakkujate ringi, siis seda seaduse tasandil välja ei tooda. Tegemist ei ole sama andmeruumiga, mis EL-i andmeruumimääruses. Eelnõuga ei looda definitsiooni andmetöötlussüsteemile vaid sätestatakse tingimused, millele andmetöötlussüsteem peab vastama juhul kui selles soovitakse andmeid IKS § 6 eesmärgil töödelda.
45
selgemini välja tulla. Palume eelnõus täpsustada, et andmetöötlussüsteemi pakkujate ring ei ole piiratud üksnes riigiasutustega (Statistikaametiga), vaid võimalus on ka ülikoolidel ja ettevõtetel.
11.9 Tingimuste kontrollimine Andmekaitse Inspektsiooni poolt Eelnõu § 1 punktiga 2 IKS-i lisatav § 61lg 5 sätestab, et Andmekaitse Inspektsiooni (AKI) kohustuse kontrollida andmetöötlussüsteemi kasutuselevõtul seaduses sätestatud tingimuste täitmist. Andmetöötlussüsteemi nõuete täitmise kontrollimine tähendab sisuliselt tarkvara/riistvara auditi tegemist. Kuidas see praktikas korraldatakse? Kas AKI küsib lihtsalt pabereid või kinnitusi nõuete täitmise kohta, ilma et mõni audiitor või sertifitseerija peaks neid eelnevalt allkirjastama? ITL-i ettepanek on lisada auditi nõue.
Arvestatud osaliselt, eelnõu ja seletuskirja täiendatud. Selgitame, et kontroll sarnaneb auditiga ning seda tehakse järelevalvemenetlusele ettenähtud IKS-i ja HMS regulatsiooniga. Eelkontroll eeldab kohapealset kontrolli. Eelnõuga nähakse ette andmetöötlussüsteemi pakkujale kohustuse vähemalt kord aastas kontrollida andmetöötlussüsteemi nõutele vastavust ning aruande esitamise Andmekaitse Inspektsioonile.
11.10 Andmetöötlussüsteemis andmete töötlemise eetilisus Eelnõu § 1 punktiga 2 IKS-i lisatav § 61 lg 6 sätestab, et kui uuringu eesmärgil töödeldakse andmeid andmetöötlussüsteemis täites kõik IKS § 61 sätestatud tingimused, siis ei ole vajalik asjaomase valdkonna eetikakomitee poolt kontrollida enne uuringu alustamist uuringu eetilisust. Juhime tähelepanu, et ka väga rangete kaitsemeetmetega töötlemine võib olla ebaeetiline. Peamine eelis andmetöötlussüsteemi kasutamisel seisneb selles, et see võimaldab tugevamaid kaitsemeetmeid ja seetõttu võib kvalifitseeruda kui "mittetuvastav töötlemine", mis võimaldab välistada IKÜM artiklites 15-20 nimetatud andmesubjekti õiguste kohaldumise. Teeme ettepaneku IKS § 61 lõige 6 kustutada. Oleme seisukohal, et eetikakomiteede kontroll on vajalik ka andmetöötlussüsteemi kasutamisel. Kuna uuringute tulemuste puhul eetilisust ei hinnata, on vaja seda teha enne uuringut ehk enne andmetöötluse algust.
Mittearvestatud. Andmetöötlussüsteemis ei ole võimalik uuringu tegijal isikuid tuvastada, mistõttu ei ole ka olulist riivet isikute põhiõigustele.
12. Haridus- ja Teadusministeerium Justiits- ja Digiministeeriumi märge
12.1 Mõju halduskoormusele Eelnõu seletuskirja sissejuhatuses on märgitud, et eelnõu vastuvõtmise tulemusena väheneb ettevõtjate ja ülikoolide halduskoormus ning eelduslikult ka eetikakomiteede halduskoormus. Juhime tähelepanu, et eelnõuga kaasneb teatud aspektides vastupidine mõju. Võrreldes kehtiva regulatsiooniga suureneb eelnõu kohaselt teadlaste, ülikoolide, teadus- ja arendusasutuste ning poliitikauuringuid läbiviivate isikute
Arvestatud, eelnõu ja seletuskirja muudetud. Selgitame. Eetikakomitee hinnangut on vaja üksnes juhul kui eriliiki andmeid ei töödelda andmetöötlussüsteemis. Eetikakomitee hinnangut on vaja üksnes juhul kui töödeldakse eriliiki isikuandmeid.
46
ja asutuste halduskoormus, kuna edaspidi tuleb kõikide uuringute ja analüüside puhul, milles töödeldakse isikuandmeid isikustatud kujul ilma andmesubjekti nõusolekuta, läbida eetikakomitee kontroll. See tähendab, et ka uuringu või analüüsi valimi moodustamiseks ning rahvastikuregistrist andmete pärimiseks tuleb edaspidi läbida asjaomase valdkonna eetikakomitee menetlus. Selline muudatus pikendab uuringute läbiviimise aega ning suurendab halduskoormust. Samuti suureneb eelnõu tulemusel eetikakomiteede halduskoormus, kuna varasema regulatsiooni kohaselt pidid eetikakomiteed andma hinnangu üksnes eriliiki isikuandmete töötlemisele. Lisaks juhime tähelepanu, et eelnõu § 6 lõikes 8 sätestatud võimalus jätta taotlus sisuliselt hindamata juhul, kui andmekaitsealased ja eetilised riskid on madalad, ei vähenda eetikakomiteede töökoormust märkimisväärselt, kuna iga taotluse puhul tuleb riskide hindamine siiski läbi viia. Halduskoormuse hindamisel ei ole arvesse võetud ka uut Andmekaitse Inspektsiooni teavitamise kohustust, mis on sätestatud eelnõu § 6 lõigetes 5 ja 7. Ettepanek 1. Haridus- ja Teadusministeerium teeb ettepaneku mitte suurendada halduskoormust võrreldes kehtiva regulatsiooniga ning täpsustada eelnõu § 6 lõiget 7 selliselt, et eetikakomitee kontrolli läbimine oleks nõutav üksnes eriliiki isikuandmete töötlemise korral. Muude isikuandmete töötlemisel võiks edaspidi § 6 lõike 6 alusel teavitada Andmekaitse Inspektsiooni, kellel on vajaduse korral võimalik kontrollida andmetöötluse õiguspärasust. Ühtlasi palume eelnõu seletuskirjas täpsustada regulatsiooni mõju halduskoormusele.
Arvestatud. Eelnõu ja seletuskirja on täiendatud. Arvestatud, eelnõu ja seletuskirja muudetud. Mõju halduskoormusele on seletuskirjas täpsustatud.
12.2 Eetikakomiteede pädevus ja rahastamine Eelnõu regulatsioon ei täpsusta, kuidas tuleb toimida olukordades, kus puudub seadusega või selle alusel moodustatud asjaomase valdkonna eetikakomitee. Kuigi eelnõuga on eetikakomiteedele pandud kohustused, ei ole ette nähtud vahendeid vastava(te) eetikakomitee(de) moodustamiseks. Selgitame, et teaduseetika komitee, mis on moodustatud teadus- ja arendustegevuse ning innovatsiooni korraldamise seaduse (TAIKS) alusel, annab vastavalt seaduse § 26 lõikele 1 hinnangu üksnes teadus- ja arendustegevuse osas. Teadus- ja arendustegevus on määratletud TAIKS § 2
Selgitame, eelnõu eesmärk on tagada, et kõik uuringud, mis viiakse läbi eriliiki isikuandmetega läbiksid eetikakomitee hinnangu, et vältida eespool nimetatud juhtumeid. Kui valdkondliku eetikakomiteed ei ole vaatab taotlused läbi keskselt loodud eetikakomitee. TAIKS §-is 26 lõigetega 5 ja 6 on juba eetikakomiteele ette nähtu tasu küsimine taotluse läbi vaatamise eest. Ei nõustu väitega, et TAIKS-i eetikakomitee ei peaks hinnanguid andma kõikidele uuringutele, eelkõige võttes arvesse et IKÜM-i põhjenduse 159 kohaselt tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada nii laialt, et
47
lõikes 1 ning hõlmab uudset, loomingulist, ettemääramatu tulemusega, süstemaatilist ning ülekantavat või korratavat uurimis- ja arendustööd, mille eesmärk on uute teadmiste saamine ja nende rakendamine. Teadus- ja arendustegevus jaguneb alusuuringuteks, rakendusuuringuteks ja eksperimentaalarenduseks. Isikuandmete kaitse seaduse eelnõus kavandatud regulatsioon hõlmab lisaks teadus- ja arendustegevusele ka muid uuringuid ja analüüse, mille puhul teaduseetika komitee vastavalt TAIKS-ile hinnanguid ei anna. Ettepanek 2. Palume eelnõus ja seletuskirjas ette näha lahendused juhuks, kui seadusega või selle alusel ei ole moodustatud asjaomase valdkonna eetikakomiteed. Kehtiva regulatsiooni kohaselt oli sellistel juhtudel võimalik hinnangut anda Andmekaitse Inspektsioonil. Ettepanek 3. Seletuskirjas on eelnõu § 6 lõike 8 osas viidatud TAIKS § 26 alusel moodustatud eetikakomiteele. Palume see viide seletuskirjast eemaldada, kuna eelnõu § 6 lõikes 7 nimetatud asjaomase valdkonna eetikakomitee ülesandeid ei täida üksnes TAIKS-i alusel moodustatud teaduseetika komitee, vaid kõik Eestis tegutsevad eetikakomiteed, mis on loodud seadusega või selle alusel.
see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks arvesse võtta EL-i toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum, rahvatervise valdkonnas peaks teadusuuringute eesmärk hõlmama avalikust huvist lähtuvalt tehtud uuringuid. Juhime tähelepanu, et IKÜM on otsekohalduv EL-i määrus, mida siseriikliku õigusega kitsendada ei saa. Veel enam on TAIKS §-is 9 ka sätestatud ministeeriumi ja Riigikantselei ülesanded teadus-ja arendustegevuse ning innovatsiooni valdkonnas, seega on juba TAIKS- iga öeldud, et ka riiklikult tegeletakse teadus- ja arendustegevuse ja innovatsiooniga ning selline TAIKS kohaldub ka riigipoolse teadustegevuse korral. Mittearvestatud, vt eelnev selgitus. Arvestatud. Seletuskirja täiendatud.
12.3 Uuringu tegija mõiste Eelnõus ega seletuskirjas ei ole uuringu tegijat defineeritud. Selgitamist vajab olukord, kus uuringu tellib üks isik või asutus, kuid läbi viib teine (uuringu volitatud töötleja). § 6 lõike 2 sõnastusest võib järeldada, et uuringu tegija all peetakse silmas uuringu tellijat. Näiteks § 6 lg 3 p 1 näeb ette kohustuse andmete pseudonüümimiseks enne andmete üleandmist uuringu tegijale. Eeldame, et siin on silmas peetud olukorda, kus isikuandmete vastutav töötleja annab andmed üle mitte enda volitatud töötlejale uuringu tegemiseks, vaid teisele, uuringu vastutavale töötlejale või uuringu vastutava töötleja poolt volitatud töötlejale. Samuti tekib küsimus eelnõu § 6 lg 9 sätestatud erandi puhul, kui uuringu tellija on selles kasutatavate andmete vastutav töötleja ning kasutatakse ainult ühe
Arvestatud, eelnõu ja seletuskirja täiendatud.
48
andmekogu andmeid. Eeldame, et erand kohaldub ka juhul, kui andmekogu vastutav töötleja (asutus) tellib uuringu tegemise teiselt isikult. Ettepanek 4. Palume täiendada seletuskirja ning tuua välja, et sättes on uuringu tegija all peetud silmas eelkõige uuringu tellijat ning andmete üleandmise all ei mõisteta andmete üleandmist vastutavalt töötlejalt tema enda volitatud töötlejale.
12.4 Halduskoostöö seaduse alusel volitatud isik uuringu tegijana Eelnõu § 6 lg 2 sõnastus ei hõlma halduskoostöö seaduses sätestatud volituse alusel avalikke ülesandeid täitvaid eraõiguslikke juriidilisi isikuid (näiteks sihtasutusi). Nagu märkisime juba vastuses eelnõu väljatöötamiskavatsusele, leiame, et juhul, kui avalikke ülesandeid on täitma volitatud teine isik, siis peaks olema võimalik volitustes määratud ülesannetega seotud uuringuid teha ka neil. Ettepanek 5. Palume täiendada § 6 lõiget 2, sõnastades selle alljärgnevalt: „ Käesoleva seaduse tähenduses loetakse käesoleva paragrahvi lõikes 1 sätestatud uuringuks ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse, avalik-õigusliku juriidilise isiku ja tema hallatava asutuse ning halduskoostöö seaduse alusel avalikke ülesandeid täitva eraõigusliku juriidilise isiku tehtud analüüsid ja uuringud, sealhulgas tehnoloogiaarendused.“
Selgitame, antud juhul tuleb eristada, kas avalik ülesanne anti üle ja ülesande eest vastutab sihtasutus või ülesande tegemine volitatakse, ehk ülesande eest vastutab ikkagi asutus ise ning sihtasutus on ülesande kontekstis volitatud töötleja. Eelnõu ei välista sihtasutustel oma ülesannete täitmiseks uuringu tegemise võimalust. Arvestatud, eelnõu ja seletuskirja täiendatud.
12.5 Andmete pseudonüümimise teenus Eelnõu § 6 lg 4 järgi on võimalik § 6 lg 3 p 1 sätestatud kohustust täita ka nii, et andmed pseudonüümitakse Statistikaameti poolt enne uuringu tegijale üleandmist. Seletuskirjast ei nähtu, miks antakse pseudonüümimise teenuse osutamine just Statistikaametile, samas kui eelnõu § 61 loob võimaluse isikustatud andmete töötlemiseks turvalises andmetöötlussüsteemis ning seletuskirja järgi leiti VTK protsessis, et vaba turu huvides ei ole mõistlik kitsendada teenusepakkujate ringi. Kuna § 61 lg 2 p 3 näeb ette ka andmetöötlussüsteemi sellise teenuse osutamise, mis võib hõlmata andmete eeltöötlemist, et uuringu tegijal oleks juurdepääs üksnes käesoleva seaduse § 6 lõike 3 punktis 1 nimetatud kujul andmetele, siis oleks võimalik § 6 lg 4 toodud pseudonüümimise teenust osutada ka sellise turvalise andmetöötlussüsteemi pakkujal.
Säte eelnõust välja jäetud.
49
Ettepanek 6. Täiendada § 6 lg 4 ning sõnastada see järgmiselt: „Käesoleva paragrahvi lõike 3 punktis 1 sätestatud tingimus loetakse täidetuks ka juhul, kui ühe või mitme andmekogu vastutavad töötlejad edastavad isikustatud andmed Statistikaametile või käesoleva seaduse § 61 nimetatud turvalise andmetöötlussüsteemi pakkujale andmete pseudonüümimiseks või muu samaväärset kaitset pakkuva meetme kasutamiseks ja uuringu tegijale edastamiseks. Pärast andmete edastamist uuringu tegijale kustutab Statistikaamet või käesoleva seaduse § 61 nimetatud turvalise andmetöötlussüsteemi pakkuja temale edastatud ja tema poolt töödeldud andmed.“ Lisaks tekib küsimus Statistikaameti (või muu psedonüümimise teenuse pakkuja) rolli kohta uuringus isikuandmete töötlemise protsessis. Uuringu tegija (tellija) on uuringus andmete vastutav töötleja. Kui uuringu tegija soovib mitme andmekogu vastutavalt töötlejalt isikuandmeid, mida omavahel siduda, peab ta kasutama § 6 lg 4 ette nähtud pseudonüümimise teenust. Sellisel juhul on teenusepakkuja uuringus andmete volitatud töötleja (saades teenuse osutamise eest uuringu vastutavalt töötlejalt tasu). Samas keelab § 6 lg 3 p 1 anda pseudonüümimata andmeid üle uuringu tegijale, sh ka uuringu volitatud töötlejale. Kui lugeda pseudonüümimise teenuse saajaks aga andmeandjat, kaasneksid andmeandjatele uuringuks andmete väljastamise eest kulud. Ettepanek 7. Täiendada seletuskirja § 6 lg 4 nimetatud teenuse kasutamisel andmetöötlusprotsessi osaliste rollide täpsustusega.
12.6 Tehniline märkus Eelnõuga tehakse TAIKSi §-s 26 tehniline parandus IKSi viites. Märgime, et lisaks §-le 26 viidatakse isikuandmete kaitse seadusele ka TAIKS § 19 lõikes 6. Ettepanek 8. Palume täiendada eelnõu § 2 ning sõnastada see järgmiselt: „Teadus- ja arendustegevuse ning innovatsiooni korraldamise seaduse § 19 lõikes 6 ja § 26 lõikes 1 asendatakse arv „4“ arvuga „7“.“
Arvestatud. Eelnõu muudetud.
13. Eesti Linnade ja Valdade Liit Justiits- ja Digiministeeriumi märge
13.1 Isiku põhiõiguste kaitse andmete töötlemisel. Eelnõus on IKS §-ga 6 seoses viidatud, et paraneb isikute põhiõiguste kaitse andmete töötlemisel. Selgitamist vajab, milles seisneb eelnõu kohaselt isikute
Selgitame. Eelnõuga täpsustatakse tingimustega, millele andmetöötlus peab vastama. Eelnõu puudutab uurinuid, mis tehakse isikut puudutavatel andmetel kuid
50
põhiõiguste parem kaitse. Eelnõu kohaselt puudub isikutel sisuliselt põhiseaduse §-s 19 sätestatud enesemääramisõigus: kui isik on oma andmed riigile või avalikule sektorile, näiteks teenuse saamiseks, juba edastanud, ei ole tal võimalik keelduda nende andmete kasutamisest teistsugustel eesmärkidel, ei isikustatud ega isikustamata kujul. See kehtib sõltumata andmete liigist, hõlmates nii tavalisi kui ka eriliigilisi isikuandmeid. Praegu kehtivad eetikanõuded näevad ette, et uuringutes ja sarnastes tegevustes osalemine on vabatahtlik. Eelnõus selline vabatahtlikkuse põhimõte aga puudub.
ei puuduta uuringuid, millesse isikud aktiivselt kaasatud on. Sellistes uuringutes osalemine on isikutele endiselt vabatahtlik.
13.2 Hallatava asutuse mõiste. IKS § 6 lõike 2 kohaselt võib ka kohaliku omavalitsuse asutus ja nende hallatav asutus teha isiku nõusolekuta uuringuid ja analüüse täites IKS § 6 lõikes 1 sätestatud nõuded. Täpsustamist vajab, kas hallatavate asutuste all peetakse silmas ka haridusasutusi, näiteks gümnaasiume? Sellisel juhul tõusetub küsimus, kas nn uurimistööde raames oleks võimalik koguda andmeid kaasõpilaste usuliste veendumuste või poliitiliste eelistuste kohta eeldusel, et seaduses sätestatud nõuded on täidetud. Samas võib gümnaasiumiõpilase ja isegi kooli jaoks kogu seaduses ette nähtud menetluse ja nõuete täitmine osutuda keerukaks.
Selgitame, juhul kui koolil ei ole seaduse antud õigust uuringuteläbi viimiseks, kus on ära toodud töödeldavate isikuandmete kategooriad ning eesmärgid, siis tuleb uuringu läbiviimiseks täita IKS õ 6 tingimused. Juhul kui uuringut viib läbi kooliõpilane siis tuleb hinnata, millisel õigusliku alusel ta seda teeb, üheks võimalikuks variandiks on ka nõusolekualuse uuringute tegemine.
13.3 Andmekaitse Inspektsiooni roll. IKS § 6 lõike 5 kohaselt teavitab uuringu tegija enne isikuandmete töötlemist uuringust, selle eesmärkidest ning töödeldavatest andmetest Andmekaitse Inspektsiooni. Võrreldes kehtiva õigusega on eelnõus Andmekaitse Inspektsiooni rolli muudetud selliselt, et see piirdub peamiselt seire ja eelkontrollidega ega hõlma võimalust andmetöötlust ennetavalt keelata. Kuigi selline lähenemine vähendab nn loamenetluste kaotamise kaudu bürokraatiat, võib see praktikas kaasa tuua olukordi, kus võimalik kahju andmesubjektile on tekkinud juba enne järelevalvemeetmete rakendamist ning rikkumistele reageeritakse alles kaebuse või muu rikkumisteabe saamisel järelevalvemenetluse käigus. Seetõttu tuleks eelnõus kaaluda Andmekaitse Inspektsioonile võimaluse andmist peatada uuringu läbiviimine koheselt teate saamisel, seniks, kuni isikute kaitseks on rakendatud piisavad meetmed.
Mittearvestatud. AKI-l on juba täna järelevalvepädevus ning meetmete rakendamise õigus ( IKS § 56) sh õigus nõuda isikuandmete töötlemise piiramist ja lõpetamist.
13.4 Andmekogude põhimäärused. IKS § 6 lõike 9 kohaselt ei pea vastutav töötleja järgima sama paragrahvi lõike 3 punktides 1–3 ning lõigetes 5 ja 7 sätestatud nõudeid juhul, kui uuringu tegija
Arvestatud osaliselt, eelnõu ja seletuskirja täiendatud.
51
töötleb käesolevas paragrahvis sätestatud eesmärkidel isikuandmeid ühe andmekogu piires, mille vastutavaks töötlejaks ta ise on. Kui andmeid töödeldakse andmekogus, mille vastutav töötleja on uuringu läbiviija, tekib küsimus, kas uuringute ja analüüside tegemine peaks olema reguleeritud ka andmekogu põhimääruses. Samuti ei ole piisavalt selge, kuidas tagatakse andmesubjektide jaoks läbipaistvus seoses andmete töötlemisega uuringute eesmärgil. Vähemalt eelnõu seletuskirjas võiks olla viidatud, et andmekogude põhimäärustes tuleks ette näha andmete kasutamine uuringuteks ja analüüsideks. Kehtiv eelnõu piirdub üksnes üldiste nõuete sätestamisega, mille sisustamine jääb igal konkreetsel juhul uuringu läbiviija ülesandeks, ega taga seeläbi piisavat läbipaistvust, sh arusaama sellest, et andmeid kasutatakse ka teistel eesmärkidel, kui see andmesubjekti jaoks eeldatav on.
13.5 Andmetöötlussüsteem. IKS §-s 61 sätestatakse nõuded andmetöötlussüsteemile, kuid eelnõust ei selgu, millistele konkreetsetele tingimustele see süsteem vastama peab. Samuti jääb ebaselgeks, millisele regulatsioonile eelnõus viidatakse. Tekib küsimus, kas tegemist on andmekoguga AvTS tähenduses ning kas sellel süsteemil peab olema põhimäärus. Kui mitte, siis ei ole selge, kuidas tagatakse andmesubjektide jaoks läbipaistvus ning muud isikuandmete kaitse üldmääruses (IKÜM) sätestatud õigused.
Selgitame. Tegemist ei ole andmekoguga AvTS-i mõttes. Andmekogu AvTS-i mõttes on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Süsteemi tingimused on toodud § 61 lõigetes 1 ja 2.
13.6 Logide säilitamine. IKS § 61 lõike 3 kohaselt kustutatakse uuringu käigus töödeldavad andmed andmetöötlussüsteemist pärast uuringu valmimist ja uurimistulemuste valideerimist. Logid kustutatakse üks aasta pärast uuringu käigus töödeldavate andmete kustutamist. Kui logisid säilitatakse üksnes ühe aasta jooksul, kuid väärteo aegumistähtaeg on viis aastat, tekib küsimus, kuidas saavad uuringute läbiviijad tõendada andmetöötluse õiguspärasust olukorras, kus kaebus esitatakse näiteks kolm aastat pärast andmetöötluse toimumist.
AKI pädeva järelevalveasutusena hindas logide säilitamise vajadust ühele aastale.
13.7 Andmetöötlussüsteemi infoturbe standardid. IKS § 61 lõikes 4 on sätestatud, et valdkonna eest vastutav minister võib määrusega kehtestada andmetöötlussüsteemis andmete töötlemisele täiendavad tehnilised ja korralduslikud turvanõuded. Avaliku sektori puhul võiks eelnõus olla selgesõnaline viide EITS-i kohustuslikule rakendamisele
Arvestatud osaliselt, vt selgitust p 6.11.
52
sellise süsteemi turbe tagamisel. Erasektori puhul võiks olla ette nähtud vähemalt vastava ISO sertifikaadi nõue.
13.8 Tehisaru kasutamine uuringute läbiviimisel. Seletuskirjas on märgitud: „Tehisaru arendamist tuleb seega käsitleda ühe osana laiemast teadus- ja arendustegevusest, millele IKÜM annab selge õigusliku aluse – nii arendus-, treening-, valideerimis- kui ka testimisfaasis.“ See seisukoht võiks olla selgemalt kajastatud ka seaduse tekstis, kuna eelnõu praeguses sõnastuses jääb vastav regulatsioon võrdlemisi ebamääraseks. Samuti oleks abiks vähemalt allmärkusena viide IKÜM-is sätestatud „selgele õiguslikule alusele“. Lisaks tuleks tehisaru eripärasid arvestades selgemalt määratleda piirid tehisaru kasutamisel isikuandmete analüüsimisel.
Selgitame. IKS § 6 ja 61 sätestavad tingimused tehisaru arendamiseks, kasutamine peab toimuma muul õiguslikul alusel.
13.9 Jätku-uuringud. Eelnõus puudub nn jätku-uuringute käsitlus. Ei ole selge, kas uuring, mille käigus võrreldakse sama valimi andmeid pikema ajavahemiku jooksul (nt 25 aastat ning igal aastal toimub 3-5 konkreetset osauuringut), on eelnõu mõistes käsitatav ühe uuringuna ning kas sellisel juhul võib kogu valim säilida andmetöötlussüsteemis aastaid. Näiteks paneeluuringute puhul võib andmete kogumine ja analüüs kesta kümneid aastaid, mistõttu vajab selliste uuringute käsitlus eelnõus täpsemat selgitamist.
Selgitame. Juhul kui tegemist on isikustatud andmetega jätkuuringuga tuleb vastav info ka eetikakomitee hinnangu saamiseks välja tuua, sh kuidas on plaanitud andmeid säilitada ning edaspidi töödelda. Eetikakomitee saab vastavale uuringule ka hinnangu anda. Sh kas piisab nö ühekordsest hinnangu küsimisest või tuleb siiski iga etapi kohta uus hinnang saada.
13.10 Andmete koosseisu määratlemine. Seni on nii Justiits- ja Digiministeerium kui ka Andmekaitse Inspektsioon PS § 26 kohaldamisel rõhutanud vajadust isikuandmete koosseisu selge määratlemise järele seaduse tasandil. Eelnõus selline määratlus puudub. Samas on arusaadav, et kõigi tulevikus võimalike andmetöötluste konkreetseid isikuandmete koosseise ei ole alati võimalik ette näha. Sellest hoolimata oleks oluline, et sarnastes olukordades kohaldataks õigusloomes ühtseid põhimõtteid ning andmete koosseisu määratlemise lähenemine oleks läbivalt ühesugune.
Selgitame. Uuringute puhul ei ole võimalik piiritleda, milliseid andmeid töödelda võib, seetõttu on lubatud üldiselt isikuandmete, sh eriliiki isikuandmete töötlemine.
13.11 Kohaliku omavalitsuse korralduse seadus. Riigikogus on teisel lugemisel Kohaliku omavalitsuse korralduse seaduse ja sellega seonduvate seaduste muutmise seaduse eelnõu (688 SE). Nimetatud seaduse § 31 lõige 3 tuleks IKS § 6 muudatuste jõustumisel kehtetuks tunnistada. Vastasel juhul jääb kohalike omavalitsuste võrdse kohtlemise põhimõte sisuliselt deklaratiivseks, kuna vastavad piirangud tulenevad
Arvestatud, eelnõu ja seletuskirja muudetud. KOV hakkab uuringudi tegema IKS § 6 ja 61 alusel.
53
jätkuvalt KOKSist. Lisaks on KOKS-i menetluse käigus korduvalt rõhutatud, et tegemist on nn vahepealse lahendusega kuni IKSi jõustumiseni. KOKS § 31 lõige 3 on sõnastatud järgmiselt: „Valla või linna ametiasutusel ja ametiasutuse hallataval asutusel on õigus teha poliitika kujundamiseks analüüse ja uuringuid. Kui analüüsi või uuringu tegemiseks on vaja saada teise vastutava või volitatud töötleja andmekogudest isikuandmeid, sealhulgas pseudonüümitud andmeid, hindab Andmekaitse Inspektsioon enne andmekogu vastutavale töötlejale taotluse esitamist avaliku huvi olemasolu, andmete töötlemise eesmärki, andmekoosseisu minimaalsust ja andmete säilitamise vajadust. Andmekogust isikuandmete väljastamise otsustab andmekogu vastutav töötleja, võttes arvesse Andmekaitse Inspektsiooni hinnangut.“
13.12 Tehisintellekti määrus. Seletuskirjas viidatakse jõustuvale tehisintellekti määrusele, kuid käesolevaks ajaks on nimetatud määrus juba jõustunud.
Seletuskirja muudetud.
14. Riigikogu Kantselei Justiits- ja Digiministeeriumi märge
Seletuskirja kohaselt laiendatakse IKS § 6 lõikes 2 uuringu tegijate ringi, nii et kõik tegevused, mille käigus kogutakse, analüüsitakse ja tõlgendatakse andmeid avalike ülesannete täitmiseks, loetakse seaduse tähenduses uuringuks. Juhin tähelepanu, et sätte kavandatav sõnastus („Käesoleva seaduse tähenduses loetakse käesoleva paragrahvi lõikes 1 sätestatud uuringuks ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüsid ja uuringud, sealhulgas tehnoloogiaarendused“,) ei hõlma põhiseaduslikke institutsioone ja neid teenindavaid riigi ametiasutusi, sealhulgas Riigikogu Kantseleid ja selle struktuuri kuuluvat Arenguseire Keskust. Palun sättes toodud loetelu selles osas täiendada.
Arvestatud, eelnõu ja seletuskirja täiendatud. Selgitame, et põhiseaduslikule institutsioonile kohaldub IKS üksnes osas, mis ei puuduta nende põhiseaduslike ülesannete täitmist. Juhul kui põhiseaduslik institutsioon täidab oma põhiseadusliku ülesannet, tuleb uuringut tegemise õiguslik alus kehtestada tema tegevust reguleeriva seadusega.
15. Tartu Ülikool Justiits- ja Digiministeeriumi märge
15.1 IKS § 6 lg 1 sätestatud määratlus „teadus-, ajaloouuringu- või statistikatöö“ ei ole üheselt selge, kuna ei ole arusaadav, millised sõnad omavahel ühilduvad. Teen ettepaneku kasutada sõnastust „teadus- ja ajaloouuringu tegemise ja riikliku statistika kogumise (edaspidi uuring) eesmärgil“. Lisaks palun seletuskirjas lahti seletada, millist ja kelle poolt tehtavat ajaloouuringut peetakse silmas juhul, kui ajaloouuring ei kvalifitseeru teadusuuringuna.
Arvestatud, eelnõu muudetud ja seletuskirja muudetud.
54
15.2 IKS § 6 lg 3 ei ole selge, millistel juhtudel on isiku tuvastamise vältimiseks vajalik kaitsemeetmena pseudonüümimine ja millisel juhul anonüümimine. Tartu Ülikool teeb ettepaneku sõnastada IKS § 6 lg 3 punktid 2 ja 3 alljärgnevalt: „2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku otseselt tuvastada; 3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada otseselt ega kaudselt tuvastada isikut, kelle isikuandmeid, sealhulgas eriliiki isikuandmeid, töödeldi;“ Sõnastuse eesmärk on tagada, et IKS § 6 lg 3 p 2 kohaselt oleks pseudonüümitud uuringuandmete töötlemisel keelatud nende depseudonüümimine. IKS § 6 lg 3 p 3 kohaselt tuleks aga uuringuandmete avalikustamisel (näiteks publitseerimisel) tagada vastavate andmete anonüümsus. Kui uuringu vastutav töötleja soovib uuringu tulemusena avalikustada pseudonüümitud või isikustatud kujul isikuandmeid, vajab see Tartu Ülikooli hinnangul andmesubjekti nõusolekut ja selline avalikustamine ei ole IKS § 6 kohaldamisalas.
Mittearvestatud. Mõistet ei muudeta. Uuringus ei tohi isikud lg 3 kohaselt olla ka kaudselt tuvastatav. Selgitame. Lg 3 alusel tehtavates uuringutes ei tohi isikud olla tuvastatavad, sh uuringu tulemuses. IKS § 6 ei ole õiguslikuks aluseks isikuandmete avalikustamiseks, seda eelnõu ei käsitle. Isikuandmete avalikustamine peab toimuma muul õiguslikul alusel.
15.3 IKS § 6 lg 4 soovitakse luua olukord, kus Statistikaametile luuakse seadusega eristaatus. Tartu Ülikooli hinnangul ei ole põhjendatud seaduse tasandil välja tuua ainult Statistikaameti kui ühe vastutava töötleja andmetöötluskeskkonda kui IKS § 6 lg 3 p 1 sätestatud nõuetele vastavat. Tartu Ülikool teeb ettepaneku, et vastavad keskkonnad kehtestatakse seaduse alusel antava rakendusaktiga, et mitte piirata uuringute tegemist tulevalt Statistikaameti protsesside ja süsteemide eripäradest.
Säte eelnõust välja jäetud.
15.4 IKS § 6 lg 7 osas kordab Tartu Ülikool nii teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse (edaspidi: TAIKS) eelnõu kui ka isikuandmete kaitse seaduse muutmise seaduse eelnõu väljatöötamiskavatsuse kooskõlastamisel esitatud ettepanekut. Oluline on tagada, et TAIKSi alusel antav eetikakomitee tegevust reguleeriv ministri määrus kehtestaks eetikakomiteele täpsemad ülesanded isikuandmete kaitse aspektide hindamisel. Selline lahendus võimaldaks teadlastel ette näha, milliseid aspekte nad peavad taotluses lahti kirjutama. Samuti oleks selgem, milliseid isikuandmete kaitse aspekte on eetikakomi-tee hinnanud ja kooskõlastanud. Uuringute praktikas on tulnud ette olukordi, kus ka eelneva eetikakomitee kooskõlastuse olemasolul algab andmete väljastamisel
Selgitame, et eetikakomiteede tegevust käesoleva eelnõuga ei reguleerita. Võimalike probleemide lahendusi soovitame arutada HTM-iga.
55
andmekogu vastutava töötlejaga isikuandmete kaitse aspektide arutelu uus ring, mis tarbetult kulutab nii teadlaste kui ametnike tööaega. Veelgi enam, uuringu detailide muutumisel (nt uurimismeeskonna uurijate lisandumisel) menetlevad hetkel seda muudatust nii eetikakomitee kui seejärel ka kõik andmekogude vastutavad töötlejad. Tänaseks on Haridus- ja Teadus-minister TAIKSi § 26 lg 7 alusel teaduseetikakomitee juba moodustanud ja selle hinnangute andmise korra kehtestanud. Isikuandmete kaitse seadusesse muudatuste tegemisel tuleks ette näha ka vastavate muudatuste tegemine viidatud Haridus- ja Teadusministri määruses.
15.5 Tartu Ülikool ei kooskõlasta IKS § 6 lg 8, kuna ilma taotlust sisuliselt hindamata ei saa eetikakomitee teha otsust, et riskid on väikesed, ning isikuandmete töötluse riski hindamisel võtaks eetikakomitee sisuliselt uuringu vastutava töötleja rolli. Juhin ka tähelepanu, et IKS § 6 lg 6 ette nähtud eetikakomitee kooskõlastus täiendav kaitsemeede juhuks, kui uuringu vastutav töötleja töötleb uuritavate isikuandmeid otsest tuvastamist võimaldaval kujul ja ei rakenda IKS § 6 lg 3 toodud pseudonüümist või muid võrdväärseid kaitsemeetmeid. Seetõttu on arusaamatu, kuidas saaksid IKS § 6 lg 6 juhtudel andmekaitsealased riskid olla väikesed. Tartu Ülikooli hinnangul saab uuringu andmetöötluse riske hinnata ainult vastutav töötleja ja eetikakomitee saaks madala riskiga uuringuid hinnata nt lihtsustatud menetluse korras. Lisaks juhin tähelepanu, et isikuandmete kaitse seadusega reguleeritakse üksnes andmekaitsealaste riskide hindamist, mitte eetikaalaste riskide hindamist (mida reguleeritakse TAIKSiga), seetõttu ei saa kindlasti IKS § 6 lg 8 sätestada, et juhul, kui eetikakomitee hindab, et eetikaga seotud riskid on väikesed, võib ta jätta taotluse sisuliselt hindamata. Siiski juhin igaks juhuks tähelepanu ka sellele, et formulatsioon „eetilised riskid“ ei ole ka keeleliselt korrektne, sest kirjeldab riski omadust (eetilised vs ebaeetilised riskid). Korrektne oleks öelda nt „andmekaitse- ja eetikaalased riskid“ või „andmekaitse ja eetikaga seotud riskid“.
Arvestatud, säte eelnõust välja jäetud.
15.6 Tartu Ülikool teeb ettepaneku lisada IKS § 61 lg 2 p 1 täienduse, et sättes toodud tehnilised ja korralduslikud meetmed on piisavad, kui andmetöötlussüsteem järgib küberturvalisuse seaduses toodud nõuded ja on sertifitseeritud Eesti infoturbestandardi või sellega võrdsustatud infoturbestandardi alusel.
Arvestatud osaliselt, vt selgitust p 6.11.
15.7 Tartu Ülikool teeb ettepaneku täiendada IKS § 61 lg 5 ning näha ette, et Andmekaitse Inspektsiooni poolt kontrollitud ja heaks kiidetud
Arvestatud, eelnõu ja seletuskirja täiendatud.
56
andmetöötlussüsteemid avalikustatakse Andmekaitse Inspektsiooni veebilehel.See on vajalik, et tagada teadlastele ülevaade ja kindlus andmetöötlussüsteemide kasutamisel. Andmetöötlussüsteemide valik on juba teadustöö planeerimise etapis kriitilise tähtsusega, sh et hinnata ja eelarvestada (nt granditaotluse esitamisel) eri andmetöötlussüsteemide kasutamise kulusid.
15.8 Seletuskirja punkti 1.1 on selgitatud, et edaspidi võib ka eriliiki isikuandmeid töödelda eelnõus toodud kaitsemeetmete olemasolul ilma eetikakomitee kooskõlastuseta, mis peaks lihtsustama nii uurijate kui ka eetikakomiteede tööd. Tartu Ülikool juhib tähelepanu ja palub seletuskirjas täiendavalt selgitada, et lisaks isikuandmete kaitse regulatsioonile võib eetikakomitee kontrollikohustus tuleneda ka teadustegevust puudutavatest õigusaktidest, teadusuuringu rahastaja ja/või publitseerija nõuetest jne ning need olukorrad ei allu isikuandmete kaitse seaduse regulatsioonile.
Arvestatud, seletuskirja täiendatud.
15.9 Tartu Ülikool palub täiendada seletuskirja IKS § 6 lõike 11 osas ja selgitada, et kui andmesubjekti õigusi plaanitakse konkreetse uuringu raames piirata, tuleb uuringu dokumentatsioonis – eelkõige andmekaitsealases mõjuhinnangus – analüüsida andmesubjekti õiguste piiramisega kaasnevaid ohte ja vastavaid maandusmeetmeid.
Arvestatud, eelnõu ja seletuskirja täiendatud.
15.10 Tartu Ülikool palub täiendada seletuskirja IKS § 61 lg 3 puudutavat, täpsustades andmete valideerimise perioodi. Juhin tähelepanu, et lisaks enne publitseerimist toimuvale andmete kvaliteedi kontrollile võib osutuda vajalikuks kontrollida uuringu tulemusi ka pärast publitseerimist, lähtudes publitseerija kehtestatud reeglitest, näiteks väliste uurijate vastuväidete korral.
Arvestatud, seletuskirja täiendatud.
16. Kliimaministeerium Justiits- ja Digiministeeriumi märge
16.1 Eelnõuga isikuandmete kaitse seadusesse lisatava § 6 lg 3 sissejuhatav lauseosa ei ole päris korrektne, kuna see ei defineeri ainult pseudonüümimist, vaid sätestab tingimused, millal on uuringu eesmärgil töötlemine, ilma andmesubjekti nõusolekuta, lubatav (eelkõige p 4). Pseudonüümimine on defineeritud IKÜM art 4 lõikes 5. Soovitaks seega näiteks ühendada lõiked 1 ja 3: "(1) Isikuandmeid, sealhulgas eriliiki isikuandmeid, võib andmesubjekti nõusolekuta teadus-, ajaloouuringu- või statistikatöö (edaspidi uuring) eesmärgil töödelda, kui on täidetud kõik järgmised tingimused: 1) enne isikuandmete üleandmist uuringu tegijale need pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid päringu saanud andmekogus;
Selgitame. Pseudonüümimine on üks kaitsemeetmetest, eelnõuga sätestatakse tingimused, millele andmetöötlus peab vastama, et andmeid uuringu tarbeks saab töötlemisel IKS § 6 ja 61 alusel.
57
2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada; 3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut, kelle isikuandmeid, sealhulgas eriliiki isikuandmeid, töödeldi; 4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju."
16.2 Lõige 5 - eelnõu räägib AKI veebilehel avaldamisest aga seletuskiri Eesti teabeväravas avaldamisest.
Seletuskirja muudetud. Selgitame, et see ei välista, et lisaks AKI kodulehele teavet ka Eesti teabeväravas avaldatakse.
16.3 Eetikakomiteele taotluse saatmise kohustuse osas võiks olla mõistlik ja halduskoormust vähendav seada sisse erand, kui tegemist on regulaarsete uuringutega, mille kohta on varasemalt eetikakomitee hinnang juba küsitud ning mille ulatus ja olemus ei ole muutunud. Lõige 10 sätestab - "Käesolevat paragrahvi ei kohaldata juhul, kui uuringu eesmärgid ja isikuandmete töötlemise ulatus tulenevad seadusest.". Kuigi seletuskirjas on selgitatud, et tegemist on vaid tehnilise muudatusega, oleks vaja vähemalt seletuskirja tasemel siiski täpsustada, millises täpsuses seadusest tulenevat alust eeldatakse. IKSi seletuskirjas selgitati järgmist - "Poliitika kujundamiseks tehtavate analüüside puhul ei pea küsima eelnevat Andmekaitse Inspektsiooni luba, kui uuringu eesmärk ja isikuandmete töötlemise ulatus tulenevad õigusaktist. Näiteks olukorras, kus andmekogu põhimääruses on täpselt ette nähtud analüüsi ja statistika kord. Korras peaks olema kirjeldatud, milliste andmetega analüüsi või statistikat tehakse, kas selleks esitatakse päringuid teistesse andmekogudesse ning selgitatud, kas analüüsi väljund on anonüümsel või isikustatud kujul.". Kuna õigusaktile viide asendatakse viitega seadusele, peaks olema arusaadav, kui täpne peab seaduses sisalduv regulatsioon olema. Kas näiteks piisab, kui uuringu tegemine on tuletatav ja seostatav andmete kogumise eesmärgiga või eeldatakse seaduses sõnaselget viidet uuringule.
Regulaarsete uuringute puhul tuleks kas eetikakomitee taotluses juba ette näha, millal uuringut korratakse, et eetikakomitee saab ka regulaarsuse osas hinnangu anda. Alternatiivne lahendus püsivate uuringute puhul on luua eriseaduses õiguslik alus asutusele uuringute läbiviimiseks, sätestades töödeldavate andmete kategooriad ja uuringu eesmärgid. Vt eelmise punkti selgitus.
17. Majandus- ja Kommunikatsiooniministeerium Justiits- ja Digiministeeriumi märge
17.1 Teeme ettepaneku eemaldada eelnõu § 6 lõikest 1 sõna „eelkõige“ ja täpsustada mõistet „muud samaväärset kaitset pakkuv meede“. Nimetud lõige peab looma selged reeglid, kuidas on lubatud isikuandmeid töödelda juhul kui neid töödeldakse pseudonümiseeritud kujul. Hetkel jääb lõike 1 mõte selgusetuks ja loob juurde vaid segadust. Samuti vajab sisustamist mõiste „muu samaväärset kaitset pakkuv meede“. Kui eesmärk on
Arvestatud, eelnõu ja seletuskirja muudetud.
58
olnud, et „muu samaväärset kaitset pakkuv meede“ peab tagama ka pseudonümiseerimise, siis ei ole selle eraldi välja toomine vajalik. Kui aga eesmärk on olnud muu, siis peab tooma välja, mis see on. Meede ise võib aga jääda lahtiseks ja vabalt valitavaks.
17.2 Palume seletuskirjas selgitada, kuidas on lõige 9 vastavuses üldiste andmekaitsepõhimõtetega.Andmetöötleja ei või asuda töötlema isikuandmeid muul eesmärgil kui need on algselt kogutud kui andmekoguja ei ole eelnevalt sellest isikuid teavitanud ning andmekogudele on kehtestatud ka eesmärgipõhised töötluse eesmärgid. Samuti tuleb selgitada, mis saab juhul kui sellisel töötlusel tekib uusi andmeid, mida andmekogus ei olnud ja kas peaks tagama sel juhul, et need lisaandmed ei ole isikutega kokku viidavad, vaid ongi vaid uuringu tarbeks nt statistilised.
Arvestatud osaliselt, eelnõu ja seletuskirja muudetud. Selgitame. IKÜM art 89 loob liikmesriikidele õiguse uuringute läbiviimiseks luua isikuandmete töötlemiseks õigusliku aluse. See ei ole vastuolus algselt kogutud eesmärgiga.
17.3 Palume seletuskirjas selgitada, kuidas on lõige 11 vastavuses Isikukaitse üldmääruse artikkel 23ga. IKÜM artikkel 23 lubab küll õigusi piirata, aga mitte täielikult ja näeb ette enne kaaluda ja valida nt piiramise ulatuse, aja ja igasugused muud lisakaitsemeetmed. Leiame, et kui üks neist meetmetest peaks olema andmejälgijas tegevuste logimine, siis võib selline säte olla põhjendatud. Kõikide päringute kohta peaks tekkima ka isikutele andmejälgijas selge ülevaade. Kuna selline muudatus kahtlemata suurendab andmekogude osas päringuid, siis on oluline, et isik saaks teada, milliseid tema andmeid on millise uuringu jms tarbeks kasutatud (sh kas isikustatud kujul).
Eelnõu ja seletuskirja muudetud. Andmejälgija kontekstis lisame, et koostamisel on AJ kohustuslikkuse eelnõu, juhul kui andmekogust väljastatakse andmeid üle x-tee. AJ-s ei ole võimalik kuvada andmeväljastusi, mis tehakse väljaspool x-teed.
17.4 Palun lisada eelnõu § 61 lõikesse 3 tähtaeg kui kaua võib andmeid säilitada, vastasel juhul tekib olukord, kus valideerimise tarbeks hoitakse andmeid määramata aja ja säte kaotab oma mõtte.
Mittearvestatud. Selgitame, et valideerimise perioodi ei ole üheselt ja kindla ajapiiranguga seadusega ette näha. Kohaldub üldine IKÜM põhimõte, tohib säilitada nii kaua, kui see on teadusuuringu eesmärgi saavutamiseks vajalik. Hea teadustava kohasel säilitab teadlane isikustatud kujul andmeid säilitab nii kaua kui vaja ja nii vähe kui võimalik.
17.5 Palume eelnõus või seletuskirjas täpsustada IKS § 6 ja § 61 alusel toimuvate andmeväljastustaotluste menetlusloogikat ning selle rakendamist riigi infosüsteemi kuuluvate andmete osas.
Seletuskirja täiendatud.
17.6 Palume eelnõus luua õiguslik alus riigiülese ühtse andmetaotluste menetluskeskkonna loomiseks ja kasutuselevõtuks. Riiklikest andmekogudest andmeväljastuste selguse ja lihtsustamise huvides tuleb luua ühtne ja selge menetlusprotsess ning seda toetav taotluskeskkond
Mittearvestatud. Ühtset andmetaotluste menetlemise keskkonda hetkel ei ole, mistõttu ei ole võimalik ka selle eelnõu raames õigusliku alust sellele luua. Juhul kui keskkond saab valmis tuleb sellele ka õiguslik alus ette näha. Võimalik, et selleks on üldse RStS, kui Statistikaamet vastava ülesande saab.
59
ehk ühe taotluse ja menetluse printsiibi rakendamine. Selle elluviimiseks on vajalik luua õiguslik alus. Meile teadaolevalt on riigis väljatöötamisel lahendusi, mis võimaldavad riigi infosüsteemi kuuluvate andmekogude andmeväljastustaotlusi menetleda ühtses menetluskeskkonnas ning mis arvestavad teadusuuringutes kasutatavate turvaliste andmetöötluskeskkondade nõuetega. Statistikaameti info kohaselt on analüüs tänaseks lõppenud ning lahenduse arendus lõpusirgel. Samas vajab selliste lahenduste laialdasem kasutamine selget õiguslikku raamistikku, et tagada andmekogupidajatele õigusselgus ning ühtne menetluspraktika. Ühtne keskne taotluste menetluskeskkond ning protsessi eeldefineeritud töövood, kus menetlejad menetlevad taotlust, mis on esitatud ühtsel vormil ning läbipaistev menetlusteekond tagab uuringueesmärgi saavutamise kõigi osapoolte jaoks tõhusalt ja selgelt. Samuti vähendaks selline korraldus nii taotlejate kui menetlejate ressursikulu kogu protsessi vältel. Lahenduse laialdane kasutuselevõtt oleks ressursikasutust optimeeriv ka kõikide ministeeriumite valitsemisalade osas ning kasulik Eesti kui Digiriigi kuvandi kujundamisele maailmas. Andmepõhine innovatsioon, andmed ja analüüs aitavad kaasa nii avastamisele kui ka uute lahenduste ja ärimudelite, toodete ja teenuste väljaarendamisele, millel on ekspordipotentsiaal. Eesti ettevõtjate ja TA-asutuste konkurentsivõime paraneb, Eesti muutub atraktiivseks sihtriigiks tehnoloogiaettevõtetele, võimalik on lihtsamini kaasata investeeringuid ning talente, kuna baastingimused (selgus, kiirus, lihtsus) TA- tegevuseks või toote/teenuse arendamiseks on tagatud. Seega peame ülioluliseks, et eelnõud täiendatakse sätestades, et teadusuuringute (nii teadus-ja arendustegevus, poliitikakujundamine kui ka eraõiguslik innovatsioon) andmeväljastustaotlusi menetletakse riigi infosüsteemi kuuluvate andmete osas riigis keskselt Statistikaameti taotluste menetluskeskkonnas kui eriseaduses ei ole sätestatud teisiti. Peame oluliseks rõhutada, et IKS § 6 ja § 61 alusel toimuvate andmeväljastustaotluste ning andmetöötlussüsteemide rakendamine eeldab lisaks tehnilistele lahendustele ka selget õiguslikku raamistikku, vastutusahelaid ning läbipaistvaid ja auditeeritavaid menetlusprotsesse.
18. Eesti Pank Justiits- ja Digiministeeriumi märge
60
18.1 „Riikliku statistika“ asendamine „statistikaga“ vajab selget eristust ja viidet riikliku statistika seadusele (RStS-ile). Eelnõu eesmärk on laiendada IKS § 6 kohaldamist „igasugusele statistikale“ ning jätta § 6 lõikest 1 välja sõna „riiklik“. See tekitab õigusliku ebaselguse, kuna eelnõus ja seletuskirjas ei ole defineeritud, mida „statistika“ IKS § 6 kontekstis täpselt tähendab ning millise standardi järgi hinnata, kas andmetöötluse õiguslik alus ja tingimused on täidetud. Samuti jääb praktikas selgusetuks, kuidas tagatakse IKS § 6 ja RStS erisuste koostoime (sh millal ja mis ulatuses tekivad täiendavad menetluslikud kohustused riikliku statistika töödele). Eesti Pank toetab Statistikaameti eelnõu vastuskirjas toodud ettepanekut, et eelnõu tulemusel ei tohi riikliku statistika tegemine muutuda ebaselgemaks ega ebaproportsionaalselt koormavamaks. Sellest tulenevalt palume sätestada IKS § 6-s selgesõnaliselt, et riikliku statistika (RStS tähenduses) tegemisel tuleb jätkuvalt lähtuda RStS erisustest ning riikliku statistika raamistiku loogikast (sh konfidentsiaalsuse ja väljundikontrolli reeglid); ning statistika mõiste avardamine ei tooks automaatselt kaasa riikliku statistika tegijatele täiendavaid menetluslikke kohustusi, kui tegemist on RStS alusel tehtava riikliku statistikaga. Selleks tuleks kas säilitada „riikliku statistika“ mõiste IKS § 6 tekstis või luua eraldi norm, mis viitab RStS erisuste kohaldamisele riikliku statistika puhul.
Vt selgitust p 5.1.
18.2 IKS § 6 lg 3 p 2–3 nõuded tuvastatavuse kohta tuleb viia kooskõlla riikliku statistika tööprotsessiga. Eelnõu § 6 lg 3 p 2 sätestab lisatoimingu keelu, mis tooks kaasa isiku tuvastamise, ning p 3 seab tuvastamise vältimise nõude uuringu tulemusele. Riikliku statistika tööprotsessis võivad andmed teatud etappides olla kaudselt tuvastatavad, kuid lõppväljundis välditakse otsest ja kaudset tuvastatavust väljundikontrolli kaudu. Sellest tulenevalt teeme ettepaneku täpsustada eelnõu sõnastust nii, et „lisatoimingu keeld“ ja tuvastatavuse vältimise nõuded oleksid suunatud eeskätt levitamisele ja tulemusele; ning säte ei looks olukorda, kus riikliku statistika seaduspärane töötlemine (sh andmete seostamine, kvaliteedikontroll, tuletatud tunnuste arvutamine) muutub õiguslikult küsitavaks juba töötluse vaheetappides.
Vt selgitust 5.1
61
18.3 Pseudonüümimise nõue „enne üleandmist“ ei tohi muuta võimatuks riikliku statistika jaoks vajalike andmete kogumist otse andmesubjektilt. Eelnõu § 6 lg 3 p 1 eeldab, et enne isikuandmete üleandmist uuringu tegijale pseudonüümitakse andmed (või rakendatakse samaväärseid kaitsemeetmeid) „päringu saanud andmekogus“. Riikliku statistika tegemine hõlmab mh olukordi, kus andmeid kogutakse otse füüsilistelt isikutelt (nt leibkonnauuringutes) ning pseudonüümimine toimub mõistlikult pärast kogumist töötlusprotsessis, järgides turvameetmeid ja konfidentsiaalsuse reegleid. Sellest tulenevalt teeme ettepaneku täpsustada § 6 lg 3 p 1 rakendust (seletuskirjas ja vajadusel normis) selliselt, et nõue ei välistaks riikliku statistika raames isikuandmete kogumist otse andmesubjektilt isikustatud kujul ning pseudonüümimist seejärel töötlusprotsessis, eeldusel et järgitakse RStS konfidentsiaalsuse ja turvalisuse nõudeid. Eesti Pank on valmis täpsustama oma ettepanekuid ja osalema vajadusel töökoosolekul, et tagada eelnõu kooskõla riikliku statistika toimimise, konfidentsiaalsuse ja andmekaitse põhimõtetega.
Vt selgitust 5.1
19. Sotsiaalministeerium Justiits- ja Digiministeeriumi märge
19.1. Riigiülese andmetaotluste ja eetikamenetluste õiguslik alus Eelnõus puudub riigiülese andmekorralduse tasandil selge õiguslik alus, mis võimaldaks kõigi riiklike andmekogude andmeväljastustaotlusi menetleda ühes keskses keskkonnas ning rakendada praktikas ühe taotluse ja ühe menetluse põhimõtet. Tegemist on kehtiva regulatsiooni ühe keskse probleemiga, mille tulemusel on menetlus killustatud, ajamahukas ning ebaselge nii andmetaotlejatele kui ka andmekogude vastutavatele töötlejatele. Statistikaameti tellimusel on valminud analüüs ning lõppjärgus on Statistikaameti hallatavas taotluste menetluskeskkonna (ERIKA2) riigieelarvest rahastatud arendus, mis võimaldab menetleda kõigi riigi infosüsteemi kuuluvate andmekogude andmeväljastustaotlusi ühes keskses keskkonnas. Analüüs käsitleb ka teadusuuringutes kasutatavate turvaliste andmetöötluskeskkondade nõudeid. Puudub riigiülese andmekorralduse tasandil õiguslik alus, mis võimaldaks kõigil andmekogupidajatel seda lahendust kasutada.
Mittearvestatud. Ühtset andmetaotluste menetlemise keskkonda hetkel ei ole, mistõttu ei ole võimalik ka selle eelnõu raames õigusliku alust sellele luua. Juhul kui keskkond saab valmis tuleb sellele ka õiguslik alus ette näha.
62
Riigiülese taotluskeskkonna loomine tagab läbipaistva menetlusteekonna, vähendab dubleerimist, lühendab menetlusaegu ning vähendab oluliselt halduskoormust. See toetab e-tervise strateegia 2025–2030 eesmärke, andmepõhist poliitikakujundamist ning loob eelduse EHDS-i ja teiste Euroopa Liidu andmeruumide rakendamiseks. Peame vältimatult vajalikuks, et eelnõus sätestataks põhimõte, mille kohaselt menetletakse teadusuuringute (sh teadus- ja arendustegevus, poliitikakujundamine ning eraõiguslik innovatsioon) andmeväljastustaotlusi riigi infosüsteemi kuuluvate andmekogude osas riigiüleselt ühtses, nt Statistikaameti hallatavas menetluskeskkonnas ning vastavad eetikamenetlused viiakse läbi sellega lingitud ETIS platvormil, kui eriseaduses ei ole sätestatud teisiti.
19.2. Kooskõla EHDS-i määrusest tulenevate nõuetega EHDS-i määrus seab liiduülese raamistiku elektrooniliste terviseandmete teiseseks kasutamiseks, nähes ette, et nii isikustatud kui ka pseudonüümitud terviseandmeid töödeldakse üksnes turvalistes töötlemiskeskkondades ning rangete andmekaitse- ja turvanõuete alusel. Kuigi EHDS on otsekohalduv ja selle kohustused rakenduvad järk-järgult tervikliku rakendumiseni 26. märtsis 2029, ei tohiks siseriiklik regulatsioon minna juba täna nende põhimõtetega vastuollu. Eelnõu ei käsitle piisava selgusega terviseandmete töötlemise erisusi uuringute läbiviimise eesmärgil ega anna suunda EHDS-ist tulenevate tulevikunõuete ettevaatavale arvestamisele. Samuti ei ole seletuskirjas piisavalt avatud eelnõu kooskõla EHDS-i rakendusaktidega ning kavandatava riigisisese rollijaotusega. Palume täiendada eelnõu seletuskirja, tuues selgelt esile terviseandmete töötlemise erisused uuringute läbiviimise eesmärgil ning selgitades, et elektrooniliste terviseandmete töötlemine liigub järk-järgult üksnes turvaliste töötlemiskeskkondade kasutamisele. Samuti tuleb täiendada Euroopa Liidu õigusele vastavuse hinnangut.
Arvestatud osalisel, eelnõu ja seletuskirja muudetud. Selgitame. IKS § 6 ja 61 alusel uuringu tarbeks andmetöötlus ja EHDS-i raamistik on kaks paralleelset õigusliku alus andmetöötluseks. Euroopa terviseandmeruumi määruse kontekstis tuleb silmas pidada, et tegemist on alternatiivse mehhanismiga terviseandmete töötlemiseks. EHDS määruse artikli 1 punktide 7 ja 8 kohaselt ei piira EHDS-i määrus liikmesriigi õiguse erisätete kohaldamist. Määruse põhjenduspunkt 52 selgitab lisaks, et määruse eesmärk on luua kogu liidus ühine mehhanism juurdepääsuks elektroonilistele terviseandmetele teiseseks kasutuseks, ilma et see takistaks või asendaks olemasolevaid lepingulisi kokkuleppeid või muid mehhanisme. Andmetöötlussüsteemi tagamiseks vajalike tingimuste sätestamisel on osaliselt arvestatud ka EHDS-iga. Tervishoiu ja sotsiaalvaldkonna terviseandmete töötlemisel kohta on lisatud erisäte, neid andmeid võib töödelda üksnes § 61 tingimustele vastavas andmetöötlussüsteemis.
19.3. Eetikastandardite selgus ja kohustuslikkus terviseandmete teisesel kasutamisel Eelnõu ei taga piisava selguse ja õiguskindlusega kõrget ning ühtset eetikastandardit eri liiki isikuandmete, sh terviseandmete, teisesel kasutamisel.
Arvestatud osaliselt. Eelnõu ja seletuskirja täiendatud. Juhul kui andmeid töödeldakse viisil, mis ei võimalda isikuid tuvastada, siis puudub ka isikute
63
Eetikamenetluse kohaldumine ei saa sõltuda üksnes andmete isikustatuse tasemest, vaid peab arvestama ka uuringu eesmärki, ulatust, metoodikat ning võimalikke riske uuritavatele ja ühiskonnale. Riigikogu menetluses olev inimgeeniuuringute seaduse eelnõu näeb ette terviseandmete uuringueetika koondamise riigikeskse teaduseetika komitee pädevusse ETAGis. Peame vältimatult vajalikuks, et eelnõus kajastuks selgelt terviseandmete erisus ning kooskõla inimgeeniuuringute seaduse eelnõuga. Seletuskirjas on oluline tuua ka nende andmekogude loetelu, mille puhul eetikamenetlus on kohustuslik.
põhiõiguste riive. Seletuskirja täiendatud, juhul kui esineb isiku tuvastamise risk tuleb kohaldada IKS § 6 lõiget 4, eriliiki sikuandmete (sh terviseandmete) puhul tuleb läbida ka eetikakomitee. Lisatud ka tervise infosüsteemi ja geenivaramu näited. Tervishoiu ja sotsiaalvaldkonna terviseandmete töötlemisel kohta on lisatud erisäte, neid andmeid võib töödelda üksnes § 61 tingimustele vastavas andmetöötlussüsteemis.
19.4. Eelnõus ja seletuskirjas vajab ühtlustamist mõistete „teadus- ja ajaloouuring“, „uuring“ ning „statistilisel eesmärgil“ kasutus. Soovitame lähtuda IKÜM-i artiklis 89 kasutatavast terminoloogiast ning vältida paralleelsete ja osaliselt kattuvate (nt „statistikatöö“ riikliku statistika seaduses) mõistete kasutamist, mis tekitab õigusselgusetust.
Arvestatud.
19.5. IKS § 6 lõike 2 vaates on oluline selgemalt eristada teadus- ja arendustegevust TAIKS-i tähenduses asutuste igapäevastest analüütilistest tegevustest, seirest ja aruandlusest. Vastasel juhul laieneksid teadusuuringutele mõeldud erirežiimid põhjendamatult tavapärasele haldusanalüüsile.
Selgitame, et tavapärase haldusanalüüsi osas tuleb isikuandmete töötlemise kategooriad ja eesmärgid seaduse sätestada(IKS § 8 erisus) või ühe andmekogu raames andmetöötlusel lähtuda IKS § 6 lõikest 7.
19.6. IKS § 6 lõikes 3 sätestatud tingimused ei ole kõik kumulatiivselt ega eelkontrollitavalt hinnatavad andmete väljastamise hetkel. Eelkõige ei ole võimalik hinnata uurimistulemuste võimalikku tuvastatavust enne uuringu läbiviimist, mistõttu vajab säte ümberkujundamist või täpsustamist. IKS § 6 lõike 3 punktis 1 – andmete „üleandmise“ mõiste kasutamine ei ole kooskõlas praktikas rakendatavate turvaliste töötlemiskeskkondade loogikaga, kus andmeid ei anta füüsiliselt üle, vaid neile võimaldatakse juurdepääs. Mõistekasutus vajab täpsustamist. IKS § 6 lõike 3 punkt 2 esitatud keeld teha lisatoiminguid, mille tagajärjel saab isiku tuvastada, on liiga üldine ning võib sisuliselt takistada teatud teaduslikult põhjendatud meetodite kasutamist (nt valideerimine). Keelu ulatus ja eesmärk vajavad selgemat määratlemist.
Osaliselt arvestatud. Eelnõu ja seletuskirja täiendatud. Selgitame, et IKS § 6 lõikes 3 on sätestatud tingimused mida uuringu tellija peab järgima. Nende järgmise hindamist teeb vajadusel AKI on järelevalvemenetluse käigus. Andmed tuleb edastada uuringu tellijale selliselt, et isikud ei ole tuvastatavad. Andmete säilitamise osas selgitame, et kohaldub üldine IKÜM põhimõte, tohib säilitada nii kaua, kui see on teadusuuringu eesmärgi saavutamiseks vajalik ning perioodi ei ole üheselt ja kindla ajapiiranguga seaduses ette näha. Ka hea teadustava kohasel säilitab teadlane isikustatud kujul andmeid säilitab nii kaua kui vaja ja nii vähe kui võimalik.
64
IKS § 6 lõike 3 punktis 3 seatud nõue, et uuringu tulemustest ei tohi olla võimalik isikut tuvastada, ei ole proportsionaalne eeltingimus andmete väljastamisel, kuna see sõltub uuringu tulemustest, mitte üksnes algsest kavandist. Ebaselgeks jääb, kes vastutab IKS § 6 lõikes 3 sätestatud tingimuste täitmise kontrolli eest – kas andmekogu vastutav töötleja, andmesaaja või menetluskeskkonna haldaja. Vastutusjaotus vajab selget sätestamist. Eelnõu ei reguleeri IKS § 6 lõikes 3 esitatud tingimustel andmete töötlemisel nende säilitamise tähtaegu pärast uuringu lõppu ega andmete hävitamise või arhiveerimise korda. IKS § 6 lõike 3 punktis 4 ja lõike 6 punktis 3 aga ka §-s 61 korratakse IKÜM-ist tulenevat üldreeglit, et „töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju“. Selline dubleerimine ei suurenda õigusselgust ning võib tekitada tõlgendusvastuolusid. IKS § 6 lõikes 3 esitatud tingimustel andmetöötluse võimaldamisel puudub selgesõnaline keeld uuringu raames saadud andmete edasiseks üleandmiseks kolmandatele isikutele, mis on andmekaitse seisukohalt oluline riskikoht.
19.14. Andmekaitse Inspektsiooni teavitamiskohustus kõigi uuringute puhul ei ole IKÜM-st tuleneva proportsionaalsuse ja riskipõhise lähenemisega kooskõlas ning võib oluliselt suurendada halduskoormust ilma selge lisandväärtuseta järelevalvele. Seda eriti olukorras, kus on võimalik rakendada andmepõhist lahendust, andes AKI-le otsejuurdepääsu uuringutaotluste menetluskeskkonda.
Arvestatud, eelnõu ja seletuskirja muudetud.
19.15. Eelnõus IKS § 6 lõike 6 punktis 2 on ülekaaluka avaliku huvi esinemise hindamine jäetud uuringu tegija otsustada. Palume kaaluda, kas selline lahendus tagab IKÜM-st tuleneva selguse, ettenähtavuse ja erapooletu hinnangu ülekaaluka avaliku huvi esinemisele.
Selgitame, et eriliiki isikundmete puhul hindab eetikakomitee. Isikuandmete puhul on AKI-l võimalik järelevalve korras hinnata, kas oli ülekaalukas avalik huvi.
19.16 Ühtse eetikakomitee loomise kontekstis vajab täpsustamist, millistele uuringutele IKS § 6 lõige 7 eetikamenetluse kohustus laieneb ning kuidas vältida paralleelsete eetikamenetluste tekkimist.
Seletuskirja on täiendatud.
65
19.17. IKS § 6 lõike 9 kontekstis ei ole sama vastutava töötleja poolt omaenda andmete kasutamisel teadusuuringuteks alati põhjendatud kõigi täiendavate kaitsemeetmete rakendamine, kuna isiku tuvastamise võimalus vastutaval töötlejal niikuinii säilib ning meetmete tegelik kaitseväärtus võib olla piiratud. Seetõttu on vajalik IKÜM-st tulenev riskipõhine lähenemine.
Arvestatud, eelnõu ja seletuskirja muudetud.
22.18. IKS § 6 lõike 10 sõnastus on mitmeti mõistetav ning ei võimalda üheselt aru saada, milliseid täiendavaid kohustusi see andmetöötlejale paneb.
Eelnõu muudetud.
19.19. IKS § 6 lõikes 11 kasutatud sõnapaar „analüüsi või“ on üleliigne ning võib põhjendamatult laiendada sätte kohaldamisala.
Eelnõu muudetud.
19.20. IKS § 61 sätted vajavad sisulist kooskõlastamist EHDS-ist tulenevate tulevikunõuetega, et vältida olukorda, kus riigisisene regulatsioon vajab lühikese aja jooksul ulatuslikku ümbertegemist.
Vt selgitust p 19.2.
19.21. Andmetöötlussüsteemide ja turvaliste töötlemiskeskkondade nõudeid tuleks käsitleda ühtse tervikuna, mitte killustatult erinevates sätetes ja seletuskirja osades.
Mittearvestatud. Eelnõu ei reguleeri keskkondi vaid näeb ette tingimused, mis peavad olema tagatud, et IKS § 6 ja 61 alusel oleks lubatud isikuandmeid töödelda.
19.22. Eelnõus kirjeldatud kontrolli- ja auditeerimismehhanismid võivad EHDS- ist tulenevaid tulevasi nõudeid arvestades osutuda ebapiisavaks, kuna EHDS näeb ette selgemad ja rangemad nõuded turvaliste töötlemiskeskkondade kasutamisele, tehniliste standardite rakendamisele, sertifitseerimisele ning regulaarsete sise- ja välisauditite ning riskihindamiste läbiviimisele. Seetõttu vajavad eelnõus kavandatud mehhanismid täiendavat läbimõtlemist ja kooskõlastamist EL õiguse arengusuundadega.
Vt selgitust p 19.2. EHDS-i puhul on tegemist määrusega, mille nõuded selguvad alles tulevikus, mistõttu ei ole selle eelnõu käigus võimalik ka neid arvesse võtta. Vajadusel saab sätteid tulevikus täiendada.
19.23. Eelnõus ette nähtud teavitamis- ja avalikustamiskohustused (§ 6 lõiked 5 ja 7 ning § 61 lõige 7) võivad koos eetikakomitee menetluste, ETISe andmestiku ning EHDS-i raames kavandatavate juurdepääsuloa ja registrilahendustega viia samasisulise teabe mitmekordse esitamise ja avalikustamiseni erinevates menetlustes ja keskkondades. Sellise dubleerimise vältimiseks on vajalik kohustuste parem kooskõlastamine, et mitte suurendada põhjendamatult halduskoormust ega killustada järelevalve- ja avalikustamisinfot.
Vt selgitust p 19.2.
19.24. TAIKS-i ja IKS-i koosmõju seireuuringute, teisese andmekasutuse ning alaealiste kaasamise osas vajab täiendavat õigusselgust ja ühtset käsitlust.
Selgitame. Alaealiste puhul kehtiv sama loogika, mis täisealiste puhul.. Juhul kui töödeldakse alaealiste isikute eriliiki isikuandmeid. Tuleb läbida eetikakomitee.
66
TAIKS kontekstis tekib tõlgenduslik ebakindlus, kas ja millistel juhtudel käsitatakse seireuuringuid teadusuuringutena TAIKS-i tähenduses ning kuidas see mõjutab nõusolekunõuete, eetikakomitee rolli ja IKS § 6 alusel lubatud isikuandmete töötlemise kohaldamist. Eriti probleemne on alaealiste kaasamise regulatsioon, kus TAIKS-ist tulenevad nõusolekunõuded võivad viia olukorrani, kus sisult võrreldavad ja vähese sekkumisega uuringud alluvad erinevatele eetilistele ja õiguslikele reeglitele. Seetõttu on õigusselguse ja hea teadustava huvides vajalik ühtlustada regulatsiooni või kaaluda erisuse kehtestamist riiklikult oluliste, vähese sekkumisega ja anonüümsete seireuuringute puhul.
Juhul kui teadusuuringule kehtivad ka muudest õigusaktides tulenevad nõuded nt TAIKS-ist, eetikakomitee läbimine jms, siis ka need õigusaktid kohalduvad uuringu tegijale.
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Riigikantselei Isikuandmete kaitse seaduse muutmise ja sellega seonduvate teiste seaduste muutmise seadus Edastame isikuandmete kaitse seaduse muutmise ja sellega seonduvate teiste seaduste muutmise seaduse eelnõu Vabariigi Valitsuse istungile. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad:
1. Seaduse eelnõu; 2. Seaduse eelnõu seletuskiri; 3. Seaduse eelnõu seletuskirja lisa.
Kristel Niidas 6208235 [email protected]
Meie 25.05.2026 nr 8-1/10086-15
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|