Arvamus eelnõule

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Lp Liisa-Ly Pakosta

Justiits- ja Digiministeerium

[email protected]

Teie 26.05.2026 nr 8-1/4194-1

Meie 05.06.2026 nr 2.3-4/26/2189-2

Arvamus eelnõule

Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse 3.

oktoobri 2013. a määruse nr 145 „Eesti teabevärava eesti.ee haldamise, teabe kättesaadavaks

tegemise, arendamise ning kasutamise nõuded ja kord“ muutmise määruse eelnõu.

Meil on eelnõu osas järgmised tähelepanekud.

1. Eelnõu § 1 punktiga 5 muudetakse kehtiva määruse §-i 3. Kui kehtivas redaktsioonis (§ 3

lõige 1) on sõnaselgelt sätestatud, et Riigi Infosüsteemi Amet on teabevärava haldaja

avaliku teabe seaduse tähenduses ning lõigetes 2 ja 3 on loetletud tema õigused ja

kohustused, siis muudatusega kirjeldatakse üksnes kaasvastutavate töötlejate, s.o Justiits-

ja Digiministeeriumi, haldaja ja teabevaldajate ülesandeid ning lisatakse eraldi haldaja

õiguste säte, ilma et haldaja oleks enam üheselt määratletud. Seega eelnõust ei nähtu, kas

tegemist on AvTS-i mõttes andmekogu pidamise rollijaotusega või IKÜM-i1 artikli 26

mõttes isikuandmete kaasvastutusega. Selline sõnastus tekitab ohu, et andmekogu

haldamise vastutus ja isikuandmete töötlemise vastutus segunevad. Rollide segamine aga

põhjustab õiguslikku ebaselgust ning raskendab nii järelevalvet kui ka andmesubjekti

õiguste teostamist.

Andmekaitse Inspektsioon on korduvalt seoses andmekogudega rõhutanud, et IKÜM-ist

tulenev kaasvastutuse mõiste ei asenda andmekogu vastutava töötleja määramist AvTS-i

tähenduses. Andmekogude puhul tuleb eristada andmekogu vastutavat töötlejat ja

isikuandmete töötlemise vastutavat töötlejat, sh nende rollidega seotud kohustusi. Kui

andmekogu vastutava töötleja kohustused on seotud peamiselt AvTS-ist tulenevate

andmekogu haldamisega seotud ülesannetega2, siis IKÜM näeb isikuandmete vastutavale

töötlejale ette mitmeid kohustusi just seoses isikuandmete töötlemisega.

IKÜM artikkel 26 lõige 1 näeb omakorda ette, et kui kaks või enam vastutavat töötlejat

määravad ühiselt (või on seda nende eest teinud ametlikult seadusandja) kindlaks

isikuandmete töötlemise eesmärgid ja vahendid, siis on nad kaasvastutavad töötlejad.

Kaasvastutavate töötlejate vastutuse määramisel isikuandmete töötlemisel tuleb eelkõige

arvesse võtta andmesubjektide õiguste kasutamist ja teabe andmise kohustusi.

Antud juhul jääb aga selgusetuks, milline asutus millist rolli tegelikult andmekogus täidab,

mistõttu ei ole ka selge, milliseid ülesandeid keegi on kohustatud täitma ning mille eest

1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016 , füüsiliste isikute kaitse kohta

isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta 2 AvTS § 43⁴ lõike 1 järgi on andmekogul vastutav töötleja (haldaja), kes korraldab andmekogu kasutusele võtmist,

teenuste ja andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest.

2 (3)

vastutab. Samuti ei ole selge, kuidas tagatakse andmesubjektidele nende õiguste

kasutamine, sh milline asutus või asutused on andmesubjektide jaoks kontaktpunktiks.

Palume eelnõud täiendada selliselt, et oleks selgelt eristatud andmekogu vastutava töötleja

ja vajadusel tehnilisi ülesandeid täitva volitatud töötleja (AvTS-i tähenduses) rollid ning

isikuandmete kaasvastutavate töötlejate (IKÜM-i tähenduses) roll, aga samuti see, millised

on rollidega seotud kohustused/ülesanded ja vastutus.

Samuti juhime tähelepanu uue §-i 3 lõikele 4, mis loetleb teabevaldaja ülesanded, milleks

on: 1) tagada teenuste nõuetekohasus, 2) edastada teavet kokkulepitud viisil ja 3) vastutada

teabe õiguse eest. Palume sõnastust täpsustada. Õigusselguse huvides tuleb eristada

ülesannet ja vastutust. Ülesanne tähendab tegevust, mida asutus peab tegema, vastutus aga

seda, mille eest ta õiguslikult või sisuliselt vastutab. Seetõttu leiame, et ei ole soovitatav

käsitada vastutamist ülesandena. Sättes tuleks kirjeldada ühelt poolt konkreetsed ülesanded

(nt tagada teenuste nõuetekohasus ja edastada teavet) ning teiselt poolt eraldi sätestada,

mille eest vastutatakse (nt vastutab avaldatud teabe õigsuse ja korrastatuse eest). Selline

eristus aitab vältida rollide ja kohustuste hägustumist ning muudab regulatsiooni

adressaatidele paremini arusaadavaks.

2. Eelnõu § 1 punktiga 10 täiendatakse määrust 31 peatükiga (§-d 211–216), mis kirjeldab

isikustatud teabe kuvamise süsteemi, selle haldamist ja kasutamise korda ning annab

loetelu selles töödeldavatest andmetest.

Eelnõu uus § 215 sisaldab küll väga ulatuslikku loetelu andmekogus töödeldavatest

andmetest, kuid samas jätab see mitmes kohas andmekoosseisu avatuks. Eriti probleemsed

on § 215 lõige 7, mille kohaselt kuvatakse lõppkasutajale üksikpäringute puhul andmeid,

mille on teabevaldaja defineerinud teiste õigusaktide alusel ning sama paragrahvi lõike 9

punkt 4, kus viidatakse „elusündmuse või ärisündmusega seotud teistest õigusaktidest

tulenevatele andmetele, sealhulgas isikuandmetele“. Need sätted ei kirjelda

andmekoosseisu ammendavalt, vaid jätavad tegeliku andmestiku ulatuse lahtiseks. Leiame,

et sellised avatud viited tuleks määrusest eemaldada või asendada konkreetse ja

ammendava andmekoosseisuga. Andmekogu põhimäärus ei saa jätta põhiküsimust –

milliseid andmeid andmekogus töödeldakse – teabevaldajate hilisema määratlemise või

üldiste viidete tasandile.

Ühtlasi annab eelnimetatud paragrahvi lõige 3 sätte sissejuhatava lause kohaselt loetelu

Eestis kohanemise sündmusteenuses töödeldavatest rahvastikuregistri (RR) ja isikut

tõendavate dokumentide andmekogu (ITDAK) andmetest. Samas loetelu ise aga sisaldab

ka teiste andmekogude andmeid (KIRST, EHIS, tervise infosüsteem, liiklusregister). Sama

puudutab ka lõiget 5, kus sissejuhatav lause näeb samuti ette RR-ist ja ITDAK-ist andmete

saamist, kuid tegelikult loetelu ITDAK-i andmeid üldse ei sisalda ja andmeandjaks on

hoopiski pärimisregister.

Ka eelnõu seletuskirjast nähtub (lk 4), et sündmusteenustes kasutatakse üksnes nelja

andmekogu (ITDAK, KVKR, RR, pärimisregister) andmeid, kuid tegelikult saadakse

andmeid enamatest andmekogudest. Seoses seletuskirjaga juhime siinjuures tähelepanu ka

sellele, et eelnõu seletuskirja järgi lisatakse määrusesse 5. peatükk, mis koosneb §-dest 23–

28. Samas eelnõu enda järgi lisatakse määrusesse hoopis peatükk 31, mis koosneb §-dest

211–216 ning §-d 23–28 üldse puuduvad. Palume kindlasti nii eelnõu kui ka seletuskiri

uuesti üle vaadata ja tegelikkusega kooskõlla viia.

3. Samuti defineeritakse uues § 212 lõikes 1 andmeandja mõiste, mille järgi on andmeandjaks

andmekogu, millest väljastatakse andmeid andmesaajale. Samas jääb selgusetuks aga

„andmesaaja“ mõiste ehk kellele tegelikult andmeandjaks olev andmekogu andmeid

väljastab. Sama mõiste esineb ka §-s 214. Märgime, et andmekogu põhimääruses peab

3 (3)

põhimõistete ring olema üheselt arusaadav, eriti kui nende kaudu kirjeldatakse andmete

liikumist eri osaliste vahel. Palume eelnõu selles osas täiendada.

Andmekogude kontekstis on Andmekaitse Inspektsiooni eesmärk alati püüelda selle poole, et

andmekogu reguleerivaid sätteid lugedes oleks lihtsalt, kiirelt ja üheselt võimalik aru saada, miks

ja kuhu mingeid andmeid kogutakse, milliseid andmeid kogutakse, kui kaua neid säilitatakse ning

kellega jagatakse. Antud eelnõu puhul on eelnõu eesmärk – luua teabeväravas isikustatud

kuvamise süsteemi ja sündmusteenuste töötlemise raamistik – mõistetav, kuid eelnõu vajab olulist

täiendamist, et tagada andmekogu põhimäärusele nõutav õigusselgus, rollide selgus ja

andmekoosseisu ammendavus.

Lugupidamisega

(allkirjastatud digitaalselt)

Pille Lehis

peadirektor

Terje Enula

[email protected]

627 4144