| Dokumendiregister | Siseministeerium |
| Viit | 1-7/165-2 |
| Registreeritud | 26.06.2026 |
| Sünkroonitud | 29.06.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 1 Ministeeriumi töö korraldamine. Juhtimine. Planeerimine. Aruandlus |
| Sari | 1-7 Siseministeeriumile kooskõlastamiseks saadetud siseriiklikute õigusaktide eelnõud |
| Toimik | 1-7/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Adele Johanson (kantsleri juhtimisala, varade asekantsleri valdkond, digi- ja teabehaldusosakond) |
| Originaal | Ava uues aknas |
Pikk 61 / 15065 Tallinn / [email protected] / www.siseministeerium.ee
Registrikood 70000562
Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie: 26.05.2026 nr JDM/26-0623/-1K
Meie: 26.06.2026 nr 1-7/165-2
Siseministeeriumi tagasiside andmenõusoleku
ja volituste haldamise andmekogu eelnõu
kohta
Lugupeetud justiits- ja digiminister
Siseministeeriumi kooskõlastab „Andmenõusoleku ja volituste haldamise andmekogu
põhimäärus ning andmekogu infosüsteemide pidamise, haldamise ja kasutamise kord“ eelnõu
allolevate märkustega.
1. Eelnõu pealkiri on raskesti loetav ning pealkirjas on käändeviga, seetõttu ei ole võimalik
lauset kokku lugeda. Juba pealkirjast peaks selgelt välja tulema, kas tegemist on ühte
andmekogu puudutava määrusega või on selle määrusega hõlmatud mitu andmekogu.
Sama märkus kehtib ka ülejäänud eelnõu ja seletuskirja kohta, näiteks § 1 sõnastus, kus
on kasutatud ainsuse ja mitmuse vorme läbisegi ning ei ole aru saada, kas on üks või
mitu andmekogu.
2. Eelnõus on ebaühtlaselt kasutatud infosüsteemi ja süsteemi mõisteid. Palume läbivalt
materjalid sellega seoses üle vaadata ja võimalusel ühtlustada kohtades, kus mõeldakse
sama asja.
3. Eelnõu § 3 lõike 2 sõnastus on raskepärane. Palume võimalusel selle sätte mõte
selgemas keeles edasi anda. Mida on eelnõus mõeldud andmesubjekti poolse nõusoleku
haldamise all?
4. Eelnõu § 4 lg 2 kohaselt peaks riigi infosüsteemi kuuluv andmekogu teavitama haldajat
oma nõusolekust. Kuna teavitada ja tegevusi saab teha vaid inimene või inimene asutuse
esindajana mitte andmekogu, siis tuleks sätte sõnastust asjakohaselt parandada, nt et
teavitab andmekogu vastutav töötleja. Milline on nõusoleku sisu, kes selle koostab?
5. Eelnõu § 5 lg 3 paneb andmeandjale kohustuse esitada sättes loetletud teave. Selline
kohustuste jaotus ei näi põhjendatud, sest kui juriidiline isik soovib saada
andmesubjektilt andmeid ja andmesubjekt sisuliselt küsib oma andmed andmeandjalt
2 (5)
ehk vastutavalt töötlejalt välja, siis on küsija ülesanne tuua välja, mis andmeid, kust ja
millisel õiguslikul alusel ta saada soovib. Jääb arusaamatuks, kuidas saab seda ülesannet
täita andmeandja. Seletuskirjas toodud analüüs ja põhjendused on sedavõrd napid, et ei
võimalda mõista regulatsiooni toimimist. Juhul kui vastava teate genereerib andmekogu
ise, siis tulek seda nii selgitada. Tegemist näib olevat halduskoormust suurendava ja
kohustusi lisava muudatusega.
6. Eelnõu kasutab mõistet haldaja, kuid mõistet ei ole määruses defineeritud. Jääb
arusaamatuks, keda silmas peetakse.
7. Eelnõuga loodav keskne nõusoleku haldamise andmekogu võtab sisuliselt üle vastutava
töötleja IKÜMst tuleneva kohustuse võimaldada vastutaval töötlejal tõendada
andmesubjekti nõusolekut. Kui nüüd ei andmete edastajal endal ega andmete küsijal ei
ole ette näidata andmesubjekti nõusolekut, sest keskne andmekogu on selle kolme aasta
möödumisel kustutanud, siis tekib küsimus, et kuidas saab vastutav töötleja vajadusel
täita enda kohustust tõendada nõusoleku olemasolu. Palume seletuskirjas analüüsida
lähtuvalt IKÜMist vastutavale töötlejale tulenevast tõendamiskohustustest selle üle
minemist andmekogu vastutavale töötlejale, sh kas tänane regulatsioon kajastab
piisavalt kohustuste ja vastutuse üleminekut.
8. AvTS § 43(10) lg 3 p 1 sätestab, milliseid isikuandmeid võib töödelda andmeedastuse
nõusoleku andmestikus. Eelnõu § 10 p 6 ja § 11 lg 6 näevad ette andmeandja
kontaktisiku andmete töötlemise. Neid isikuandmeid ega vastutava töötleja
kontaktisiku isikuandmete töötlemist ei ole seaduses nimetatud. Kui töödeldavate
isikuandmete kategooria peab olema seaduses ja see sealt puudub, siis tuleks määrusest
jätta välja isikuandmed, mille töötlemist seadus ette ei näe. Samuti ei selgu
seletuskirjast, miks on isiku andmete töötlemine vajalik ja miks on see vajalik just selles
määras (kuidas on täidetud minimaalsuse põhimõte).
9. Eelnõu § 5 lõike 3 punkti 3 kohaselt andmeandja esitab andmesaaja esitatud teabe põhjal
andmesubjektile andmeedastuse nõusoleku süsteemi nõusoleku andmiseks
isikuandmete töötlemise õigusliku aluse. Palume seletuskirjas seda põhjendada, miks
see vajalik on, kui isik juba nõusoleku andmisel teab, et ta annab nõusoleku ja andmete
edastamine toimub nõusoleku alusel.
10. Eelnõu §-s 6 on öeldud, et andmeedastuse nõusoleku süsteemi kasutamise lõpetamiseks
esitab andmesaaja või andmeandja vastutav töötleja haldajale asjakohase tahteavalduse.
Kas nõusolekuteenuse kasutamine ei ole siis nõusoleku alusel andmetele juurdepääsu
andmisel kohustuslik? Kui jah, siis kuidas on võimalik, et andmesaaja või andmeandja
saab lõpetada selle tahteavaldusega?
11. Eelnõu § 7 lõikes 1 on öeldud, et andmeedastuse nõusoleku andmestiku (nõusoleku
andmestik) eesmärk on võimaldada andmeandja vastutaval töötlejal kontrollida
andmesubjekti nõusoleku olemasolu ja ulatust andmete edastamiseks andmesaaja
vastutavale töötlejale ning tagada toimunud andmevahetuse õiguspärasuse tõendatavus.
3 (5)
Kas siin on mõeldud andmekogude vastutavatest töötlejat? Kas seda teeb alati
andmekogu vastutav töötleja? Meie hinnangul see alati nii ei pruugi olla.
12. Eelnõu § 9 lõikes 2 on öeldud, et nõusoleku andmestiku vastutav töötleja annab
andmesaajale nõusoleku juurdepääsu nõusoleku andmestikule andmete edastamiseks.
Kas siin ei peaks olema, et andmesaaja on eraõiguslik juriidiline isik, kes saab andmed,
mitte ei edasta neid ise? Või on siin mõeldud hoopis andmeandjat? Palume sätte
sõnastus üle vaadata.
13. Eelnõu § 11 lõike 1 punktides 4 ja 5 mainitakse volitatud töötlejat. Sätte sõnastusest ei
tule välja, millise andmekogu volitatud töötlejat mõeldakse. Miks on volitatud töötleja
kohta info edastamine siin vajalik, mis sellest infot sõltub?
14. Mida on mõeldud eelnõu § 11 lõike 4 punktis 10 ja lõike 5 punktis 2 nõusoleku viite
all? Selle kohta ei ole selgitust ka seletuskirjas. Seletuskirjas puudub selgitus eelnõus §
11 lg 4 p 10 kohta ehk ei ole selge, mis on „nõusoleku viide“.
15. Kas ja kuidas tuleb seda andmekogu auditeerida ning kas sellele laieneb väliselt
auditeerimise kohustus?
16. Palume eelnõus üle vaadata asesõnade kasutus, et oleks aru saada, kelle kohta säte on
loodud, näiteks eelnõu § 19 lõikes 2 tuleb sätet mitu korda üle lugeda, et olla kindel,
kelle kohta asesõna on kasutatud.
17. Eelnõu § 20 lõikes 2 on öeldud, et liidestamine toimub haldusakti või
liitumiskokkuleppe alusel. Millal neid erinevaid võimalusi kasutatakse ja miks on need
erinevad võimalused vajalikud? Kui on avaliku ülesande täitmisega seotud, siis toimub
haldusakti alusel. Aga millistel juhtudel siis liitumiskokkulepet kasutatakse? Palume
seletuskirjas tuua näiteid.
18. Eelnõu § 21 lg 3 ja lg 4 näevad ette esindajast lõppkasutaja isikuandmete töötlemise.
Kas andmeid töödeldakse vaid isiku tuvastamiseks või need ka salvestatakse ning
millise AvTS-s toodud isikuandmete kategooria alla need paigutuvad?
19. Palun selgitada seletuskirjas täpsemalt, mis vahe on riigiasutuse rollidel eelnõu § 20 lg
1 ja § 23 lg 1 kontekstis? Ühel juhul nimetatakse riigiasutust andmeandjaks ja teisel
juhul andmesaajaks. Kas volituste haldamise süsteemi puhul saab riigiasutus korraga
olla mõlemat?
20. Eelnõu § 23 lg 1 kasutab teksti „oma süsteemis tegutseda.“ Mida see tähendab?
Seletuskiri ei selgita, mida süsteemis tegutsemine endast kujutab ja mis süsteemi silmas
peetakse.
21. Seletuskiri ei selgita eelnõu § 23 lg 3 sisu ja tehtud valikuid. Palume selgitada, miks on
liitumislepingu pooleks valdkonna eest vastutav ministeerium, mis roll on andmete
4 (5)
vastutaval töötlejad ministeeriumi haldusalas olukorras, kus ministeerium ei ole
andmete vastutav töötleja ja kuidas suhestub selline lahendus IKÜMga? Näiteks võib
sellist lepingut käsitleda vastutavate töötlejate vahel praktikas sõlmitava andmeedastuse
lepinguna.
22. Eelnõu § 24 lõikes 2 on sõna „avaldus“ valesti kirjutatud.
23. Eelnõu § 26 lg 1 kordab §-i 23, § 27 kordab §-i 24.
24. Eelnõu §29 lõikes 1 on loetletud andmed, mida kantakse volituse haldamise
andmestikku andmeandja kohta. Näiteks punktides 1 ja 2 on öeldud andmed vastutava
töötleja ja volitatud töötleja kohta, aga neid andmeid ei ole täpsustatud. Mida nende
andmete all mõeldud on? See on liiga üldine kategooria. Sättes sõnastuses peaks
täpsemalt välja tooma, mida siin on mõeldud. Sarnane sõnastus on ka näiteks eelnõu §
29 lõikes 4, kus ei ole täpsustatud, mis andmed. Sättest peaks vähemalt kategooriad
välja tulema.
25. Eelnõu § 29 lõike 2 punkti 1 sõnastus ei lähe kokku. Lause ei tule selle punkti puhul
kokku.
26. Eelnõu § 29 lõikes 3 on öeldud, et volituste haldamise andmestikku „võib“ kanda
andmed. Kes seda otsustab, kas kanda või mitte? Miks on siin loobutud sõnast
„kantakse“ nagu on teistes punktides?
27. Eelnõu §-s 30 on loetletud volitust haldamise andmestiku puhul, millised andmed
saadakse rahvastikuregistrist. Kas andmeedastuse nõusoleku andmestiku puhul ei saada
andmeid rahvastikuregistrist?
28. Eelnõu § 30 lõike 2 punktis 1 on öeldud, et rahvastikuregistrist saadakse andmed
elusoleku kohta. Rahvastikuregistris on staatus „elus“, aga kas tegelikult on hoopis
vajadus kontrollida, kas isik on surnud, sest rahvastikuregistris võib isiku staatus olla
ka „andmed puuduvad“. Kuidas see teie sätte loogikaga kokku läheks, kas „andmed
puuduvad“ oleks teie vaates „elus“?
29. Eelnõu § 30 lõike 2 punktis 3 on öeldud, et rahvastikuregistrist saadakse seadusliku
esindaja andmed? Mis andmeid siin on mõeldud? Praegu on punkti sõnastus väga lai.
Sama probleem on ka punkti 4 puhul. Milliseid andmeid on siin mõeldud?
30. Palume eelnõus läbivat üle vaadata saatelausete ja punktide puhul, kas lause tuleb
õigesti kokku. Eespool on mõned kohad eelnõus eraldi välja toodud näidetena.
31. Seletuskirjas ei ole paljude sätete puhul põhjendusi ega selgitusi. Palume seletuskirja
täiendada, et neid eelnõu sätteid oleks hiljem lihtsam rakendada. Praegu on seletuskirjas
paljudes kohtades vaid sätte enda sõnastus, aga selgitusi ei ole.
5 (5)
32. Seletuskirjas on kirjas § 1, et „Samuti võimaldab teenus teha tahteavalduse oma
isikuandmete ülekandmiseks ühest riigi infosüsteemi kuuluvast andmekogust teise.“
Märgime, et AvTS § 43(10) lg 1 sellist andmekogu eesmärki ei nimeta. Palume
täpsustada, kas selline teenus on plaanitud täiendavalt luua ning sellel eesmärgil AvTS-
i muuta.
33. Sellega seoses juhime tähelepanu, et IKÜM art 20 annab andmesubjektile õiguse nõuda
vastutavalt töötlejalt enda andmete ülekandmist teisele vastutavale töötlejale vaid
artiklis toodud juhtudel, st nõusoleku või lepingu alusel töötlemise korral. Nagu
põhjenduspunkt 68 selgitab, siis „Seda ei tuleks seega kohaldada eelkõige siis, kui
isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks
või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu
kasutamiseks. Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid
ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös
tehniliselt ühilduvaid andmetöötlussüsteeme.“ Kuna IKÜM-st andmesubjektile sellist
õigust ei tule, oleks siseriikliku õigusega sellise õiguse täiendavalt andmine
andmesubjekti õiguste laiendamine, mis vajaks mõjude, sh kulude, hindamist.
34. Seletuskirjas räägitakse andmenõusoleku andmekogust ja volituste haldamise
andmekogust nagu tegemist oleks kahe eraldiseisva andmekoguga. Ometigi on AvTS-s
nimetatud vaid üks andmekogu ja selle nimetus on andmenõusoleku ja volituste
haldamise andmekogu, mis koosneb andmenõusoleku andmestikust ja volituste
haldamise andmestikust. Selguse ja täpsuse huvides oleks mõistlik kasutada ka SK-s
AvTS-s toodud mõisteid.
35. Andmekogu pidamise eesmärk on sätestatud AvTS-s, kuid seda korratakse sama sisuga
põhimääruse §-s 2. Selle kordamine ei näi vajalik.
36. Seletuskirjas (§ 2) on selgitatud volituste haldamise süsteemi vajalikkust sellega, et
puudub võimalus esindusõiguste haldamiseks. Kuna ettevõtte esindusõigus on näha
äriregistrist, millele isik saab tugineda, siis tekib küsimus, et miks äriregistrist nähtuv
esindusõiguse info ei ole piisav.
37. Seletuskirjas § 3 selgituses toodud lause „Andmenõusolekuteenust kasutatavatel
teenustel on andmestik tagasivõetud või kehtivate nõusolekute kohta vastava teenuse
raames.“ ei ole arusaadav.
Lugupidamisega
(allkirjastatud digitaalselt)
Igor Taro
siseminister
Adele Johanson
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|