| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/26/2317-2 |
| Registreeritud | 15.06.2026 |
| Sünkroonitud | 16.06.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Rahandusministeerium |
| Saabumis/saatmisviis | Rahandusministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Jürgen Ligi
Rahandusministeerium
Teie 03.06.2026 nr 1.1-10.1/2400-1
Meie 15.06.2026 nr 2.3-5/26/2317-2
Arvamus eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks rahandusministri
määruse „Rahandusministri 6. aprilli 2023. a määruse nr 22 „Tegelike kasusaajate andmekogu
asutamine ja põhimäärus“ muutmine“ eelnõu.
Arvestades, et käsil on andmekogu põhimääruse muutmine, mis annab võimaluse muuta ka
kehtivat põhimäärust selgemaks ja konkreetsemaks, siis esitame tähelepanekud nii eelnõu kui ka
kehtiva põhimääruse osas.
1. Eelnõu § 1 punktiga 2 muudetakse tegelike kasusaajate andmekogu põhimääruse § 2
sissejuhatavat lauseosa ja asendatakse teabe avalikustamist puudutav osa uue osaga, mille
järgi on andmekogu eesmärgiks ka kontrollimine ja juurdepääsõigust omavatele isikutele
andmete kättesaadavaks tegemine. Seletuskirja järgi on muudatuse eesmärgiks viia
andmekogu pidamise eesmärki kirjeldav säte kooskõlla tegelike kasusaajate andmetele
juurdepääsu uue korraga, mille kohaselt ei ole andmekogu andmed edaspidi üldiselt
kõigile kättesaadavad ja avalikud, vaid andmed tehakse kättesaadavaks juurdepääsuõigus
omavatele isikutele. /…/ Muudatusega asendatakse avalikustamisele viitav sõnastus
andmete kontrollimise ja juurdepääsuõigust omavatele isikutele kättesaadavaks
tegemisega. Sellega kajastatakse, et andmekogu eesmärk ei piirdu üksnes andmete
kogumise ja hoidmisega, vaid hõlmab ka andmete kvaliteedi kontrollimist ning andmete
väljastamist seaduses ja Euroopa Liidu õiguses ette nähtud ulatuses.
Samas juhime tähelepanu sellele, et rahapesu ja terrorismi tõkestamise seaduse (RahaPTS)
§ 78 lõige 1 näeb ette tegeliku kasusaaja andmete avalikustamise, mis tähendab, et
seadusandja on sätestanud, et tegeliku kasusaaja andmed ja nende kohta tehtud märked
avalikustatakse äriregistri infosüsteemis. Seega ei saa antud juhul andmete kättesaadavuse
põhialust käsitada üksnes põhimäärusest tulenevana. Lisaks on küsitav, kas RahaPTS §
76² lõike 1 alusel saab üldse ministri määruses nii detailselt reguleerida juurdepääsu
saajate kategooriaid, õigustatud huvi hindamise korda, juurdepääsust keeldumise aluseid,
juurdepääsu kehtivust, pikendamist ja tühistamist, logimist ja väljastamispiiranguid.
Leiame, et täiendavalt tuleks kontrollida, kas RahaPTS-s on piisavalt selgelt sätestatud
uue juurdepääsumudeli põhiraamistik, sh juurdepääsu saajate põhiring, juurdepääsu ulatus
ning isikuandmete kaitse seisukohalt olulised piirangud. Kui see nii ei ole, tuleks need
küsimused lahendada seaduse, mitte üksnes määruse tasandil.
2. Eelnõu § 1 punktiga 6 täiendatakse volitatud töötleja ülesandeid, mis on peamiselt seotud
andmekogu pidamisega ehk selle tehnilise teenindamisega. Samas näeb kehtiva
põhimääruse § 6 lõike 1 punkt 3 ette, et andmekogu volitatud töötleja korraldab ka
2 (3)
andmekogu haldamise. Märgime, et AvTS § 434 lõike 1 järgi korraldab just andmekogu
vastutav töötleja andmekogu kasutusele võtmist, teenuste ja andmete haldamist,
vastutades andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest. Sama
paragrahvi lõike 2 järgi võib vastutav töötleja edasi volitada teisele asutusele andmete
töötlemist ja andmekogu majutamist. Antud juhul jääb aga selgusetuks, mida tähendab
andmekogu haldamine vastutava töötleja tähenduses ja mida volitatud töötleja tasandil.
Palume regulatsiooni täiendada selliselt, et põhimäärusest nähtuks selgelt, et vastutus
andmekogu haldamise seaduslikkuse eest jääb vastutavale töötlejale ning seda ei
delegeerita volitatud töötlejale.
3. Eelnõu § 1 punktiga 8 sõnastatakse ümber kehtiva põhimääruse § 10 tekst. Uue paragrahvi
lõike 1 järgi väljastatakse andmekogust andmeid äriregistri infosüsteemi kaudu.
Seletuskirjas on aga lõike 1 osas selgitatud, et andmekogule võimaldatakse juurdepääs ja
andmekogust väljastatakse andmeid äriregistri infosüsteemi ning Euroopa Liidu tegelike
kasusaajate keskregistri BORIS kaudu. Seega märgib seletuskiri, et juurdepääs
võimaldatakse ja andmeid väljastatakse ka keskregistri BORIS kaudu, kuid eelnõu § 10
lõige 1 räägib sõnaselgelt andmete väljastamisest äriregistri infosüsteemi kaudu ning
piiriülest juurdepääsu kirjeldatakse üldisemalt.
Samuti on seletuskirjas märgitud, et õigustatud huvi alusel taotletud juurdepääs andmetele
antakse kuni kolmeks aastaks. Taotluse esitamisel on võimalik taotluse esitajal valida
endale sobilik juurdepääsu periood kuni kolmeks aastaks. Samas eelnõu tekstis sellist
tähtaega ei ole.
Palume eelnõu ja seletuskiri omavahel kooskõlla viia. Õigusi ja piiranguid ei saa jätta
seletuskirja tasandile, kui normtekst neid ei kajasta.
4. Eelnõu § 1 punktiga 9 täiendatakse põhimäärust §-ga 10¹, mis reguleerib õigustatud huvi
hindamist ja andmete väljastamisest keeldumist. Uue paragrahvi järgi hindab vastutav
töötleja taotluses ja selle lisades esitatud asjaolude põhjendatust ja asjakohasust, võib
küsida lisateavet ning keeldub juurdepääsust muu hulgas siis, kui õigustatud huvi ei ole
tõendatud või kui esineb põhjendatud kahtlus, et andmeid ei kasutata taotluses märgitud
eesmärgil. Seletuskiri küll rõhutab, et õigustatud huvi ei saa põhineda üksnes üldisel huvil,
majanduslikul huvil või uudishimul, kuid need piiritlevad kriteeriumid ei ole normtekstis
piisava täpsusega lahti kirjutatud. Samuti on seletuskirja lisas1 eraldi välja toodud risk, et
õigustatud huvi võidakse hinnata liiga üldiselt ning juurdepääs andmetele antakse isikule,
kellel puudub piisavalt põhjendatud seos taotletavate andmetega.
Seetõttu leiame, et õigustatud huvi hindamise raamistikku tuleks põhimääruses täpsustada
vähemalt selles osas, millist seost taotleja ja taotletava üksuse vahel tuleb nõuda, millised
dokumendid on eri juhtudel piisavad, millal on huvi pelgalt üldine või majanduslik ning
millal on „põhjendatud kahtlus” juurdepääsu välistamiseks piisav. Praegune sõnastus jätab
vastutavale töötlejale liiga laia otsustusruumi.
5. Eelnõu § 1 punktiga 11 sõnastatakse ümber põhimäärus § 12 tekst, mis reguleerib
andmekogu kasutamise logimist ja logiandmete säilitamist. Kehtiva põhimääruse järgi
säilitatakse isikuandmete töötlemise logiandmeid kuni üks aasta päringu või kande
tegemisest, muudatustega pikendatakse logiandmete säilitamise tähtaega viie aastani.
Seletuskirjas on selgitatud, et pikem säilitamistähtaeg on põhjendatud, arvestades
andmekogu andmete tundlikkust, juurdepääsuõiguste kontrollimise vajadust ning asjaolu,
et õigustaud huvi alusel antud juurdepääsud ja juurdepääsuotsused võivad omada
tähendust pikema aja jooksul. Samas ei nähtu eelnõu tekstist piisavalt selgelt, kuidas
toimub andmekogu kasutamise õiguspärasuse regulaarne kontroll logiandmete põhjal, kes
1 Lisa 1: Tegelike kasusaajate andmekogu peamised riskid ja maandamismeetmed
3 (3)
seda teeb ning mille alusel kontrollitakse konkreetse kasutuse või päringu õiguspärasust.
Andmekaitse Inspektsioon on rõhutanud, et logimine üksi ei taga veel andmekogu
kasutamise tegelikku kontrollitavust, vaid vajalik on ka toimiv järelevalve andmekogu
kasutamise üle. Kehtivas põhimääruses järelevalvet puudutavad sätted aga puuduvad.
Seega leiame, et normtasandil või vähemalt seletuskirjas tuleks selgemalt kirjeldada
logide põhjal tehtava järelevalve korraldust, sh järelevalve teostajat ja kontrolli
põhimõtteid.
6. Eelnõu § 1 punktiga 12 täiendatakse põhimäärust §-ga 121, milles sätestatakse
juurdepääsu- ja piirangustatistika pidamine. Seletuskirjas on selgitatud, et volitatud
töötleja peab arvestust õigustatud huvi alusel esitatud juurdepääsutaotluste, rahuldatud ja
rahuldamata taotluste, tühistatud juurdepääsuõiguste ning RahaPTS § 792 alusel
kohaldatud andmete kättesaadavuse piirangute arvu ja aluste kohta. Statistika pidamine on
vajalik, et vastutav töötleja saaks hinnata juurdepääsumudeli toimimist, tuvastada
võimalikke kitsaskohti ning täita Euroopa Liidu õigusaktidest tulenevaid aruandlus- ja
teavitamiskohustusi. Siinjuures juhime tähelepanu sellele, et põhimääruse §-s 2 toodud
andmekogu eesmärk eeltoodud andmetöötlust ei kajasta. Andmekaitse Inspektsioon on andmekogude juhendis2 selgitanud, et andmekogu eesmärk
peab olema juba seaduses selgelt sätestatud, kuna see on volitusnormi tuum. Vajalik on, et
volitusnorm annaks vastuse küsimusele, millisel konkreetsel eesmärgil ja milliste
ülesannete täitmiseks andmekogu asutatakse. Ilma selleta on raskendatud kontroll
andmekogu pidamise õiguspärasuse ja isikuandmete töötlemise ulatuse üle.
Andmekogu asutamise volitusnormi sisustamise osas soovitame tutvuda Justiits ja
Digiministeeriumi juhisega „Juhis isikuandmete ja avaliku teabe töötlemise ning
andmekogude reguleerimise kohta eelnõudes“.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
627 4144
2 Andmekogude juhend
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|