Andmenõusoleku ja volitustes haldamise andmekogu põhimäärus ning andmekogu infosüsteemide pidamise, haldamise ja kasutamise kord

EELNÕU 26/05/2026

VABARIIGI VALITSUS

MÄÄRUS

Andmenõusoleku ja volitustes haldamise andmekogu põhimäärus ning andmekogu infosüsteemide pidamise, haldamise ja kasutamise kord Määrus kehtestatakse avaliku teabe seaduse § 4310 lõike 6 alusel.

1. peatükk Üldsäte

§ 1. Andmenõusoleku ja volituste haldamise andmekogu Andmenõusoleku ja volituste haldamise andmekogu (edaspidi andmekogud) on riigi infosüsteemi kuuluv andmekogu, mis koosneb andmenõusolekusüsteemist ning volituste haldamise süsteemist. § 2. Andmekogude pidamise eesmärk. Andmekogu peetakse eesmärgiga: 1) võimaldada isikul anda nõusolek oma isikuandmete edastamiseks riigi infosüsteemi kuuluvast andmekogust eraõiguslikule juriidilisele isikule, võtta tagasi antud nõusolekuid, anda isikule ülevaade tema antud nõusolekutest ning tagada toimunud andmevahetuse õiguspärasuse tõendatavus; 2) võimaldada selle vastutaval töötlejal kontrollida juriidilise isiku esindaja või füüsilise isiku volituse olemasolu ja ulatust ning võimaldada isikul keskselt hallata tema poolt ja temale antud volitusi riigi infosüsteemis ning mis koosneb andmenõusolekusüsteemist ning volituste haldamise süsteemist.

2. peatükk Andmenõusolekusüsteem, selle haldamine ja kasutamine

§ 3. Andmenõusolekusüsteem (1) Andmenõusoleku süsteem on organisatsiooniline, tehniline ja õiguslik raamistik, mis koosneb andmeedastuse nõusoleku infosüsteemist, andmeedastuse nõusoleku andmestikust ning andmeedastuse nõusoleku süsteemi haldamise ja kasutamise tingimustest. (2) Andmeedastuse nõusoleku süsteem võimaldab füüsilisel isikul (andmesubjekt) anda riigi infosüsteemi kuuluva andmekogu vastutavale töötlejale tema kohta riigi infosüsteemi kuuluvas andmekogus sisalduvate isikuandmete edastamiseks infosüsteemide andmevahetuskihi kaudu eraõiguslikule juriidilisele isikule (andmesaaja). § 4. Andmeedastuse nõusoleku andmeandja ja liidestamine andmeedastuse nõusoleku süsteemiga (1) Andmeedastuse nõusolekuandmeandja (andmeandja) määruse tähenduses on riigi infosüsteemi kuuluv andmeedastuse nõusoleku süsteemiga liidestatud andmekogu, millest väljastatakse andmesaajale andmeid. (2) Riigi infosüsteemi kuuluv andmekogu teavitab andmeedastuse nõusoleku süsteemiga liidestumise soovist haldajat, kes korraldab andmeandja liidestamise § 5 lõikes 1 sätestatud liitumiskokkuleppe kohaselt.

2

§ 5. Andmesubjekti nõusoleku andmine, haldamine ja tagasivõtmine (1) Andmesubjekti poolt andmeedastuse nõusoleku süsteemis nõusoleku andmine, haldamine ja tagasivõtmine toimub Eesti teabeväravas. (2) Andmeedastuse nõusoleku süsteemi kasutamine nõusoleku andmiseks, haldamiseks ja tagasivõtmiseks on andmesubjektile tasuta. (3) Andmeandja esitab andmesaaja esitatud teabe põhjal andmesubjektile andmeedastuse nõusoleku süsteemis nõusoleku andmiseks vähemalt järgmise teabe: 1) andmesaaja nimi ja registrikood; 2) andmeandjaks oleva andmekogu nimetus ja selle vastutav töötleja; 3) andmeandjalt andmesaajale edastavad andmesubjekti isikuandmete liigid; 4) eesmärk, milleks andmesaaja isikuandmeid kasutab; 5) isikuandmete töötlemise õiguslik alus; 6) nõusoleku kehtivusaeg; 7) andmesubjekti õigus andmeedastuse nõusoleku süsteemis antud nõusolek igal ajal tagasi võtta; 8) andmenõusoleku andmekogu haldaja ning tema õigused ja kohustused. § 6. Andmeedastuse nõusoleku süsteemi kasutamise lõppemine Andmeedastuse nõusoleku süsteemi kasutamise lõpetamiseks esitab andmesaaja või andmeandja vastutav töötleja haldajale asjakohase tahteavalduse.

3. peatükk Andmeedastuse nõusoleku andmestik

§ 7. Andmeedastuse nõusoleku andmestik (1) Andmeedastuse nõusoleku andmestiku (nõusoleku andmestik) eesmärk on võimaldada andmeandja vastutaval töötlejal kontrollida andmesubjekti nõusoleku olemasolu ja ulatust andmete edastamiseks andmesaaja vastutavale töötlejale ning tagada toimunud andmevahetuse õiguspärasuse tõendatavus. (2) Nõusoleku andmestiku ametlik nimetus on „Andmeedastuse nõusoleku süsteemi andmestik“, inglise keeles „Consent Management SystemDatabase“. (3) Nõusoleku andmestiku ametlik lühinimetus on „Nõusolek“, inglise keeles „Consent“. § 8. Andmeedastuse nõusoleku andmestiku pidamise viis Nõusoleku andmestikku peetakse ühetasandilise elektroonilise andmestikuna. § 9. Andmeedastuse nõusoleku andmestiku vastutava töötleja ülesanded Nõusoleku andmestikuvastutava töötleja: 1) annab andmeandja vastutava töötleja kontaktisikule juurdepääsu nõusoleku andmestikule andmeedastuse infotehnoloogiliseks haldamiseks; 2) annab andmesaajale juurdepääsu nõusoleku andmestikule andmete edastamiseks; 3) haldab nõusoleku andmestiku iseteeninduskeskkonna kasutajakontosid; 4) avab nõusoleku andmestiku infosüsteemide andmevahetuskihi (X-tee) teenuse andmeandja vastutava töötleja kontaktisikule; 5) kogub andmeedastuse nõusoleku süsteemi kasutamise statistikat ja teeb selle andmesaajatele kättesaadavaks; 6) tagab nõusoleku andmestiku kaitsmise abinõud; 7) kontrollib isikukoodi alusel nõusoleku andnud andmesubjekti teovõime piiramist; 8) täidab nõusoleku andmestiku pidamisel õigusaktidest tulenevaid muid ülesandeid. § 10. Andmeedastuse nõusoleku andmestiku ülesehitus

3

Nõusoleku andmestiku koosseisu kuuluvad: 1) andmeandja andmed; 2) andmeandja osutatava andmeteenuse kirjeldus (teenusedeklaratsioon); 3) andmesaaja päritavate andmete kasutamise eesmärk (eesmärgideklaratsioon); 4) andmesubjekti nõusoleku tahteavalduse andmed; 5) nõusoleku alusel toimunud andmeedastuste andmed; 6) andmeandja vastutava töötleja kontaktisiku andmed. § 11. Andmeedastuse nõusoleku andmestikku kantavad andmed (1) Andmeedastuslepingu alusel kantakse andmeandja kohta nõusoleku andmestikku järgmised andmed: 1) andmeandjaks oleva andmekogu nimetus; 2) andmekogu vastutav töötleja; 3) vastutava töötleja registrikood; 4) andmekogu volitatud töötleja; 5) volitatud töötleja registrikood; 6) X-tee alamsüsteemi kood. (2) Teenusedeklaratsiooni kohta kantakse nõusoleku andmestikku järgmised andmed: 1) identifikaator; 2) nimi; 3) väljastatava andmekoosseisu kirjeldus; 4) tehniline kirjeldus; 5) nõusoleku maksimaalne kehtivusaeg; 6) teenusedeklaratsiooniga seotud X-tee teenuse kood; 7) kehtivusaja lõppkuupäev. (3) Eesmärgideklaratsiooni kohta kantakse nõusoleku andmestikku järgmised andmed: 1) andmesaaja nimi; 2) andmesaaja registrikood; 3) eesmärgideklaratsiooni identifikaator; 4) asjassepuutuva teenusedeklaratsiooni identifikaator; 5) osutatava teenuse nimetus; 6) andmete kasutamise eesmärgi kirjeldus; 7) eesmärgideklaratsiooni kehtivuse lõppkuupäev. (4) Andmesubjekti ja tema nõusoleku kohta kantakse nõusoleku andmestikku järgmised andmed: 1) isikukood; 2) eesnimi; 3) perekonnanimi; 4) lõikes 1 nimetatud andmed; 5) lõike 2 punktides 1–3 nimetatud andmed; 6) lõike 3 punktides 1–6 nimetatud andmed; 7) nõusoleku andmise aeg; 8) nõusoleku tagasivõtmise aeg; 9) nõusoleku kehtivuse lõppkuupäev; 10) nõusoleku viide. (5) Nõusoleku alusel edastatud andmete kohta kantakse nõusoleku andmestikku järgmised andmed: 1) andmeedastuse kuupäev; 2) andmeedastuse aluseks olnud nõusoleku viide. (6) Andmeandja vastutava töötleja kontaktisiku kohta kantakse nõusoleku andmestikku järgmised andmed: 1) eesnimi; 2) perekonnanimi; 3) isikukood; 4) e-posti aadress.

4

§ 12. Andmeedastuse nõusoleku andmestikku andmete esitamine Nõusoleku andmestikku esitab andmeid: 1) andmesaaja; 2) andmesubjekt; 3) andmeandja. § 13. Andmete õigsuse tagamine (1) Andmeandja ja andmesaaja teavitavad nõusoleku andmestiku andmetes vigade avastamisel viivitamata nõusoleku andmestiku vastutavat töötlejat. (2) Kui andmeandja või andmesaaja teatab ebaõigetest andmetest, on nõusoleku andmestiku vastutav töötleja kohustatud kontrollima andmete õigsust ja ebaõiged andmed parandama. § 14. Andmeedastuse nõusoleku andmestiku andmetele juurdepääs (2) Andmesubjektil on juurdepääs § 11 lõigetes 4 ja 5 nimetatud andmetele Eesti teabevärava kaudu. (3) Andmeandja vastutaval ja volitatud töötlejal on juurdepääs asjaomase andmekoguga seotud § 11 lõigetes 1–4 nimetatud andmetele. (4) Andmesaajal on juurdepääs § 11 lõike 3 punktis 3 ja lõike 4 punktides 8–10 nimetatud andmetele. § 15. Andmeedastuse nõusoleku andmestiku turvaklass ja turbeaste Nõusoleku andmekogu turvaklass on K2T3S2 ja turbeaste kõrge (H). § 16. Andmeedastuse nõusoleku andmestiku andmete kaitse Andmeedastuse nõusoleku haldamise andmestiku vastutav töötleja tagab andmestiku andmete käideldavuse, tervikluse ja konfidentsiaalsuse organisatsiooniliste, füüsiliste ja infotehnoloogiliste turvameetmetega.

4. peatükk Andmeedastuse nõusoleku andmekogu pidamise ja likvideerimise kord ning logimine

§ 17. Andmekogu pidamise ja likvideerimise kord (1) Andmeedastuse nõusoleku andmekogu hooldus- ja arendustöid ning pidamist rahastatakse riigieelarvest vastutavale töötlejale selleks eraldatud rahast. (2) Andmeedastuse nõusoleku andmekogu pidamise lõpetamine otsustatakse kooskõlas asjakohastes seadustes sätestatud nõuetega. (3) Andmeedastuse nõusoleku andmekogu likvideerimise korral otsustatakse andmete teise andmekogusse või avalikku arhiivi üleandmine või hävitamine ja nende üleandmise või hävitamise tähtaeg. § 18. Andmete logimine ja säilitamine (1) Andmenõusoleku andmekogu andmete esitamine, muutmine, kustutamine ja kasutamine logitakse.

(2) Andmeõusoleku andmekogus töödeldavaid andmeid ja logisid

säilitatakse kolm aastat pärast tahteavalduse või nõusoleku kehtivuse lõppemist.

5. peatükk Volituste haldamise süsteem, selle haldamine ja kasutamine

§ 19. Volituste haldamise süsteem

5

(1) Volituste haldamise süsteem on organisatsiooniline, tehniline ja õiguslik raamistik, mis koosneb volituste haldamise infosüsteemist, volituste haldamise andmestikust ning volituste haldamise süsteemi haldamise ja kasutamise tingimustest. (2) Volituste haldamise süsteem võimaldab juriidilise isiku esindajal või füüsilisel isikul (lõppkasutaja) keskselt hallata tema antud ning temale antud volitusi riigi infosüsteemis. (3) Volituste haldamise süsteemi ametlik nimetus on „Pääsuke“. § 20. Volituste haldamise süsteemi andmeandja ja tema liidestumine (1) Volituste haldamise süsteemi andmeandja määruse tähenduses on volituste haldamise süsteemiga liidestunud riigi- või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik või avalikke ülesandeid täitev eraõiguslik isik, kes väljastab haldajale volituste haldamise süsteemis antavate volitusega seotud vajalikke andmeid. (2) Riigi- või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik või avalikke ülesandeid täitev eraõiguslik isik, kes soovib volituste haldamise süsteemiga andmeandjana liidestuda, teavitab oma soovist haldajat, kes korraldab liidestamise. Liidestamine toimub haldusakti või liidestuda sooviva riigi- või kohaliku omavalitsuse asutuse, muu avalik-õigusliku juriidilise isiku või avalikke ülesandeid täitva eraõigusliku isiku ja haldaja vahelise liitumiskokkuleppe alusel, milles määratakse kindlaks teenustaseme tingimused ning poolte õigused, kohustused ja vastutus. (3) Volituste haldamise andmeandja kohandab oma infosüsteemi tööks volituste haldamise süsteemi keskkonnas.

§ 21. Volituste haldamise süsteemi lõppkasutaja (1) Volituste haldamise süsteemi lõppkasutaja on füüsiline isik või juriidilise isiku esindaja, kellel on volituste haldamise süsteemis Eesti teabevärava kaudu õigus hallata tema poolt või talle antud volitusi. (2) Füüsilisest isikust lõppkasutaja isik tõendatakse ja isikusamasus tuvastatakse digitaalset tuvastamist võimaldava sertifikaadi alusel. (3) Juriidilise isiku esindajast lõppkasutaja isik tõendatakse ja isikusamasus tuvastatakse elektroonilise avalduse, äriregistri, mittetulundusühingute ja sihtasutuste registri või teise riigi vastava andmekogu andmete ja digitaalset tuvastamist võimaldava sertifikaadi alusel. (4) Riigiasutuse ja kohaliku omavalitsuse üksuse organi ja asutuse esindusõiguslikust isikust lõppkasutaja isik tõendatakse ja isikusamasus tuvastatakse asjaomase andmekogu või elektroonilise avalduse ja digitaalset tuvastamist võimaldava sertifikaadi alusel. § 22. Lõppkasutaja volituste haldamine (1) Lõppkasutaja poolt volituste haldamise süsteemis volituste haldamine toimub Eesti teabeväravas. (2) Volituste haldamise süsteemi kasutamine volituste haldamiseks on lõppkasutajale tasuta. § 23. Volituste haldamise süsteemi andmesaaja ja tema liidestumine (1) Volituste haldamise süsteemi andmesaaja määruse tähenduses on volituste haldamise süsteemiga liidestunud riigi- või kohaliku omavalitsuse asutus või juriidiline isik, kes annab lõppkasutajale õiguse volituste haldamise süsteemis antud volituse alusel oma süsteemis tegutseda. (2) Volituste haldamise süsteemiga liidestumise soovist teavitab andmesaaja haldajat, kes korraldab andmesaaja liidestamise. Liidestumine toimub andmesaaja, valdkonna eest vastutava ministeeriumi ning haldaja vahelise liitumiskokkuleppe alusel, milles määratakse kindlaks teenustaseme tingimused ning poolte õigused, kohustused ja vastutus.

6

§ 24. Volituste haldamise süsteemi kasutamise lõppemine Volituste haldamise süsteemi kasutamise lõpetamiseks esitab andmeandja või andmeandja saaja haldajale avaludse. § 25. Lõppkasutaja volituste haldamine (1) Lõppkasutaja poolt volituste haldamise süsteemis volituste haldamine toimub Eesti teabeväravas. (2) Volituste haldamise süsteemi kasutamine volituste haldamiseks on lõppkasutajale tasuta. § 26. Volituste haldamise süsteemi andmesaaja ja tema liidestumine (1) Volituste haldamise süsteemi andmesaaja määruse tähenduses on volituste haldamise süsteemiga liidestunud riigi- või kohaliku omavalitsuse asutus või juriidiline isik, kes annab lõppkasutajale õiguse volituste haldamise süsteemis antud volituse alusel oma süsteemis tegutseda. (2) Volituste haldamise süsteemiga liidestumise soovist teavitab andmesaaja haldajat, kes korraldab andmesaaja liidestamise. Liidestumine toimub andmesaaja, valdkonna eest vastutava ministeeriumi ning haldaja vahelise liitumiskokkuleppe alusel, milles määratakse kindlaks teenustaseme tingimused ning poolte õigused, kohustused ja vastutus. § 27. Volituste haldamise süsteemi kasutamise lõppemine Volituste haldamise süsteemi kasutamise lõpetamiseks esitab volituste haldamise andmeandja või volituste haldamise andmesaaja haldajale avalduse.

6. peatükk Volituste haldamise peatükk

§ 28. Volituste haldamise andmestiku vastutava töötleja ülesanded Volituste haldamise andmestikuvastutava töötleja: 1) tagab volituste haldamise andmestiku haldamise ja arendamise ning andmevahetuse õiguspärasuse; 2) tagab volituste haldamise andmestiku kaitsmise abinõud; 3) kontrollib volituste haldamise andmestikus hallatava volituse kehtivust, sealhulgas seaduses sätestatud juhtudel isikukoodi alusel esindusõiguse volitamise tahteavaldust tegeva lõppkasutaja teovõime piiramise andmeid; 4) täidab volituste haldamise andmestiku pidamisel õigusaktidest tulenevaid muid ülesandeid. § 29. Volituste haldamise andmestikku kantavad andmed (1) Volituste haldamise andmeandja kohta kantakse volituste haldamise andmestikku järgmised andmed: 1) andmekogu vastutava töötleja andmed; 2) volitatud töötleja olemasolul tema andmed; 3) X-tee alamsüsteemi kood ja edastatava andmekoosseisu metaandmed. (2) Lõppkasutaja ja tema volituste kohta kantakse volituste haldamise andmestikku järgmised andmed: 1) lõppkasutaja ees- ja perekonnanimi ning isikukood, juriidilise isiku seadusliku esindaja kui lõppkasutaja korral ka isikukoodi riik või sünniaeg roll juriidilises isikus ja esindusõiguse kord; 2) lõppkasutaja seadusjärgse esindusõiguse andmed; 3) lõppkasutajale volitusega antud esindusõiguse andmed; 4) lõppkasutaja poolt volitusega antud esindusõiguse andmed. (3) Lõppkasutaja ja tema volituste kohta võib volituste haldamise andmestikku kanda järgmised andmed: 1) lõppkasutaja seadusliku esindaja andmed; 2) andmed isiku kohta, kelle seaduslik esindaja lõppkasutaja on;

7

3) volituse andmisel, edasivolitamisel ja volituse tagasivõtmisel lõppkasutaja teovõime piiramise andmed; 4) volituse andja, edasivolitaja ja tagasivõtja digiallkiri; 5) andmed esindusõiguse edasivolitamise õiguse kohta; 6) esindusõiguse andmise ja lõppemise alus; 7) volituse lõppemise aeg. (4) Lisaks lõigetes 1–3 sätestatule kantakse volituste haldamise andmestikku järgmised andmed: 1) volituste haldamise andmesaaja vastutava töötleja andmed; 2) volituste haldamise andmesaaja volitatud töötleja olemasolul tema andmed; 3) andmetöötlustoimingute logid. § 30. Volituste haldamise andmestikku andmete esitamine (1) Volituste haldamise andmestikku esitavad andmeid volituste haldamise andmeandjad ja lõppkasutajad. (2) Rahvastikuregistrist saab volituste haldamise andmestik järgmised andmed: 1) lõppkasutaja ees- ja perekonnanimi, isikukood ja andmed tema elusoleku kohta; 2) volituse andmisel, edasivolitamisel ja volituse tagasivõtmisel lõppkasutaja teovõime piiramise andmed; 3) lõppkasutaja seadusliku esindaja andmed; 4) andmed isiku kohta, kelle seaduslik esindaja lõppkasutaja on. (3) Äriregistrist saab volituste haldamise andmestik järgmised andmed: 1) juriidilise isiku nimi, ettevõtjal ärinimi; 2) juriidilise isiku registrikood; 3) juriidilise isiku staatus registris; 4) juriidilise isiku seadusliku esindaja ees- ja perekonnanimi, isikukood ning isikukoodi riik; 5) juriidilise isiku seadusliku esindaja roll juriidilises isikus ja esindusõiguse kord. (4) Volituste haldamise andmestik saab andmeid lõigetes 2 ja 3 nimetatud andmete muutmise kohta. § 31. Volituste haldamise andmestiku andmete õigsuse tagamine (1) Volituste haldamise andmeandja ja lõppkasutaja teavitavad viivitamata volituste haldamise andmestiku vastutavat töötlejat ebaõigetest andmetest volitustehaldamise andmestikus. (2) Lõikes 1 nimetatud teavitamise korral või kui volituste haldamise andmestiku vastutav töötleja ise saab teada volituste haldamise andmestiku andmete ebaõigsusest, on ta kohustatud kontrollima andmete õigsust ja nende ebaõigsuse korral need viivitamata parandama. § 32. Juurdepääs volituste haldamise andmestikku kantud andmetele ja andmete väljastamine (1) Lõppkasutajale tagatakse temaga seotud andmetele juurdepääs volituste haldamise andmestiku iseteeninduskeskkonna kaudu. (2) Volituste haldamise andmesaajatele tagatakse juurdepääs tema süsteemi edastavatele andmetele X-tee kaudu haldajaga sõlmitud liitumiskokkuleppe kohaselt. § 33. Volituste haldamise andmestiku andmete kaitse Volituste haldamise andmestiku vastutav töötleja tagab andmestiku andmete käideldavuse, tervikluse ja konfidentsiaalsuse organisatsiooniliste, füüsiliste ja infotehnoloogiliste turvameetmetega. § 34. Volituste haldamise andmestiku turvaklass ja turbeaste Volituste haldamise andmestiku turvaklass on vähemalt K1T1S1 ja turbeaste madal (L).

8

7. peatükk Volituste haldamise andmekogu pidamise ja likvideerimise kord ning logimine

§ 35. Andmekogu pidamise ja likvideerimise kord (1) Volituste haldamise andmekogu hooldus- ja arendustöid ning pidamist rahastatakse riigieelarvest vastutavale töötlejale selleks eraldatud rahast. (2) Volituste haldamise andmekogu pidamise lõpetamine otsustatakse kooskõlas asjakohastes seadustes sätestatud nõuetega. (3) Volituste haldamise andmekogu likvideerimise korral otsustatakse andmete teise andmekogusse või avalikku arhiivi üleandmine või hävitamine ja nende üleandmise või hävitamise tähtaeg. § 36. Andmete logimine ja säilitamine (1) Volituste haldamise andmekogu andmete esitamine, muutmine, kustutamine ja kasutamine logitakse. (2) Volituste haldamise süsteemi andmekogus sisalduvaid andmeid ja logisid säilitatakse kolm aastat pärast volituse lõppemist. § 37. Määruse jõustumine Määrus jõustub üldises korras. Kristen Michal peaminister Liisa-Ly Pakosta justiits- ja digiminister Keit Kasemets riigisekretär

1

25.05.2026

Justiits- ja digiministri määruse „Andmenõusoleku ja volituste haldamise andmekogu põhimäärus ning andmekogu infosüsteemide pidamise, haldamise ja kasutamise kord“ eelnõu

seletuskiri 1. Sissejuhatus Eelnõukohase määrusega on kavandatud kehtestada andmenõusoleku ja volituste haldamise andmekogu põhimäärus ning andmekogu infosüsteemide pidamise, haldamise ja kasutamise kord. Eelnõu eesmärk on luua ühtne, turvaline ja läbipaistev õiguslik, organisatsiooniline ja tehniline raamistik füüsiliste isikute isikuandmete edastamiseks nende nõusoleku alusel ning volituste andmiseks ja haldamiseks riigi infosüsteemides. Andmenõusolekusüsteemiga võimaldatakse isikutel kasutada paremaid ja mugavamaid avalikke e-teenuseid, sh oma õigusi tõhusamalt hallata. Volituste haldamise süsteemiga võimaldatakse isikul avaliku e-teenuse kaudu tema antud ning temale antud volitusi riigi infosüsteemis keskselt, mugavamalt, kiiremalt ja efektiivsemalt hallata. Volituste haldamise süsteemi õiguslik alus on seotud keskselt pakutava volituse süsteemiga Eesti Teabeväravas. 1.1. Sisukokkuvõte Eelnõus sätestatakse andmeedastuse nõusoleku süsteemi ja volituste haldamise süsteemi mõiste, eesmärk ning toimimispõhimõtted. Määratakse süsteemide haldaja ning andmeandjate, andmesaajate ja lõppkasutajate õigused ja kohustused. Samuti sätestatakse nõusoleku andmise, haldamise ja tagasivõtmise kord ning luuakse andmenõusoleku ja volituste haldamise andmekogu koos selle pidamise, juurdepääsu, logimise, turbe ja andmete töötlemise tingimustega. Lisaks kirjeldatakse andmekogu pidamise, logimise ja likvideerimise põhimõtteid. 1.2. Eelnõu ettevalmistaja Eelnõu ja seletuskirja koostas Justiits- ja Digiministeeriumi (edaspidi JDM) digiriigi osakonna IT-õiguse talituse IT-õiguse nõunik Cyrsten Rohumaa (5886 4212, [email protected]), AI ja andmete talituse andmete taaskasutuse programmijuht Regiina Sepp (5448 0013, [email protected]) ja RIA õigusosakonna juhataja Silver Lusti (teenistusest lahkunud, [email protected]). Volituste haldamise süsteemi puudutava eelnõu osa on koostanud Majandus- ja Kommunikatsiooniministeeriumi (edaspidi MKM) digimajanduse osakonna ettevõtja digivärava jurist Triin Tõnisson (teenistusest lahkunud, [email protected]) ja RIA õigusosakonna juhataja Silver Lusti (teenistusest lahkunud, [email protected]) Valdkonna eest vastutav on digiriigi asekantsler Lauri Luht ([email protected]). Eelnõu ja seletuskirja on keeleliselt toimetanud JDM-i õiguspoliitika osakonna õigusloome korralduse talituse toimetaja Aili Sandre ([email protected]). 1.3. Märkused Eelnõuga täpsustatakse avaliku teabe seaduse § 43¹⁰ lõike 6 alusel antava määruse tasandil süsteemide toimimise korralduslikke ja tehnilisi aspekte. Eelnõu ei ole otseselt seotud teiste praegu menetluses olevate eelnõudega ega Euroopa Liidu õiguse rakendamisega. Kaudselt toetab eelnõu Euroopa andmestrateegia elluviimist. Eelnõu on seotud 19. juunil 2025. a Vabariigi Valitsuse kinnitatud tegevusprogrammi tegevusega „Avaliku teabe seaduse muutmine Eesti Teabevärava õigusliku regulatsiooni täiendamiseks seoses sündmusteenusega“.

2

Avaliku teabe seaduse § 4310 lõikega 6 antakse Vabariigi Valitsusele volitus kehtestada andmekogu põhimäärus ja infosüsteemide pidamise, haldamise ning kasutamise kord. 2. Eelnõu sisu ja võrdlev analüüs Eelnõus on koosneb 7-st peatükist ja 37-st paragrahvist. Paragrahvis 1 sätestatakse, et riigi infosüsteemi koosseisu kuulub andmenõusoleku ja volituste haldamise andmekogu. Need andmekogud koosnevad andmenõusolekusüsteemist ja volituste haldamise süsteemist, mille kaudu hallatakse andmete kasutamise nõusolekuid ning volitusi. Andmenõusoleku andmekogu on infosüsteem, kuhu kogutakse ja kus säilitatakse inimeste antud nõusolekuid oma andmete jagamiseks. Selle andmekogu eesmärk on koguda ja säilitada inimeste antud nõusolekuid, võimaldamaks edastada isikuandmeid riigi infosüsteemi kuuluvast andmekogust eraõiguslikule juriidilisele isikule. Samuti võimaldab teenus teha tahteavalduse oma isikuandmete ülekandmiseks ühest riigi infosüsteemi kuuluvast andmekogust teise.1 Volituste haldamise andmekogu ehk „Pääsuke“ on infosüsteem, mis võimaldab hallata antud juurdepääsuvolitusi ühes kohas ning võimaldab hallata selliseid volitusi, mille alusel tekivad juurdepääsud erinevatesse ametiasutustesse ja klienditeeninduskeskkondadesse.2 Paragrahvis 2 sätestatakse andmekogude pidamise eesmärgid. Andmenõusoleku andmekogu loodi, toetamaks olemasolevate ja potentsiaalsete eraettevõtetest teenusepakkujate motivatsiooni andmepõhiste teenuste arendamiseks ning andmepõhist innovatsiooni ja ettevõtlust, sealjuures säilitada ja arendada e-riigi kuvandit, parandada andmete kvaliteeti.3 Volituste haldamise süsteem loodi, kuna puudusid lahendused, mis võimaldasid hallata ettevõtte esindusõigusi ühest kesksest kohast üle ametiasutuste ja klienditeeninduskeskkondade.4 Paragrahvis 3 lõikes 1 sätestatakse, et andmenõusolekusüsteem on terviklik raamistik, mis hõlmab infosüsteemi, andmestikku ning süsteemi haldamise ja kasutamise tingimusi. Lõikes 2 sätestatakse, et andmenõusolekusüsteem võimaldab inimesel anda nõusoleku tema isikuandmete edastamiseks riigi infosüsteemist eraõiguslikule juriidilisele isikule infosüsteemide andmevahetuskihi kaudu. Andmenõusolekuteenust kasutatavatel teenustel on andmestik tagasivõetud või kehtivate nõusolekute kohta vastava teenuse raames. Andmevahetuskiht ehk X-tee on tehniline ja organisatsiooniline keskkond, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust riigiasutuste vahel ja erasektoriga.5 Teabe vahetamiseks jagab X-tee liige oma andmed ning kõik teised liikmed saavad kokkuleppe alusel seda infot kasutada. Kuna X-teega liitunud süsteeme on palju, saavad X-tee liikmed oma äriprotsesside tõhustamiseks kasutada teiste liikmete loodud e-teenuseid ja andmeid.6 Paragrahvis 4 lõikes 1 sätestatakse, et andmeandja on riigi infosüsteemi kuuluv ja andmeedastuse nõusoleku süsteemiga liidestatud andmekogu, millest edastatakse andmeid andmesaajale. Lõikes 2 sätestatakse, et riigi infosüsteemi kuuluv andmekogu peab andmenõusolekusüsteemiga liitumise soovist teavitama haldajat, kes korraldab liidestamise vastavalt liitumiskokkuleppele.

1 Riigi Infosüsteemi Ameti koduleht, andmenõusolekuteenus KKK, https://www.ria.ee/riigi- infosusteem/inimkeskne-andmehaldus/andmenousolekuteenus#too 2 Riigi Infosüsteemi Ameti koduleht, keskne volituste haldamise infosüsteem Pääsuke, https://www.ria.ee/riigi-infosusteem/personaalriik/keskne-volituste-haldamise-infosusteem-paasuke 3 Ernst & Young Baltic AS, Analüüsi aruanne „Nõusolekuteenuse analüüs“, 05.02.2021, lk 12 4 Riigi Infosüsteemi Ameti kodulehekülg, keskne volituste haldamise infosüsteem Pääsuke, https://www.ria.ee/riigi-infosusteem/personaalriik/keskne-volituste-haldamise-infosusteem-paasuke 5 Riigi Infosüsteemi Ameti koduleht, Andmevahetuskiht X-tee, https://www.ria.ee/riigi- infosusteem/andmevahetuse-platvormid/andmevahetuskiht-x-tee 6 X-tee koduleht, X-tee iseteeninduskeskkond, https://www.x-tee.ee/et/home

3

Nõusolekuid saab anda ainult konkreetse teenuse jaoks vajaliku andmekomplekti edastamiseks. Pärast nõusoleku andmist edastatakse riigi käes olevad andmed nõusoleku saanud eraettevõttele.7 Andmenõusolekuteenuse kasutamiseks on vajalik kehtivat tugevat audentimisvahendit, näiteks ID-kaart. Nõusoleku andmine algab küll alati teenusepakkuja keskkonnast, kuid sealt suutakse kasutaja riigiportaali eesti.ee nõusolekut andma. Pärast seda jätkub protsess taas teenusepakkuja keskkonnas.8 Oluline on märkida, et andmekogu ei väljasta andmeid enne, kui nõusoleku olemasolu on süsteemist kinnitust saanud. See tähendab, et inimene on see, kes annab loa konkreetse teenuse raames konkreetsete andmete kasutamiseks. Näiteks, inimene kasutab terviseteenuse rakendust MinuDoc9 retsepti pikendamiseks, siis rakendus küsib inimeselt nõusolekut tema retseptiandmetele riiklikust tervise infosüsteemist TEHIK. Seejärel inimene annab andmeedastuse nõusoleku süsteemis loa edastada juriidilisele isikule üksnes retseptiga seotud andmed, sealjuures ei saa juriidiline isik ligipääsus haigusloo, analüüsitulemuste jmt andmetele. Kõik andmevahetused toimuvad turvalise X-tee kaudu. Andmesaajal on võimalik vaadata talle andmete väljastamiseks antud nõusolekuid. Paragrahvis 5 lõikes 1 sätestatakse, et andmesubjekt saab nõusolekut anda, hallata ja tagasi võtta Eesti teabevärava kaudu. Lõikes 2 sätestatakse, et nõusoleku andmine, haldamine ja tagasivõtmine on andmesubjektile tasuta. Lõikes 3 sätestatakse, et teave, mida andmesubjektile tuleb enne nõusoleku andmist esitada. See hõlmab andmesaaja ja andmeandja andmeid, edastatavate isikuandmete liike, andmete kasutamise eesmärki ja õiguslikku alust, nõusoleku kehtivusaega, õigust nõusolek tagasi võtta ning andmekogu haldaja õigusi ja kohustusi. IKÜM artikkel 12 lõige 5 esimese lause kohaselt artiklite 13 ja 14 kohase teabe esitamine ning artiklite 15–22 ja 34 kohane teavitamine ja meetmete võtmine on tasuta. Ka IKÜM-i põhjenduspunktis 59 on selgitatud, et liikmesriikidel tuleks ette näha kord, millega lihtsustatakse andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid. Paragrahvis 6 sätestatakse, et andmeedastuse nõusoleku süsteemi kasutamise lõpetamiseks peab andmesaaja või andmeandja vastutav töötleja esitama haldajale vastava tahteavalduse. Paragrahvis 7 sätestatakse, et nõusoleku andmestiku eesmärk on võimaldada kontrollida andmesubjekti nõusoleku olemasolu ja ulatust andmete edastamiseks ning tagada toimunud andmevahetuse õiguspärasuse tõendatavus. Lõikes 2 sätestatakse nõusoleku andmestiku ametlik nimetus eesti ja inglise keeles. Lõikes 3 sätestatakse nõusoleku andmestiku ametlik lühinimetus eesti ja inglise keeles. Paragrahvis 8 sätestatakse, et nõusoleku andmestikku peetakse elektroonilise ühetasandilise andmestikuna. See tähendab, et kõik nõusolekute info salvestatakse ühes tasapinnas ilma alamstruktuurideta. Paragrahvis 9 sätestatakse, nõusoleku andmestiku vastutava töötleja ülesanded. Vastutav töötleja korraldab juurdepääsude ja andmevahetuse haldamise, tagab andmestiku turvalisuse, kogub kasutusstatistikat ning täidab muid õigusaktidest tulenevaid kohustusi.

7 Riigi Infosüsteemi Ameti koduleht, andmenõusolekuteenus, https://www.ria.ee/riigi- infosusteem/inimkeskne-andmehaldus/andmenousolekuteenus 8 samas 9 MinuDoc, veebilehekülg, https://www.minudoc.ee/

4

Isikuandmete vastutav töötleja on see ettevõte/asutus, kes määrab kindlaks isikuandmete töötluse eesmärgid ja vahendid.10 Vastutav töötleja annab ka inimesele teavet tema andmete töötlemise tingimuste kohta.11 Paragrahvis 10 sätestatakse nõusoleku andmestiku kuuluvad andmed. Nõusolekuteenuse halduskeskkonnas kuvatakse andmesubjektile andmekasutaja nõusoleku sisu (eesmärgideklaratsiooni ja teenusedeklaratsiooni), mis selgitavad lühidalt, selgelt ning üheselt mõistetavalt teenuse eesmärki ning andmeid, mida andmekogu vastutavalt töötlejalt väljaandmiseks küsitakse.12 Teenusedeklaratsioon on ühe andmekogu poolt pakutava andmeteenuse kirjeldus. Salvestatakse andmekogu vastutava või volitatud töötleja poolt nõusolekuteenuses.13 Eesmärgideklaratsioon on andmete kasutamise eesmärgi kirjeldus. Registreeritakse andmekasutaja poolt nõusolekuteenuses ja see on aluseks nõusolekutaotlustele.14 Paragrahvis 11 lõikes 1sätestatakse andmed, mis kantakse nõusoleku andmestikku andmeandja kohta, sealhulgas andmekogu ja selle töötlejate andmed ning X-tee alamsüsteemi kood. Lõikes 2 sätestatakse teenusedeklaratsiooni kohta andmestikku kantavad andmed. Lõikes 3 sätestatakse eesmärgideklaratsiooni kohta andmestikku kantavad andmed. Lõikes 4 sätestatakse andmesubjekti ja tema nõusoleku kohta andmestikku kantavad andmed, sealhulgas isikuandmed, nõusoleku andmise ja tagasivõtmise aeg ning nõusoleku kehtivus. Lõikes 5 sätestatakse, et andmestikku kantakse andmed nõusoleku alusel toimunud andmeedastuste kohta. Lõikes 6 sätestatakse andmeandja vastutava töötleja kontaktisiku kohta andmestikku kantavad andmed. Paragrahvis 12 sätestatakse nõusoleku andmestikku andmete esitajad. Andmesaaja on andmemääruse15 artikkel 2 punkt 14 kohaselt füüsiline või juriidiline isik, välja arvatud ühendatud toote või seotud teenuse kasutaja, kes tegutseb enda kaubandus-, äri-, ametialase või kutsetegevusega seotud eesmärgil, kellele andmevaldaja teeb andmed kättesaadavaks, sealhulgas kolmas isik, kui kasutaja on esitanud andmevaldajale taotluse või kooskõlas liidu õiguse või liidu õiguse alusel vastu võetud riigisiseste õigusaktide kohase õigusliku kohustusega. Andmesubjekt on määruse (EL) 2016/679 artikli 4 punktis 1 osutatud andmesubjekt16 tuvastatud või tuvastatava füüsilise isik.17

10 Isikuandmete töötleja üldjuhend, lk 8, https://www.aki.ee/sites/default/files/documents/2024- 04/Isikuandmete%20t%C3%B6%C3%B6tleja%20%C3%BCldjuhend.pdf 11 Samas, lk 9 12 Ernst & Young Baltic AS, Analüüsi aruanne „Nõusolekuteenuse analüüs“, 05.02.2021, lk 63, https://www.justdigi.ee/sites/default/files/documents/2024- 12/N%C3%B5usolekuteenuse%20anal%C3%BC%C3%BCs.pdf 13 Samas, lk 8 14 Samas, lk 6 15 Euroopa Parlamendi Ja Nõukogu Määrus (EL) 2023/2854 ühtlustatud õigusnormide kohta, millega reguleeritakse õiglast juurdepääsu andmetele ja andmete kasutamist, millega muudetakse määrust (EL) 2017/2394 ja direktiivi (EL) 2020/1828 (andmemäärus) (ELT L, 22.12.2023, lk 34), Euroopa Parlamendi ja nõukogu määrus (EL) 2023/2854, 13. detsember 2023, ühtlustatud õigusnormide kohta, millega reguleeritakse õiglast juurdepääsu andmetele ja andmete kasutamist, millega muudetakse määrust (EL) 2017/2394 ja direktiivi (EL) 2020/1828 (andmemäärus) 16 Samas, lk 34 17 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 33), Määrus - 2016/679 - ET - GDPR - EUR-Lex

5

Andmeandja võiib AvTS § 435 lg 2 kohaselt olla riigi- või kohaliku omavalitsuse asutused või muud avalik-õiguslikud või eraõiguslikud isikud, kui neil on seadusega või selle alusel antud õigusaktiga sätestatud kohustus andmekogusse andmeid esitada või kui nad teevad seda vabatahtlikult. Paragrahvis 13 lõikes 1 sätestatakse, et andmeandja ja andmesaaja peavad vigaste andmete avastamisel sellest viivitamata teavitama nõusoleku andmestiku vastutavat töötlejat. Lõikes 2 sätestatakse, et vastutav töötleja peab kontrollima teatatud andmete õigsust ning parandama ebaõiged andmed. Isikuandmete kaitse üldmääruse18 (IKÜM) põhjenduspunkti 86 kohaselt tuleb vigastest andmetest teavitada, kui rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et võimaldada andmesubjektil võtta vajalikke ettevaatusabinõusid. Teates tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teade tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutustega.19 IKÜM-i artikkel 5 lõike 1 punkti d kohaselt isikuandmete töötlemisel tagatakse, et isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“). IKÜM-i põhjenduspunkti 39 kohaselt isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamise tõkestamise.20 Paragrahvis 14 lõikes 1 sätestatakse, millistele andmetele on andmesubjektil juurdepääs. Piirang ei ole ette nähtud IKÜM-is ehk andmesubjekt võib paluda ka muul viisil oma andmeid väljastada. Lõikes 2 sätestatakse, millistele andmetel on andemandja vastutaval ja volitatud töötlejatel juurdepääs. Paragrahvis 15 sätestatakse andmeedastuse nõusoleku andmekogu turvaklass ja turbetase. Nõusoleku andmekogu on kõrge turbeastmega infosüsteem turvaklassiga K2T3S2. See tähendab, et andmekogus töödeldavate andmete puhul on nõutav väga kõrge tervikluse kaitse, oluline käideldavus ning keskmisel tasemel konfidentsiaalsus. Süsteemi turvameetmete kavandamisel ja rakendamisel tuleb lähtuda kõrge turbeastmega infosüsteemile kohalduvatest E-ITS/etalonturbe nõuetest.21 K - käideldavus T - terviklus S - konfidentsiaalsus22. Paragrahvis 16 sätestatakse, et nõusoleku andmestiku vastutav töötleja peab tagama andmete käideldavuse, tervikluse ja konfidentsiaalsuse, rakendades selleks organisatsioonilisi, füüsilisi ja infotehnoloogilisi turvameetmeid. IKÜM artikkel 32 kohustab vastutavat rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase, sealhulgas andmete käideldavus, terviklus ja konfidentsiaalsus. See kohustus toob selgelt välja, et vastutaval ja volitatud töötlejal peavad olema paigas asjakohased tehnilised ja korralduslikud meetmed. Turvanõuded tulenevad ka andmekogu vastutavale töötlejale Turvanõuded tulenevad ka andmekogu vastutavale töötlejale KüTS § 3 lõikest 4.

18 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 35), Määrus - 2016/679 - ET - GDPR - EUR-Lex 19 Samas, lk 17 20 Samas, lk 7 21 Eesti Infoturbe standard, veebileht, E-ITS 22 samas

6

Paragrahvis 17 lõikes 1sätestatakse, et andmekogu hooldus-, arendus- ja pidamiskulud kaetakse riigieelarvest vastutavale töötlejale eraldatud vahenditest. Lõikes 2 sätestatakse, et andmekogu pidamise lõpetamine otsustatakse vastavalt õigusaktides sätestatud nõuetele. Lõikes 3 sätestatakse, et andmekogu likvideerimisel otsustatakse andmete üleandmine teisele andmekogule või avalikku arhiivi või nende hävitamine ning määratakse vastav tähtaeg. Andmekogu lõpetamisel tuleb Riigi infosüsteemi haldussüsteemis (RIHA) küsida hinnangut andmekogu tegevuse lõpetamiseks. Hinnangu küsimisel tuleb kirjeldada andmekogu tegevuse lõpetamise asjaolusid.23 Andmekogu tegevuse lõpetamise registreerimine on reguleeritud Vabariigi Valitsuse 28.02.2008 määruse nr 58 „Riigi infosüsteemi haldussüsteem“ § 12. Paragrahvis 18 lõikes 1 sätestatakse andmete logimine. Lõikes 2 sätestatakse andmete säilitamine. IKÜM artikli 5 lõikest 2 tuleneb vastutuse põhimõte, mis nõuab tõendatavust. Põhjenduspunkt 74 kohaselt eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Sellest tulenevalt on logi pidamine asjakohane.24 Logimisnõue tuleneb ka infoturbealastest kohustustest. Küberturvalisuse seaduse (KüTS) § 7 lõike 5 alusel kehtestatud Vabariigi Valitsuse 09.12.2022 määrus nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded" sätestavad turvanõuded, millest tulenevalt logimine on lahutamatu osa. Paragrahvis 19 lõikes 1 sätestatakse, et volituste haldamise süsteem on terviklik raamistik, mis hõlmab infosüsteemi, andmestikku ning süsteemi haldamise ja kasutamise tingimusi. Lõikes 2 sätestatakse, et volituste haldamise süsteem võimaldab juriidilise isiku esindajal või füüsilisel isikul keskselt hallata enda antud ja saadud volitusi riigi infosüsteemis. Lõikes 3 sätestatakse volituste haldamise süsteemi ametlik nimetus. Ettevõtte ja asutuse esindajad saavad Pääsukesest keskse ülevaate tema poolt või talle antud volituste kohta terves Eesti riigi infosüsteemis. Volitusi saab vaadata ja lisada ning juba antud volitusi on võimalik muuta või eemaldada.25 Pääsukese eesmärk on korrastada olemasolev Eesti digiriigi volituste keeruline maailm ja pakkuda uue kvaliteediga innovatiivset, selget ja kasutajasõbralikku volituste haldamise süsteemi.26 Paragrahvis 20 lõikes 1 sätestatakse volituste haldamise süsteemi andmeandja, kelleks võib olla riigi- või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik või avalikke ülesandeid täitev eraõiguslik isik, kes edastab süsteemile volitustega seotud andmeid. Lõikes 2 sätestatakse, et süsteemiga liidestuda sooviv asutus või isik peab sellest haldajat teavitama ning liidestamine toimub haldusakti või liitumiskokkuleppe alusel, milles määratakse poolte õigused, kohustused ja vastutus. Lõikes 3 sätestatakse, et volituste haldamise andmeandja peab kohandama oma infosüsteemi töötamiseks volituste haldamise süsteemi keskkonnas. Paragrahvis 21 lõikes 1 sätestatakse volituste haldamise süsteemi lõppkasutaja, kelleks on füüsiline isik või juriidilise isiku esindaja, kellel on õigus hallata enda antud või saadud volitusi Eesti teabevärava kaudu. Lõikes 2 sätestatakse, et füüsilisest isikust lõppkasutaja isik ja isikusamasus tuvastatakse digitaalset tuvastamist võimaldava sertifikaadi alusel. Lõikes 3 sätestatakse, et juriidilise isiku esindaja isik ja esindusõigus tuvastatakse registriandmete, elektroonilise avalduse ning digitaalset tuvastamist

23 RIHA protsess, Riigi infosüsteemi haldussüsteemi veebileht, https://abi.ria.ee/riha/riha-kui-protsess 24 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 15), Määrus - 2016/679 - ET - GDPR - EUR-Lex 25 Keskne volituste haldamise infosüsteem Pääsuke, RIA koduleht, https://www.ria.ee/riigi- infosusteem/personaalriik/keskne-volituste-haldamise-infosusteem-paasuke 26 Keskne volituste haldamise süsteem Pääsuke, dokumentatsioon, lk 1, Keskne-volituste-haldamise- susteem-Paasuke-aprill2026 (1).pdf

7

võimaldava sertifikaadi alusel. Lõikes 4 sätestatakse, et riigiasutuse või kohaliku omavalitsuse üksuse esindaja isik ja esindusõigus tuvastatakse asjaomase andmekogu või elektroonilise avalduse ning digitaalset tuvastamist võimaldava sertifikaadi alusel. Sertifikaat seob isiku tema avaliku ja salajase võtmega. Sertifikaadis on kirjas isikuandmed, sealhulgas nimi ja isikukood ning unikaalne võti avalikuks kasutuseks.27 Paragrahvis 22 lõikes 1sätestatakse, et lõppkasutaja saab volitusi hallata Eesti teabevärava kaudu. Lõikes 2 sätestatakse, et volituste haldamise süsteemi kasutamine on lõppkasutajale tasuta. Paragrahvis 23 lõikes 1 sätestatakse volituste haldamise süsteemi andmesaaja, kelleks on süsteemiga liidestunud riigi- või kohaliku omavalitsuse asutus või juriidiline isik, kes võimaldab lõppkasutajal volituse alusel oma süsteemis tegutseda. Lõikes 2 sätestatakse, et andmesaaja peab süsteemiga liidestumise soovist teavitama haldajat ning liidestumine toimub liitumiskokkuleppe alusel, milles määratakse poolte õigused, kohustused ja vastutus. Paragrahvis 24 sätestatakse volituste haldamise süsteemi kasutamise lõppemise kord. Paragrahvis 25 lõikes 1 sätestatakse, et lõppkasutaja saab volitusi hallata Eesti teabevärava kaudu. Lõikes 2 sätestatakse, et volituste haldamise süsteemi kasutamine on lõppkasutajale tasuta. Paragrahvis 26 lõikes 1sätestatakse volituste haldamise süsteemi andmesaaja, kelleks on süsteemiga liidestunud riigi- või kohaliku omavalitsuse asutus või juriidiline isik, kes võimaldab lõppkasutajal tegutseda süsteemis antud volituse alusel. Lõikes 2 sätestatakse, et andmesaaja peab liidestumise soovist teavitama haldajat ning liidestumine toimub liitumiskokkuleppe alusel, milles määratakse teenustaseme tingimused ning poolte õigused, kohustused ja vastutus. Paragrahvis 27 sätestatakse volituste haldamise süsteemi kasutamise lõppemise kord. Paragrahvis 28 sätestatakse volituste haldamise andmestiku vastutava töötleja ülesanded. Vastutav töötleja korraldab andmestiku haldamise ja arendamise, tagab andmete turvalisuse ja andmevahetuse õiguspärasuse ning kontrollib volituste kehtivust ja täidab muid õigusaktidest tulenevaid kohustusi. Vastutav töötleja on see ettevõte/asutus, kes määrab kindlaks isikuandmete töötluse eesmärgid ja vahendid.28 Vastutav töötleja annab ka inimesele teavet tema andmete töötlemise tingimuste kohta.29 Paragrahvis 29 lõikes 1sätestatakse andmed, mis kantakse volituste haldamise andmestikku andmeandja kohta. Lõikes 2 sätestatakse lõppkasutaja ja tema volituste kohta andmestikku kantavad andmed, sealhulgas isikuandmed ning seadusjärgse ja volituse alusel antud esindusõiguse andmed. Lõikes 3 sätestatakse täiendavad andmed, mida võib lõppkasutaja ja tema volituste kohta andmestikku kanda. Lõikes 4 sätestatakse täiendavad andmed, mis kantakse volituste haldamise andmestikku, sealhulgas andmesaaja töötlejate andmed ning andmetöötlustoimingute logid. Paragrahvis 30 lõikes 1 sätestatakse, et volituste haldamise andmestikku esitavad andmeid volituste haldamise andmeandjad ja lõppkasutajad. Lõikes 2 sätestatakse, et andmed, milliseid andmeid volituste haldamise andmestik saab rahvastikuregistrist. Lõikes 3 sätestatakse milliseid andmeid volituste haldamise andmestik saab äriregistrist. Lõikes 4 sätestatakse, et volituste haldamise andmestik saab andmeid ka lõigetes 2 ja 3 nimetatud andmete muudatuste kohta. Paragrahvis 31 lõikes 1 sätestatakse, et volituste haldamise andmeandja ja lõppkasutaja peavad ebaõigete andmete avastamisel sellest viivitamata teavitama vastutavat töötleja. Lõikes 2 sätestatakse, et vastutav töötleja peab kontrollima andmete õigsust ning ebaõiged andmed viivitamata parandama.

27 Riigi Infosüsteemi Ameti veebileht, Elektrooniline identiteet eID, https://www.ria.ee/riigi- infosusteem/elektroonilise-identiteedi-teenused/elektrooniline-identiteet-eid#sertifikaat 28 Isikuandmete töötleja üldjuhend, lk 8, https://www.aki.ee/sites/default/files/documents/2024- 04/Isikuandmete%20t%C3%B6%C3%B6tleja%20%C3%BCldjuhend.pdf 29 Samas, lk 9

8

Paragrahvis 32 lõikes 1 sätestatakse, et lõppkasutajal on juurdepääs temaga seotud andmetele volituste haldamise andmestiku iseteeninduskeskkonna kaudu. Lõikes 2 sätestatakse, et andmesaajatele võimaldatakse juurdepääs nende süsteemi edastatavatele andmetele X-tee kaudu vastavalt liitumiskokkuleppele. Paragrahvis 33 sätestatakse volituste haldamise andmestiku andmete kaitse kord. IKÜM art 32 kohustab vastutavat ja volitatud töötlejat rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase, sealhulgas andmete käideldavus, terviklus ja konfidentsiaalsus. IKÜM artikkel 32 toob selgelt välja, et vastutaval ja volitatud töötlejal peavad olema paigas asjakohased tehnilised ja korralduslikud meetmed. Turvanõuded tulenevad ka andmekogu vastutavale töötlejale KüTS § 3 lõikest 4. Paragrahvis 34 sätestatakse volituste haldamise andmestiku turvaklass ja turbetase. Nõusoleku andmekogu on vähemalt K1T1S1 ja turbeaste madal (L).30 K - käideldavus T - terviklu S - konfidentsiaalsus31. Paragrahvis 35 lõikes 1 sätestatakse, et volituste haldamise andmekogu hooldus-, arendus- ja pidamiskulud kaetakse riigieelarvest vastutavale töötlejale eraldatud vahenditest. Lõikes 2 sätestatakse, et andmekogu pidamise lõpetamine otsustatakse vastavalt õigusaktides sätestatud nõuetele. Lõikes 3 sätestatakse, et andmekogu likvideerimisel otsustatakse andmete üleandmine teisele andmekogule või avalikku arhiivi või nende hävitamine ning määratakse vastav tähtaeg. Andmekogu lõpetamisel tuleb Riigi infosüsteemi haldussüsteemis (RIHA) küsida hinnangut andmekogu tegevuse lõpetamiseks. Hinnangu küsimisel tuleb kirjeldada andmekogu tegevuse lõpetamise asjaolusid.32 Andmekogu tegevuse lõpetamise registreerimine on reguleeritud Vabariigi Valitsuse 28.02.2008 määruse nr 58 „Riigi infosüsteemi haldussüsteem“ § 12. Paragrahvis 36 lõikes 1 sätestatakse andmete logimine. Lõikes 2 sätestatakse andmete säilitamine. Keskse volituste haldamise süsteemi andmekogus sisalduvaid andmeid ja logisid säilitatakse kolm aastat pärast volituse lõppemist.33 IKÜM artikli 5 lõikest 2 tuleneb vastutuse põhimõte, mis nõuab tõendatavust. Põhjenduspunkt 74 kohaselt eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Sellest tulenevalt on logi pidamine asjakohane.34

30 Eesti Infoturbe standard, veebileht, E-ITS 31 samas 32 RIHA protsess, Riigi infosüsteemi haldussüsteemi veebileht, https://abi.ria.ee/riha/riha-kui-protsess 33 Keskne volituste haldamise infosüsteem (Pääsuke) andmekaitsetingimused, p 5, lk 1, https://www.ria.ee/sites/default/files/documents/2025-01/Paasuke-andmekaitsetingimused.pdf 34 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 15), Määrus - 2016/679 - ET - GDPR - EUR-Lex

9

Logimisnõue tuleneb ka infoturbealastest kohustustest. Küberturvalisuse seaduse (KüTS) § 7 lõike 5 alusel kehtestatud Vabariigi Valitsuse 09.12.2022 määrus nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded" sätestavad turvanõuded, millest tulenevalt logimine on lahutamatu osa. 3. Eelnõu vastavus Euroopa Liidu õigusele Eelnõus arvestatakseisikuandmete kaitse üldmäärusest35 (IKÜM) tulenevate nõuetega ning antakse inimesele kontroll oma andmete üle ja võimaldatakse senisest tõhusamalt kasutada IKÜMist tulenevaid õigusi. 4. Määruse mõjud Mõjusid on põhjalikult analüüsitud avaliku teabe seaduse muutmise seaduse seletuskirjas36.

5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise eeldatavad tulud Tegevused, kulud ja tulud põhjalikult analüüsitud avaliku teabe seaduse muutmise seaduse seletuskirjas.37 6. Määruse jõustumine Määrus jõustub üldises korras. 7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon Määruse eelnõu esitatakse ministeeriumidele kooskõlastamiseks eelnõude infosüsteemi (EIS) kaudu ning arvamuse avaldamiseks järgmistele asutustele ja ühendustele: Andmekaitse Inspektsioon, Eesti Kaubandus-Tööstuskoda, Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon, Tööandjate keskliit, Eesti Linnade ja Valdade Liit, ning Eesti Infotehnoloogia ja Telekommunikatsiooni Liit, Riigi Infosüsteemi Amet ja Registrite ja Infosüsteemide Keskus, Tartu Ülikooli õigusteaduskond, Tallinna Tehnikaülikooli õiguse instituut, Open Knowledge Estonia MTÜ ja Andmekaitse Inspektsioonile, Maa- ja Ruumiametile ja Statistikaametile.

35 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88).Määrus - 2016/679 - ET - GDPR - EUR-Lex. 36 Avaliku teabe seaduse ja keeleseaduse muutmise seaduse eelnõu SE759 seletuskiri (RT I, 06.03.2026, 3), lk 52-55, https://www.riigikogu.ee/tegevus/eelnoud/eelnou/732a1beb-ada4-4720- 866f-113caa264471/avaliku-teabe-seaduse-ja-keeleseaduse-muutmise-seadus/ 37 Samas, lk 59-60

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Ministeeriumid Andmeedastuse nõusoleku ja volituste haldamise süsteemide andmekogu põhimäärus Justiits- ja Digiministeerium esitab ministeeriumitele kooskõlastamiseks ja teistele arvamuse avaldamiseks Vabariigi Valitsuse määruse eelnõu. Palume esitada tagasiside hiljemalt 10 tööpäeva jooksul. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad: 1. Eelnõu 2. Seletuskiri Lisaadressaadid: Tervisekassa Eesti Linnade ja Valdade Liit Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Eesti Kaubandus-Tööstuskoda Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon Tööandjate keskliit Riigi Infosüsteemi Amet Registrite ja Infosüsteemide Keskus Cyrsten Rohumaa 5886 4212 [email protected]

Meie 26.05.2026 nr 8-1/4193-1