Arvamus eelnõule

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / info@aki.ee / www.aki.ee / registrikood 70004235

Lp Tiit Riisalo

Majandus- ja

kommunikatsiooniministeerium

info.mkm@mkm.ee

Teie 21.06.2024 nr 2-2/1724-1 Meie 12.07.2024 nr 2.3-4/24/1681-2

Arvamuse avaldamine avaliku teabe seaduse ja

keeleseaduse muutmise seaduse eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks avaliku teabe seaduse ja

keeleseaduse muutmise seaduse eelnõu. Meil on esitatud eelnõu osas järgmised tähelepanekud.

Eelnõu § 1 punktiga 1 täiendatakse riigi infosüsteemi kindlustatavate süsteemide loetelu kahe

süsteemiga, milleks on andmeedastuse nõusoleku süsteem ja keskne volituste haldamise süsteem.

Seaduse eelnõule lisatud rakendusakti kavandi (lisa 1) § 2 lõike 2 punkti 2 järgi võimaldab

andmeedastuse nõusoleku süsteem andmesubjektil esitada EL isikuandmete kaitse üldmääruse

(IKÜM) artiklis 20 sätestatud õiguse kohaldamiseks isikuandmete ülekandmise taotlust tema

kohta käivate isikuandmete edastamiseks infosüsteemide andmevahetuskihi kaudu ühest riigi

infosüsteemi (edaspidi ka RIS) kuuluvast andmekogust teise riigi infosüsteemi andmekogusse.

Seaduse eelnõu seletuskirjas (lk 6) on selgitatud, et andmete ülekandmise tahteavalduse all

peetakse silmas eriseadusest sätestatud inimese õigust edastada andmete ülekandmise

tahteavaldus tema kohta käivate isikuandmete edastamiseks X-tee kaudu ühest RIS-i kuuluvast

andmekogust teise RIS-i kuuluvasse andmekogusse. Seletuskirjas on viidatud IKÜM artikkel 20

lõikele 1, mis sätestab andmete ülekandmise õiguse ja selle õiguse teostamise eeldused, milleks

on mitme kumulatiivse tingimuse täitmine: andmesubjektil on õigus saada teda puudutavaid

isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas

vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale

töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks,

kui: a) töötlemine põhineb nõusolekul või andmesubjekti osalusel sõlmitud lepingu täitmisel ning

b) andmeid töödeldakse automatiseeritult. Samuti on seletuskirjas viidatud IKÜM artikkel 20

lõikele 3, mille järgi ei kohaldata andmete ülekandmise õigust, kui andmeid töödeldakse avalikes

huvides oleva ülesandme täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

Samas leitakse seletuskirjas, et eelkirjeldatud õiguse teostamine ei ole siiski välistatud, kui

riigisiseses õiguses selline võimalus ette nähakse. Andmete ülekandmise õigus on praktilise

näitena olulisel kohal personaalmeditsiini arendamisel, näiteks andmete ülekandmiseks

geenivaramust tervise infosüsteemi (edaspidi TIS) juurde arendatavasse genoomiandmete

infosüsteemi (edaspidi GAIS). RIS-i kuuluvate andmekogude vastutavad töötlejad on sellises

võimaluses kokku leppinud ja selle nõusolekusüsteemi platvormil ette näinud. AvTS muutmisega

nähaksegi ette võimalus teostada andmete ülekandmise õigust juhul, kui vastav eriseadus selle ette

näeb. Sel juhul saab asjakohase tahteavalduse anda nõusolekusüsteemis.

2 (3)

Inspektsioon nõustub seletuskirjas tooduga osas, et IKÜM-st tulenevalt on inimesel õigus endaga

seotud isikuandmeid vabalt kasutada. Samuti on IKÜM läbiv mõte füüsilise isiku kontrolli

suurendamine oma andmete üle, mis on ka IKÜM artikli 20 eesmärk – suurendada

andmesubjektide mõjuvõimu seoses oma isikuandmetega.

IKÜM põhjenduspunktis 68 on artikkel 20 osas selgitatud, et kontrolli tugevdamiseks oma

andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema

lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud,

struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada

neid teisele vastutavale töötlejale. Vastutavaid töötlejaid peaks julgustama arendama

koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust.

Eelnõu seletuskirja joonealuses viites 2 on märgitud, et IKÜM-i artiklist 20 tulenev andmesubjekti

õigus, mille puhul andmete ülekandmist ühelt vastutavalt töötlejalt teisele võib nõuda vaid juhul,

kui vastutav töötleja töötleb andmeid nõusoleku või lepingu alusel. Nõudeõigus ei kohaldu juhul,

kui isikuandmeid töödeldakse avalikes huvides oleva ülesande täitmiseks. See asjaolu ei keela aga

avaliku sektori asutustel kodanikule sellist õigust soovi korral pakkuda. Sellise lähenemisega ei

saa aga nõustuda ning see läheb ka vastuollu avalikus õiguses kehtiva põhimõttega, et kõik, mis

pole lubatud, on keelatud.

AvTS § 431 lõike 1 ja § 433 lõike 1 järgi on andmekogu riigi, omavalitsuse, avalik-õigusliku

juriidilise isiku või muu avalikke ülesandeid täitva isiku infosüsteemis töödeldavate korrastatud

andmete kogum, mis asutatakse seaduse või selle alusel antud õigusaktiga ja selles sätestatud

ülesannete täitmiseks.

Kui haldusorgan kogub andmeid andmekogusse, siis tuleneb õiguslik alus isikuandmete

töötlemiseks üldjuhul IKÜM artikkel 6 lõike 1 punktist e ehk andmed on vajalikud vastutava

töötleja avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu

teostamiseks. See aga tähendab, et andmekogus isikuandmete töötlemise reguleerimisel tuleb

arvestada ka IKÜM artikkel 6 lõikega 3, mille järgi tuleb isikuandmete töötlemise alus kehtestada

kas liidu või liikmesriigi õigusega, sh määrata õiguslikus aluses isikuandmete töötlemise eesmärk,

töötlemisele kuuluvate andmete liik, asjaomased andmesubjektid, säilitamise aeg, üksused, kellele

võib andmeid avaldada ning meetmed seadusliku ja õiglase töötlemise tagamiseks.

Lisaks näeb AvTS § 435 lõige 1 ette, et andmekogul peab olema põhimäärus, milles muu hulgas

sätestatakse andmekogusse kogutavate andmete koosseis. Inspektsioon on andmekogusid

puudutavas juhendis selgitanud, et põhimäärus peab sisaldama ammendavat loetelu andmekogusse

kogutavatest andmetest, sealjuures peab loetelust selguma, kelle kohta neid andmeid kogutakse.

Põhjenduspunktis 68 on lisaks märgitud, et oma olemuselt ei tohiks IKÜM artiklis 20 toodud

õigust kasutada isikuandmete vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma

avalike ülesannete täitmisel. Seetõttu ei tuleks seda kohaldada, kui isikuandmete töötlemine on

vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande

täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

Kuna nii Eesti Vabariigi põhiseadusest kui ka IKÜM-st tulenevalt peab andmekogudes toimuv

isikuandmete töötlemine olema õigusaktides selgelt ja täpselt reguleeritud, siis antud juhul jääbki

selgusetuks, kuidas peaks andmete ülekandmise õiguse realiseerumine täpsemalt toimuma, kui

taotletakse andmete ühest andmekogust teise ülekandmist (nt taotletakse terviseandmete või

geeniandmete ülekandmist rahvastikuregistrisse, maksuregistri andmete ülekandmist tervise

infosüsteemi vms).

Küll aga on artikli 29 alusel asutatud andmekaitse töörühma vastu võetud dokumendis „Suunised

3 (3)

andmete ülekandmise õiguse kohta“1 andmekaitse töörühm joonealuses viites 16 (lk 8) muu hulgas

leidnud, et /…/ andmete ülekantavust ei kohaldata juhul, kui töötlemine on vajalik avalikes huvides

oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või kui vastutav

töötleja täidab oma avalikke või juriidilisi kohustusi. Seepärast ei ole vastutavatel töötlejatel

kohustust sellistel juhtudel ülekandmist võimaldada. On aga hea tava töötada välja ülekandmise

taotlustele automaatse vastamise menetlused, järgides andmete ülekandmise õigust reguleerivaid

põhimõtteid. Selle näide on valitsuse pakutav teenus, mis võimaldab hõlpsalt alla laadida

üksikisiku varasemaid tuludeklaratsioone. See tähendaks, et andmesubjektile luuakse võimalus

saada RIS kuuluvast andmekogust teda puudutavaid isikuandmeid struktureeritud, üldkasutatavas

vormingus ning masinloetaval kujul ning seejärel säilitada neid andmeid edaspidiseks isiklikuks

kasutamiseks, ilma et andmeid tingimata teisele vastutavale töötlejale edastataks. Samas märgime,

et nimetatud suuniste puhul on tegemist kinnitamata suunistega, mis tähendab, et Euroopa

Andmekaitsenõukogu ei ole nende osas veel oma seisukohta andnud.

Kokkuvõtteks rõhutame, et inspektsioon ei näe probleemi IKÜM artiklile 20 tuginevat andmete

ülekandmist RIS kuuluvast andmekogust muule andmetöötlejale, kuid näeb probleemi, kui

andmete ülekandmine toimub ühest RIS kuuluvast andmekogust teise andmekogusse. See osa

vajab täiendavat analüüsimist.

Lugupidamisega

(allkirjastatud digitaalselt)

Pille Lehis

peadirektor

Terje Enula

terje.enula@aki.ee, 627 4144

1 Suunised andmete ülekandmise õiguse kohta (https://ec.europa.eu/newsroom/article29/items/611233/en)