| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/4193-2 |
| Registreeritud | 09.06.2026 |
| Sünkroonitud | 10.06.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Helen Uustalu (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Õiguspoliitika valdkond, Õiguspoliitika osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie 26.05.2026 nr 8-1/4193-1
Meie 09.06.2026 nr 2.3-5/26/2193-2
Arvamus eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse
määruse „Andmenõusoleku ja volituste haldamise andmekogu põhimäärus ning andmekogu
infosüsteemide pidamise, haldamise ja kasutamise kord“ eelnõu.
Meil on esitatud eelnõu osas järgmised tähelepanekud.
1. Eelnõu § 1 järgi andmenõusoleku ja volituste haldamise andmekogu (edaspidi
andmekogud) on riigi infosüsteemi kuuluv andmekogu, mis koosneb
andmenõusolekusüsteemist ning volituste haldamise süsteemist. Ka eelnõu seletuskirjas
on selgitatud, et riigi infosüsteemi koosseisu kuulub andmenõusoleku ja volituste
haldamise andmekogu. Seega, nii eelnõu tekstist kui ka seletuskirjast nähtub, et tegemist
on ühe andmekoguga, mis koosneb kahest süsteemist – andmenõusolekusüsteemist ja
volituste haldamise süsteemist. Seega jääb selgusetuks eelnõus sulgudes toodud märge, et
edaspidi nimetatakse andmekogu mitmuses „andmekogud“, kuigi määrus kehtestab ühe
põhimääruse ühe andmekogu osas.
Sama puudutab eelnõu §-e 17 ja 35, 19 ja 36 ning 9 ja 28, mis reguleerivad vastavalt
andmeedastuse nõusoleku andmekogu ja volituste haldamise andmekogu pidamise ja
likvideerimise korda, andmete logimist ja säilitamist ning andmekogu vastutava töötleja
ülesandeid. Nimetatud sätteid lugedes jääb mulje nagu oleks tegemist kahe erineva
andmekoguga, kuigi samal ajal kehtestab määrus ühe põhimääruse ühe andmekogu osas.
2. Eelnõu § 2 punkti 2 lõpp kordab § 1 lauseosa „ning mis koosneb
andmenõusolekusüsteemist ning volituste haldamise süsteemist“.
3. Eelnõu § 3 lõike 1 järgi koosneb andmenõusolekusüsteem: 1) andmeedastuse nõusoleku
infosüsteemist, 2) andmeedastuse nõusoleku andmestikust ning 3) andmeedastuse
nõusoleku süsteemi haldamise ja kasutamise tingimustest. Samas eelnõu § 4 pealkirjas ja
sama paragrahvi lõikes 1 on kasutatud mõistet „andmeedastuse nõusolek“. Ilmselt on
siiski silmas peetud andmeedastuse nõusoleku infosüsteemi. Samuti on andmeedastuse
nõusoleku infosüsteemi nimetatud eelnõus ka andmeedastuse nõusoleku süsteemiks,
andmeedastuse nõusoleku andmestikku aga andmeedastuse nõusoleku süsteemi
andmestikuks jne. Soovitame vaadata eelnõus üle kõik terminid ja sõnastada ühtemoodi.
Samuti on eelnõus korduvalt nimetatud haldajat ja vastutavat töötlejat1, kuid eelnõust ei
nähtu üheselt, kes kumbki subjekt on ja kas tegemist on sama või erineva asutusega.
1 § 4 lõige 2, § 6, § 9, § 20 lõige 2, § 23 lõige 2, § 27, § 28
2 (3)
Määrus, mis reguleerib ulatuslikku isikuandmete töötlemist ja andmete väljastamist, peab
vastutuse ja rollijaotuse sõnaselgelt määratlema.
4. Eelnõu § 3 lõikest 2 on puudu sõna „nõusolek“, mille füüsiline isik saab andmeedastuse
nõusoleku süsteemis andmete edastamiseks andmeid edastava andmekogu vastutavale
töötlejale anda.
5. Eelnõu § 4 lõike 2 järgi teavitab riigi infosüsteemi kuuluv andmekogu andmeedastuse
nõusoleku süsteemiga liidestumise soovist haldajat. Võib eeldada, et teavitajaks ei ole riigi
infosüsteemi kuuluva andmekogu, vaid selle vastutav töötleja. Samuti näeb sama lõige
ette, et pärast soovi edastamist haldajale, korraldab haldaja andmeandja liidestamise § 5
lõikes 1 sätestatud liitumiskokkuleppe kohaselt. Juhime tähelepanu sellele, et eelnõu § 5
reguleerib andmesubjekti nõusoleku andmist, haldamist ja tagasivõtmist ning selles
puuduvad sätted, mis puudutavad liitumiskokkulepet. Siinjuures juhime tähelepanu AvTS § 4310 lõike 6 punktile 3, mille kohaselt tuleb
andmekogu põhimääruses muu hulgas sätestada andmenõusoleku ja volituste haldamise
andmekogu infosüsteemidega liidestamise täpsemad tingimused. Kuna tegemist on
kohustusliku ja mitte soovitusiku normiga, siis peab põhimääruses olema reguleeritud ka
see, millistel tingimustel liidestumine toimub. Eelnõu § 20 reguleeribki volituste
haldamise süsteemiga liidestumist, kuid eelnõus puuduvad sätted, millest nähtuks,
millistel tingimustel toimub andmenõusolekusüsteemiga liidestumine.
6. Eelnõu § 5 lõige 3 loetleb teabe, mida andmeandja esitab andmesaaja esitatud teabe põhjal
andmesubjektile. Andmekaitse Inspektsioon on korduvalt seoses nõusolekuteenusega
rõhutanud, et olukorras, kus Riigi Infosüsteemi Amet ega ka andmeandja ei kontrolli
andmesaaja andmetöötlust, on äärmiselt oluline vahendada nõusoleku andjale kogu vajalik
teave, sh võimalus tutvuda andmesaaja andmekaitsetingimustega.
Seega peame vältimatult vajalikuks, et eelnõu § 5 lõiget 3 täiendatakse punktiga, mis
selgesõnaliselt kohustab andmesaajat edastama andmeandjale ja andmeandjat kuvama
andmesubjektile andmekaitsetingimuste linki, sest vastasel juhul ei ole võimalik tagada
nõusoleku teadlikkust IKÜM2 artikli 4 punkti 11 ja artikli 7 tähenduses. Andmesubjekt
peab enne nõusoleku andmist saama tutvuda andmesaaja andmetöötluse tingimustega, et
hinnata andmete töötlemise õiguspärasust ja läbipaistvust. Nõusolekuteenuse puhul oleks
see lahendatud kohustusliku andmeväljana („andmekaitsetingimused (link)”), mida peab
olema võimalik kuvada nõusoleku andmise hetkel.
7. Eelnõu § 12 loetleb andmeedastuse nõusoleku andmestikku andmete esitajad, kelleks on
andmesaaja, andmesubjekt ja andmeandja. Seletuskirjas on andmeandja osas selgitatud
järgmist: andmeandja võib AvTS § 435 lg 2 kohaselt olla riigi- või kohaliku omavalitsuse
asutused või muud avalik-õiguslikud või eraõiguslikud isikud, kui neil on seadusega või
selle alusel antud õigusaktiga sätestatud kohustus andmekogusse andmeid esitada või kui
nad teevad seda vabatahtlikult. Märgime, et seletuskirjas toodud viide AvTS § 435 lõikele
2 ei ole käesolevas kontekstis asjakohane. Eelnõu § 4 lõige 1 defineerib andmeandja kui
riigi infosüsteemi kuuluvat ja andmeedastuse nõusoleku süsteemiga liidestatud
andmekogu, millest andmeid andmesaajale väljastatakse, kuid seletuskiri avab sama
mõistet asutuse või muu isiku kaudu, mis ei kattu eelnõu normtekstis kasutatud mõistega
ning muudab § 12 adressaatide ringi ebaselgeks. Seletuskiri ei tohiks aga anda samale
mõistele eelnõu normtekstist erinevat sisu.
8. Nii andmenõusolekusüsteemis (§ 9 punkt 7) kui volituste süsteemis (§ 28 punkt 3)
2 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016 , füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta
(isikuandmete kaitse üldmäärus)
3 (3)
kontrollib vastutav töötleja isikukoodi alusel teovõime piiramist. Eelnõu § 11 küll ei näe
ette andmenõusolekusüsteemis teovõime andmete kogumist, kuid eelnõu § 29 lõike 3
punkt 3 näeb ette volituse andmisel, edasivolitamisel ja volituse tagasivõtmisel ka
lõppkasutaja teovõime piiramise andmete kogumise. Selgusetuks aga jääb andmekooseis.
Eelnõu § 30 lõike 2 punkti 2 järgi saab volituste haldamise andmestik teovõime piiramise
andmed rahvastikuregistrist, kuid ka selles sättes ei ole täpsustatud, milliseid andmeid
rahvastikuregistrist saadakse. Märgime, et teovõime piiramise andmed on seotud inimese
vaimse tervisega ehk tegemist on eriliiki isikuandmetega, mis tähendab, et nende andmete
töötlemine peab olema rangelt eesmärgistatud, minimaalselt sõnastatud ning selge
õigusliku alusega. Eelnõu tekstist aga ei nähtu, millises ulatuses neid andmeid
kontrollitakse, kas andmestikku salvestatakse kontrolli tulemus või alusandmed, millal
andmed kustutatakse ning kellel on neile juurdepääs. Ühtlasi juhime tähelepanu sellele, et juhul kui volituste haldamise süsteemi kogutavate
andmete koosseisu kuuluvad ka eriliigilised isikuandmeid, siis ei saa selle turvaklass olla
K1T1S1 ja turbeaste madal, vaid konfidentsiaalsus peaks olema vähemalt S2, mis
omakorda muudab ka turbeastet.
Kokkuvõttes leiame, et eelnõu vajab täpsustamist, et tagada regulatsiooni õigusselgus, ühtne
terminikasutus ning isikuandmete töötlemise aluste, osaliste rollide ja andmekoosseisude piisav
selgus. Eelnõu ja seletuskiri peavad olema omavahel kooskõlas, sh mõistete sisustamisel. Eelkõige
vajab täpsustamist andmeandja mõiste kasutus, kuna eelnõu normtekstis ja seletuskirjas on sellele
antud erinev sisu. Samuti tuleks üle vaadata sätted, millest ei nähtu piisava selgusega, kes ja
millises rollis andmeid andmekogusse esitab, töötleb ja väljastab.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
627 4144
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
|
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie 26.05.2026 nr 8-1/4193-1
Meie 09.06.2026 nr 2.3-5/26/2193-2
Arvamus eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse
määruse „Andmenõusoleku ja volituste haldamise andmekogu põhimäärus ning andmekogu
infosüsteemide pidamise, haldamise ja kasutamise kord“ eelnõu.
Meil on esitatud eelnõu osas järgmised tähelepanekud.
1. Eelnõu § 1 järgi andmenõusoleku ja volituste haldamise andmekogu (edaspidi
andmekogud) on riigi infosüsteemi kuuluv andmekogu, mis koosneb
andmenõusolekusüsteemist ning volituste haldamise süsteemist. Ka eelnõu seletuskirjas
on selgitatud, et riigi infosüsteemi koosseisu kuulub andmenõusoleku ja volituste
haldamise andmekogu. Seega, nii eelnõu tekstist kui ka seletuskirjast nähtub, et tegemist
on ühe andmekoguga, mis koosneb kahest süsteemist – andmenõusolekusüsteemist ja
volituste haldamise süsteemist. Seega jääb selgusetuks eelnõus sulgudes toodud märge, et
edaspidi nimetatakse andmekogu mitmuses „andmekogud“, kuigi määrus kehtestab ühe
põhimääruse ühe andmekogu osas.
Sama puudutab eelnõu §-e 17 ja 35, 19 ja 36 ning 9 ja 28, mis reguleerivad vastavalt
andmeedastuse nõusoleku andmekogu ja volituste haldamise andmekogu pidamise ja
likvideerimise korda, andmete logimist ja säilitamist ning andmekogu vastutava töötleja
ülesandeid. Nimetatud sätteid lugedes jääb mulje nagu oleks tegemist kahe erineva
andmekoguga, kuigi samal ajal kehtestab määrus ühe põhimääruse ühe andmekogu osas.
2. Eelnõu § 2 punkti 2 lõpp kordab § 1 lauseosa „ning mis koosneb
andmenõusolekusüsteemist ning volituste haldamise süsteemist“.
3. Eelnõu § 3 lõike 1 järgi koosneb andmenõusolekusüsteem: 1) andmeedastuse nõusoleku
infosüsteemist, 2) andmeedastuse nõusoleku andmestikust ning 3) andmeedastuse
nõusoleku süsteemi haldamise ja kasutamise tingimustest. Samas eelnõu § 4 pealkirjas ja
sama paragrahvi lõikes 1 on kasutatud mõistet „andmeedastuse nõusolek“. Ilmselt on
siiski silmas peetud andmeedastuse nõusoleku infosüsteemi. Samuti on andmeedastuse
nõusoleku infosüsteemi nimetatud eelnõus ka andmeedastuse nõusoleku süsteemiks,
andmeedastuse nõusoleku andmestikku aga andmeedastuse nõusoleku süsteemi
andmestikuks jne. Soovitame vaadata eelnõus üle kõik terminid ja sõnastada ühtemoodi.
Samuti on eelnõus korduvalt nimetatud haldajat ja vastutavat töötlejat1, kuid eelnõust ei
nähtu üheselt, kes kumbki subjekt on ja kas tegemist on sama või erineva asutusega.
1 § 4 lõige 2, § 6, § 9, § 20 lõige 2, § 23 lõige 2, § 27, § 28
2 (3)
Määrus, mis reguleerib ulatuslikku isikuandmete töötlemist ja andmete väljastamist, peab
vastutuse ja rollijaotuse sõnaselgelt määratlema.
4. Eelnõu § 3 lõikest 2 on puudu sõna „nõusolek“, mille füüsiline isik saab andmeedastuse
nõusoleku süsteemis andmete edastamiseks andmeid edastava andmekogu vastutavale
töötlejale anda.
5. Eelnõu § 4 lõike 2 järgi teavitab riigi infosüsteemi kuuluv andmekogu andmeedastuse
nõusoleku süsteemiga liidestumise soovist haldajat. Võib eeldada, et teavitajaks ei ole riigi
infosüsteemi kuuluva andmekogu, vaid selle vastutav töötleja. Samuti näeb sama lõige
ette, et pärast soovi edastamist haldajale, korraldab haldaja andmeandja liidestamise § 5
lõikes 1 sätestatud liitumiskokkuleppe kohaselt. Juhime tähelepanu sellele, et eelnõu § 5
reguleerib andmesubjekti nõusoleku andmist, haldamist ja tagasivõtmist ning selles
puuduvad sätted, mis puudutavad liitumiskokkulepet. Siinjuures juhime tähelepanu AvTS § 4310 lõike 6 punktile 3, mille kohaselt tuleb
andmekogu põhimääruses muu hulgas sätestada andmenõusoleku ja volituste haldamise
andmekogu infosüsteemidega liidestamise täpsemad tingimused. Kuna tegemist on
kohustusliku ja mitte soovitusiku normiga, siis peab põhimääruses olema reguleeritud ka
see, millistel tingimustel liidestumine toimub. Eelnõu § 20 reguleeribki volituste
haldamise süsteemiga liidestumist, kuid eelnõus puuduvad sätted, millest nähtuks,
millistel tingimustel toimub andmenõusolekusüsteemiga liidestumine.
6. Eelnõu § 5 lõige 3 loetleb teabe, mida andmeandja esitab andmesaaja esitatud teabe põhjal
andmesubjektile. Andmekaitse Inspektsioon on korduvalt seoses nõusolekuteenusega
rõhutanud, et olukorras, kus Riigi Infosüsteemi Amet ega ka andmeandja ei kontrolli
andmesaaja andmetöötlust, on äärmiselt oluline vahendada nõusoleku andjale kogu vajalik
teave, sh võimalus tutvuda andmesaaja andmekaitsetingimustega.
Seega peame vältimatult vajalikuks, et eelnõu § 5 lõiget 3 täiendatakse punktiga, mis
selgesõnaliselt kohustab andmesaajat edastama andmeandjale ja andmeandjat kuvama
andmesubjektile andmekaitsetingimuste linki, sest vastasel juhul ei ole võimalik tagada
nõusoleku teadlikkust IKÜM2 artikli 4 punkti 11 ja artikli 7 tähenduses. Andmesubjekt
peab enne nõusoleku andmist saama tutvuda andmesaaja andmetöötluse tingimustega, et
hinnata andmete töötlemise õiguspärasust ja läbipaistvust. Nõusolekuteenuse puhul oleks
see lahendatud kohustusliku andmeväljana („andmekaitsetingimused (link)”), mida peab
olema võimalik kuvada nõusoleku andmise hetkel.
7. Eelnõu § 12 loetleb andmeedastuse nõusoleku andmestikku andmete esitajad, kelleks on
andmesaaja, andmesubjekt ja andmeandja. Seletuskirjas on andmeandja osas selgitatud
järgmist: andmeandja võib AvTS § 435 lg 2 kohaselt olla riigi- või kohaliku omavalitsuse
asutused või muud avalik-õiguslikud või eraõiguslikud isikud, kui neil on seadusega või
selle alusel antud õigusaktiga sätestatud kohustus andmekogusse andmeid esitada või kui
nad teevad seda vabatahtlikult. Märgime, et seletuskirjas toodud viide AvTS § 435 lõikele
2 ei ole käesolevas kontekstis asjakohane. Eelnõu § 4 lõige 1 defineerib andmeandja kui
riigi infosüsteemi kuuluvat ja andmeedastuse nõusoleku süsteemiga liidestatud
andmekogu, millest andmeid andmesaajale väljastatakse, kuid seletuskiri avab sama
mõistet asutuse või muu isiku kaudu, mis ei kattu eelnõu normtekstis kasutatud mõistega
ning muudab § 12 adressaatide ringi ebaselgeks. Seletuskiri ei tohiks aga anda samale
mõistele eelnõu normtekstist erinevat sisu.
8. Nii andmenõusolekusüsteemis (§ 9 punkt 7) kui volituste süsteemis (§ 28 punkt 3)
2 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016 , füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta
(isikuandmete kaitse üldmäärus)
3 (3)
kontrollib vastutav töötleja isikukoodi alusel teovõime piiramist. Eelnõu § 11 küll ei näe
ette andmenõusolekusüsteemis teovõime andmete kogumist, kuid eelnõu § 29 lõike 3
punkt 3 näeb ette volituse andmisel, edasivolitamisel ja volituse tagasivõtmisel ka
lõppkasutaja teovõime piiramise andmete kogumise. Selgusetuks aga jääb andmekooseis.
Eelnõu § 30 lõike 2 punkti 2 järgi saab volituste haldamise andmestik teovõime piiramise
andmed rahvastikuregistrist, kuid ka selles sättes ei ole täpsustatud, milliseid andmeid
rahvastikuregistrist saadakse. Märgime, et teovõime piiramise andmed on seotud inimese
vaimse tervisega ehk tegemist on eriliiki isikuandmetega, mis tähendab, et nende andmete
töötlemine peab olema rangelt eesmärgistatud, minimaalselt sõnastatud ning selge
õigusliku alusega. Eelnõu tekstist aga ei nähtu, millises ulatuses neid andmeid
kontrollitakse, kas andmestikku salvestatakse kontrolli tulemus või alusandmed, millal
andmed kustutatakse ning kellel on neile juurdepääs. Ühtlasi juhime tähelepanu sellele, et juhul kui volituste haldamise süsteemi kogutavate
andmete koosseisu kuuluvad ka eriliigilised isikuandmeid, siis ei saa selle turvaklass olla
K1T1S1 ja turbeaste madal, vaid konfidentsiaalsus peaks olema vähemalt S2, mis
omakorda muudab ka turbeastet.
Kokkuvõttes leiame, et eelnõu vajab täpsustamist, et tagada regulatsiooni õigusselgus, ühtne
terminikasutus ning isikuandmete töötlemise aluste, osaliste rollide ja andmekoosseisude piisav
selgus. Eelnõu ja seletuskiri peavad olema omavahel kooskõlas, sh mõistete sisustamisel. Eelkõige
vajab täpsustamist andmeandja mõiste kasutus, kuna eelnõu normtekstis ja seletuskirjas on sellele
antud erinev sisu. Samuti tuleks üle vaadata sätted, millest ei nähtu piisava selgusega, kes ja
millises rollis andmeid andmekogusse esitab, töötleb ja väljastab.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|