| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-4/24/1681-2 |
| Registreeritud | 12.07.2024 |
| Sünkroonitud | 15.07.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-4 Arvamused õigusaktide eelnõude kohta |
| Toimik | 2.3-4 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Majandus- ja Kommunikatsiooniministeerium |
| Saabumis/saatmisviis | Majandus- ja Kommunikatsiooniministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Tiit Riisalo
Majandus- ja
kommunikatsiooniministeerium
Teie 21.06.2024 nr 2-2/1724-1 Meie 12.07.2024 nr 2.3-4/24/1681-2
Arvamuse avaldamine avaliku teabe seaduse ja
keeleseaduse muutmise seaduse eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks avaliku teabe seaduse ja
keeleseaduse muutmise seaduse eelnõu. Meil on esitatud eelnõu osas järgmised tähelepanekud.
Eelnõu § 1 punktiga 1 täiendatakse riigi infosüsteemi kindlustatavate süsteemide loetelu kahe
süsteemiga, milleks on andmeedastuse nõusoleku süsteem ja keskne volituste haldamise süsteem.
Seaduse eelnõule lisatud rakendusakti kavandi (lisa 1) § 2 lõike 2 punkti 2 järgi võimaldab
andmeedastuse nõusoleku süsteem andmesubjektil esitada EL isikuandmete kaitse üldmääruse
(IKÜM) artiklis 20 sätestatud õiguse kohaldamiseks isikuandmete ülekandmise taotlust tema
kohta käivate isikuandmete edastamiseks infosüsteemide andmevahetuskihi kaudu ühest riigi
infosüsteemi (edaspidi ka RIS) kuuluvast andmekogust teise riigi infosüsteemi andmekogusse.
Seaduse eelnõu seletuskirjas (lk 6) on selgitatud, et andmete ülekandmise tahteavalduse all
peetakse silmas eriseadusest sätestatud inimese õigust edastada andmete ülekandmise
tahteavaldus tema kohta käivate isikuandmete edastamiseks X-tee kaudu ühest RIS-i kuuluvast
andmekogust teise RIS-i kuuluvasse andmekogusse. Seletuskirjas on viidatud IKÜM artikkel 20
lõikele 1, mis sätestab andmete ülekandmise õiguse ja selle õiguse teostamise eeldused, milleks
on mitme kumulatiivse tingimuse täitmine: andmesubjektil on õigus saada teda puudutavaid
isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas
vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale
töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks,
kui: a) töötlemine põhineb nõusolekul või andmesubjekti osalusel sõlmitud lepingu täitmisel ning
b) andmeid töödeldakse automatiseeritult. Samuti on seletuskirjas viidatud IKÜM artikkel 20
lõikele 3, mille järgi ei kohaldata andmete ülekandmise õigust, kui andmeid töödeldakse avalikes
huvides oleva ülesandme täitmiseks või vastutava töötleja avaliku võimu teostamiseks.
Samas leitakse seletuskirjas, et eelkirjeldatud õiguse teostamine ei ole siiski välistatud, kui
riigisiseses õiguses selline võimalus ette nähakse. Andmete ülekandmise õigus on praktilise
näitena olulisel kohal personaalmeditsiini arendamisel, näiteks andmete ülekandmiseks
geenivaramust tervise infosüsteemi (edaspidi TIS) juurde arendatavasse genoomiandmete
infosüsteemi (edaspidi GAIS). RIS-i kuuluvate andmekogude vastutavad töötlejad on sellises
võimaluses kokku leppinud ja selle nõusolekusüsteemi platvormil ette näinud. AvTS muutmisega
nähaksegi ette võimalus teostada andmete ülekandmise õigust juhul, kui vastav eriseadus selle ette
näeb. Sel juhul saab asjakohase tahteavalduse anda nõusolekusüsteemis.
2 (3)
Inspektsioon nõustub seletuskirjas tooduga osas, et IKÜM-st tulenevalt on inimesel õigus endaga
seotud isikuandmeid vabalt kasutada. Samuti on IKÜM läbiv mõte füüsilise isiku kontrolli
suurendamine oma andmete üle, mis on ka IKÜM artikli 20 eesmärk – suurendada
andmesubjektide mõjuvõimu seoses oma isikuandmetega.
IKÜM põhjenduspunktis 68 on artikkel 20 osas selgitatud, et kontrolli tugevdamiseks oma
andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema
lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud,
struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada
neid teisele vastutavale töötlejale. Vastutavaid töötlejaid peaks julgustama arendama
koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust.
Eelnõu seletuskirja joonealuses viites 2 on märgitud, et IKÜM-i artiklist 20 tulenev andmesubjekti
õigus, mille puhul andmete ülekandmist ühelt vastutavalt töötlejalt teisele võib nõuda vaid juhul,
kui vastutav töötleja töötleb andmeid nõusoleku või lepingu alusel. Nõudeõigus ei kohaldu juhul,
kui isikuandmeid töödeldakse avalikes huvides oleva ülesande täitmiseks. See asjaolu ei keela aga
avaliku sektori asutustel kodanikule sellist õigust soovi korral pakkuda. Sellise lähenemisega ei
saa aga nõustuda ning see läheb ka vastuollu avalikus õiguses kehtiva põhimõttega, et kõik, mis
pole lubatud, on keelatud.
AvTS § 431 lõike 1 ja § 433 lõike 1 järgi on andmekogu riigi, omavalitsuse, avalik-õigusliku
juriidilise isiku või muu avalikke ülesandeid täitva isiku infosüsteemis töödeldavate korrastatud
andmete kogum, mis asutatakse seaduse või selle alusel antud õigusaktiga ja selles sätestatud
ülesannete täitmiseks.
Kui haldusorgan kogub andmeid andmekogusse, siis tuleneb õiguslik alus isikuandmete
töötlemiseks üldjuhul IKÜM artikkel 6 lõike 1 punktist e ehk andmed on vajalikud vastutava
töötleja avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu
teostamiseks. See aga tähendab, et andmekogus isikuandmete töötlemise reguleerimisel tuleb
arvestada ka IKÜM artikkel 6 lõikega 3, mille järgi tuleb isikuandmete töötlemise alus kehtestada
kas liidu või liikmesriigi õigusega, sh määrata õiguslikus aluses isikuandmete töötlemise eesmärk,
töötlemisele kuuluvate andmete liik, asjaomased andmesubjektid, säilitamise aeg, üksused, kellele
võib andmeid avaldada ning meetmed seadusliku ja õiglase töötlemise tagamiseks.
Lisaks näeb AvTS § 435 lõige 1 ette, et andmekogul peab olema põhimäärus, milles muu hulgas
sätestatakse andmekogusse kogutavate andmete koosseis. Inspektsioon on andmekogusid
puudutavas juhendis selgitanud, et põhimäärus peab sisaldama ammendavat loetelu andmekogusse
kogutavatest andmetest, sealjuures peab loetelust selguma, kelle kohta neid andmeid kogutakse.
Põhjenduspunktis 68 on lisaks märgitud, et oma olemuselt ei tohiks IKÜM artiklis 20 toodud
õigust kasutada isikuandmete vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma
avalike ülesannete täitmisel. Seetõttu ei tuleks seda kohaldada, kui isikuandmete töötlemine on
vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande
täitmiseks või vastutava töötleja avaliku võimu teostamiseks.
Kuna nii Eesti Vabariigi põhiseadusest kui ka IKÜM-st tulenevalt peab andmekogudes toimuv
isikuandmete töötlemine olema õigusaktides selgelt ja täpselt reguleeritud, siis antud juhul jääbki
selgusetuks, kuidas peaks andmete ülekandmise õiguse realiseerumine täpsemalt toimuma, kui
taotletakse andmete ühest andmekogust teise ülekandmist (nt taotletakse terviseandmete või
geeniandmete ülekandmist rahvastikuregistrisse, maksuregistri andmete ülekandmist tervise
infosüsteemi vms).
Küll aga on artikli 29 alusel asutatud andmekaitse töörühma vastu võetud dokumendis „Suunised
3 (3)
andmete ülekandmise õiguse kohta“1 andmekaitse töörühm joonealuses viites 16 (lk 8) muu hulgas
leidnud, et /…/ andmete ülekantavust ei kohaldata juhul, kui töötlemine on vajalik avalikes huvides
oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või kui vastutav
töötleja täidab oma avalikke või juriidilisi kohustusi. Seepärast ei ole vastutavatel töötlejatel
kohustust sellistel juhtudel ülekandmist võimaldada. On aga hea tava töötada välja ülekandmise
taotlustele automaatse vastamise menetlused, järgides andmete ülekandmise õigust reguleerivaid
põhimõtteid. Selle näide on valitsuse pakutav teenus, mis võimaldab hõlpsalt alla laadida
üksikisiku varasemaid tuludeklaratsioone. See tähendaks, et andmesubjektile luuakse võimalus
saada RIS kuuluvast andmekogust teda puudutavaid isikuandmeid struktureeritud, üldkasutatavas
vormingus ning masinloetaval kujul ning seejärel säilitada neid andmeid edaspidiseks isiklikuks
kasutamiseks, ilma et andmeid tingimata teisele vastutavale töötlejale edastataks. Samas märgime,
et nimetatud suuniste puhul on tegemist kinnitamata suunistega, mis tähendab, et Euroopa
Andmekaitsenõukogu ei ole nende osas veel oma seisukohta andnud.
Kokkuvõtteks rõhutame, et inspektsioon ei näe probleemi IKÜM artiklile 20 tuginevat andmete
ülekandmist RIS kuuluvast andmekogust muule andmetöötlejale, kuid näeb probleemi, kui
andmete ülekandmine toimub ühest RIS kuuluvast andmekogust teise andmekogusse. See osa
vajab täiendavat analüüsimist.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
[email protected], 627 4144
1 Suunised andmete ülekandmise õiguse kohta (https://ec.europa.eu/newsroom/article29/items/611233/en)
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|