| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-4/26/2613-2 |
| Registreeritud | 08.07.2026 |
| Sünkroonitud | 09.07.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-4 Arvamused õigusaktide eelnõude kohta |
| Toimik | 2.3-4/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Virve Lans (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
| Taotle dokumendi eemaldamist või parandamist |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie 27.06.2026 nr 8-1/4965-1
Meie 08.07.2026 nr 2.3-4/26/2613-2
Arvamus eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse
3. juuli 2008. a määruse nr 111 „E-toimiku süsteemi asutamine ja e-toimiku süsteemi pidamise
põhimäärus“ muutmise määruse eelnõu.
Meil on eelnõu osas järgmised tähelepanekud.
1. Eelnõu punktiga 1 lisatakse kehtivasse põhimäärusesse e-toimiku süsteemi eesmärk,
milleks muu hulgas on ka süsteemi sisemise töökorralduse analüüsimiseks ja
planeerimiseks vajaliku statistika ja analüüsi koostamine. Seletuskirjas on selgitatud, et
muudatusega ajakohastatakse e-toimiku süsteemi eesmärgi kirjeldust ning täpsustatakse,
et süsteem toetab lisaks menetluste läbiviimisele ka statistika ja analüüsi koostamist ning
õiguspoliitiliste otsuste tegemist.
Siinjuures juhime tähelepanu andmekogu asutamise volitusnormidele, mis sellisel
eesmärgil toimuvat andmetöölust ette ei näe. KrMS § 210 lõige 1, VTMS § 811 lõige 1 ja
TsMS § 601 lõige 1 näevad küll ette kriminaal-, karistus- ja õiguspoliitiliste otsuste
tegemiseks vajaliku statistika kogumist, samuti kohtute töö korraldamist, kuid ei näe ette
võimalust töödelda andmekogu andmeid süsteemi sisemise töökorralduse analüüsimiseks
ja planeerimiseks.
Andmekaitse Inspektsioon on andmekogude juhendis1 selgitanud, et andmekogu eesmärk
peab olema seaduses sätestatud, sest see ongi volitusnormi tuum. Vajalik ei ole andmekogu
täpse nime seaduses sätestamine (see võib tulla ka põhimäärusest). Kuid hädavajalik on,
et volitusnorm annaks vastuse küsimusele, millisel eesmärgil, milliste ülesannete
täitmiseks andmekogu luuakse. Ilma selleta on raskendatud kontroll andmekogu pidamise
õiguspärasuse ja isikuandmete töötlemise ulatuse üle. Seega peab seaduse volitusnormis
sätestatud andmekogu eesmärk kajastama kõiki neid eesmärke ja ülesandeid, mille
täitmise lihtsustamiseks andmekogu andmeid on vajalik töödelda.
Siinjuures peame vajalikuks rõhutada, et isikuandmete töötlemine on põhiõiguste ja -
vabaduste riive, sest mõjutab nii pere- ja eraelu puutumatust kui ka informatsioonilise
eneseteostuse vabadust. Põhiseaduse § 11 kohaselt tohib õigusi ja vabadusi piirata ainult
kooskõlas põhiseadusega ning põhiseaduse § 3 järgi teostatakse riigivõimu üksnes
põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Selles viimases sättes
1 Andmekogude juhend
2 (4)
väljendatud üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates
küsimustes kõik olulised otsused langetama seadusandja. Samuti on Riigikohus
rõhutanud, et intensiivse riive korral peab olulisuse põhimõttest tulenevalt seadusandja
otsustama lubatava haldustegevuse sisu, ulatuse ja mahu. Seega, kuna e-toimiku süsteemis
isikuandmete töötlemisel riivatakse inimese õigust privaatsusele, siis peavad sellise riive
alused ja ulatus tulema seadusest ning neid ei tohiks muuta madalama taseme õigusaktiga.
Samuti näeb EL isikuandmete kaitse üldmääruse (IKÜM) artikkel 6 lõige 3 ette, et kui
isikuandmete töötlemise aluseks on avaliku ülesande täitmine (IKÜM artikkel 6 lõige 1
punkt e) või juriidilise kohustuse täitmine (IKÜM artikkel 6 lõige 1 punkt c), siis tuleb
töötlemise alus kehtestada liikmesriigi õigusega ning selles õiguslikus aluses määratakse
kindlaks ka isikuandmete töötlemise eesmärk, töötlemisele kuuluvate andmete liik,
asjaomased andmesubjektid, isikuandmete avaldamist ja säilitamist puudutav.
Leiame, et praegune volitusnorm on liiga ebamäärane, jättes täitevvõimule liiga suure
otsustusõiguse, mis võib viia olukorrani, kus isikuandmete töötlemise olulised tingimused
on reguleeritud vaid määruste tasandil. Just seaduseandja peab otsustama kõik olulised
andmekaitseküsimused, jättes täitevvõimule vaid täpsustavad ja korraldusküsimused.
Ühtlasi juhime tähelepanu Justiits- ja Digiministeeriumi juhisele2, milles on selgitanud, et
andmekogude puhul tuleb seaduses sätestada, millisel eesmärgil ja milliste ülesannete
täitmiseks andmeid töödeldakse – andmekogu peetakse seadusest tuleneva ülesande
täitmise lihtsustamiseks. Lisaks näeb juhis ette, et seaduses tuleb muu hulgas sätestada ka
see, milliseid isikuandmete kategooriaid andmekogus töödeldakse ja kui kaua neid
säilitatakse, kes on isikuandmete kaasvastutavad töötlejad ning volitusnorm põhimääruse
kehtestamiseks koos selle raamidega (nt pidamise kord, andmeandjad, andmevahetus
teiste andmekogudega, vastutava/volitatud töötleja ülesanded, juurdepääs ja väljastamise
kord, muud korralduslikud küsimused). E-toimiku süsteemi asutamist puudutavates
volitusnormides juhises nimetatud osa puudub, mistõttu soovitame edaspidi eelnimetatud
seaduste muutmisel vaadata üle ka andmekogu asutamist puudutavad volitusnormid.
2. Eelnõu punktiga 2 ajakohastatakse e-toimiku süsteemi ülesehituse kirjeldust. Seletuskirjas
on selgitatud, et kehtiva regulatsiooni asemel loetakse e-toimiku süsteemi peamised
funktsionaalsed osad ning tehnilised komponendid. Muudatusega nähakse ette, et e-
toimiku süsteem koosneb põhisüsteemist, avalikust liidesest, kriminaalmenetluse liidesest,
väärteomenetluse liidesest, digitoimikust, statistikakeskkonnast ning muudest e-toimiku
süsteemiga liidestatud infosüsteemidest ja tehnilistest komponentidest. Lisaks on
seletuskirjas selgitatud, et kehtivas põhimääruses sisalduv süsteemi ülesehituse kirjeldus
on aegunud ega vasta enam süsteemi tegelikule arhitektuurile. E-toimikuga on X-tee
kaudu liidestatud ligikaudu 40 infosüsteemi ning kõigi nende eraldi nimetamine määruses
ei ole otstarbekas, kuna liidestatud süsteemide arv ja nimetused muutuvad pidevalt.
Siinjuures võib nõustuda sellega, et kehtiva põhimääruse tehniline kirjeldus on ajale jalgu
jäänud. Samas ei saa andmekogu põhimääruses läbipaistvusest loobuda üksnes põhjusel,
et liidestatud infosüsteemide arv muutub. Kui põhimäärus kasutab sõnastust „muud e-
toimiku süsteemiga liidestatud infosüsteemid ja tehnilised komponendid“, peab olema
selge, kas need on e-toimiku süsteemi osad, andmeandjad, andmesaajad, tehnilised
vahendajad või eraldiseisvad infosüsteemid. Sellest sõltub ka vastutus andmekvaliteedi,
juurdepääsu, logimise, andmesubjekti õiguste ja rikkumiste käsitlemise eest.
AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses muu hulgas sätestada ka
andmeandjad. Oleme andmekogude juhendis selgitanud, et andmekogu põhimääruses
tuleks muu hulgas välja tuua ka andmete allikad ehk millistest andmekogudest või kelle
2 Andmekaitseõiguse ja avaliku teabe juhised eelnõu koostajale
3 (4)
käest (millistelt andmeandjatelt) andmeid saadakse. Seeläbi määratakse tegelikult
kindlaks, millised on andmekogu unikaalsed põhiandmed.
Palume eelnõud ja seletuskirja täiendada selliselt, et oleks selgelt eristatav, millised
komponendid on e-toimiku süsteemi osad ja millist eesmärki need täidavad (näiteks jääb
ebaselgeks, millistest andmetest koosneb digitoimik ning mis on selle eesmärk) ning
millised infosüsteemid on üksnes liidestatud andmeandjad või andmesaajad (sh milliseid
andmeid andmeandjad e-toimiku süsteemi edastavad) ning millised osapooled täidavad
tehnilise töötleja ülesandeid.
3. Eelnõu punktiga 3 täiendatakse põhimääruse § 2 lõikega 11, mille kohaselt koosneb
statistikakeskkond keskandmekogust ja andmeandjate edastatavatest andmetest.
Ebaselgeks jääb, mida tähendab keskandmekogu (sh milliseid andmeid see sisaldab) ning
milliste andmeandjate poolt edastatud andmed kantakse statistikakeskkonda. Kehtiva
põhimääruse § 191 lõikes 1 on juba sätestatud, et statistikakeskkond e-toimiku süsteemi
kuuluv ning selle andmeid koondav keskkond, millest võib järeldada, et tegemist on
lähteandmekogu andmetest koosneva andmelaoga, mille eesmärgiks on võimaldada
statistika ja analüüside koostamist. Seega ei ole selge, milline on plaanitava muudatuse
eesmärk.
Samuti vajab seoses statistikakeskkonnaga täpsustamist ametnike andmetega seonduv.
Sätte sõnastusest võib välja lugeda, et statistikakeskkond koosneb andmetest, mida
töödeldakse pseudonüümitud kujul, v.a ametnike andmed. Ametnike nime, isikukoodi ja
töötamise andmete isikustatud kujul töötlemine statistikakeskkonnas on andmekaitseliselt
oluline erand. Seletuskirjas on selgitatud, et see võimaldab teha täpsemat statistikat
konkreetsete menetlejate menetluses olevate asjade üle, kuid põhimääruse tasandil ei ole
piisavalt selge, milliste ametnike andmeid, millise ajavahemiku kohta, kellele nähtavalt ja
milliste otsuste tegemiseks kasutatakse. Siinjuures tuleks eriti vältida olukorda, kus
statistikakeskkond kujuneb sisuliselt isikustatud töösoorituse või töökoormuse jälgimise
vahendiks ilma selgete õiguslike piiride ja kaitsemeetmeteta. Kuigi kohtute töökoormuse
analüüs võib olla õigustatud, peab põhimäärus eristama süsteemi juhtimis- ja
planeerimisanalüüsi individuaalse teenistujapõhise hindamise andmetöötlusest.
4. Eelnõu punktiga 5 muudetakse kehtiva põhimääruse § 4 lõike 2 sõnastust. Seletuskirjas
toodud selgitustest nähtuvalt sätestatakse kehtiva regulatsiooni asemele üldisem ja selgem
loetelu asutustest ning isikutest, kes töötlevad e-toimiku süsteemis andmeid oma seadusest
tulenevate ülesannete täimiseks. Volitatud töötlejatena nimetatakse kohut, prokuratuuri,
uurimisasutusi, kohtuväliseid menetlejaid, julgeolekuasutusi, vanglaid ja arestimajasid,
kriminaalhooldusametnikke ning muid seaduses sätestatud asutusi nende pädevuse piires.
Kindlasti peame töötlejate loetelu ajakohastamist vajalikuks, kuid samas jääb eelnõu
sõnastus osaliselt liiga üldiseks. Eriti vajab täpsustamist väljend „muud seaduses
sätestatud asutused nende pädevuse piires“. Selline avatud viide võib olla praktiliselt
vajalik, kuid andmekogu põhimääruses peab olema võimalik aru saada, millist liiki
asutused, milliste seadusest tulenevate ülesannete täitmiseks ja millises andmetöötlusrollis
e-toimiku andmeid töötlevad. Lisaks tuleb eristada sisulist andmetöötlejat ja tehnilist
töötlejat. Näiteks RIK ning eelnõus nimetatud SMIT rollid ei ole olemuslikult samad kui
kohtul, prokuratuuril või uurimisasutusel. Tehnilise töötleja ülesanded, ligipääsu ulatus ja
vastutus peavad olema põhimääruses selgelt eristatavad sisuliste menetlusasutuste rollist.
Palume eelnõu selles osas kindlasti täiendada selliselt, et oleks selgelt aru saada, milline
asutus millist rolli täidab ning millised on selle rolliga kaasnevad ülesanded ja vastutus.
5. Eelnõu punktiga 7 täiendatakse kehtiva põhimääruse § 5 punktiga 61, mille kohaselt
korraldab andmekogu vastutav töötleja järelevalvet e-toimiku süsteemi kasutamise,
juurdepääsõiguste ja logide kontrollimise üle. Sätte sõnastusest võib välja lugeda, et
4 (4)
vastutav töötleja teostab järelevalvet nende üle, kes logisid kontrollivad. Ilmselt ei ole seda
silmas peetud, vaid pigem on vastutava töötleja ülesandeks teostada järelevalvet logimise,
süsteemi kasutamise ja juurdepääsuõiguste üle. Palume eelnõu sõnastust muuta selliselt,
et oleks selgelt aru saada, mille üle andmekogu vastutav töötleja järelevalvet teostab.
6. Eelnõu punktiga 8 muudetakse põhimääruse § 6 lõike 1 punkti 6 ning sätestatakse, et
volitatud töötleja tagab, et andmeid töötlevad üksnes sellise õigusega isikud vastavalt
õigusaktides sätestatud eesmärgile ja ulatusele. Lisaks täiendatakse § 6 lõikega 2, mille
järgi määrab volitatud töötleja oma pädevusse kuuluvate isikuandmete töötlemise eest
vastutavad isikud ning tagab andmesubjekti õiguste teostamise seaduses sätestatud korras.
Leiame, et säte vajab täpsustamist. Sõnastus „tagab andmesubjekti õiguste teostamise
seaduses sätestatud korras“ on liiga üldine, arvestades e-toimiku süsteemi mitme
menetlusliigi, mitme asutuse ja eri juurdepääsupiirangutega andmeid. Andmesubjektile
peab olema arusaadav, kelle poole ta saab pöörduda, milline asutus hindab juurdepääsu
võimaldamist või piiramist ning kuidas lahendatakse olukorrad, kus andmed pärinevad
ühest asutusest, kuid neid töödeldakse või kuvatakse teise süsteemi kaudu. Soovitame
täiendada eelnõu ja seletuskirja selliselt, et oleks aru saada, kuidas jaguneb andmesubjekti
õiguste tagamise vastutus vastutava töötleja, volitatud töötlejate ja tehniliste töötlejate
vahel.
7. Ühtlasi juhime tähelepanu kehtiva põhimääruse § 2 lõigetele 2–4, mille puhul on tegemist
sisutühjade sätetega. AvTS § 439 lõike 5 järgi toimub andmevahetus riigi infosüsteemi
kuuluvate andmekogudega ja riigi infosüsteemi kuuluvate andmekogude vahel läbi riigi
infosüsteemi andmevahetuskihi ehk üle X-tee, mistõttu selle kordamine põhimääruses ei
ole vajalik. Samuti ei ole vajalik põhimääruses rõhutada, et andmekogus kasutatakse
automatiseeritud andmetöötlust ja andmeid säilitatakse digitaalsel kujul. Tegemist on
sisutu sättega. Infosüsteem on defineeritud küberturvalisuse seaduses ning selle järgi
kujutabki infosüsteem endast digitaalset andmetöötlust.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Virve Lans
627 4132
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|