| Dokumendiregister | Majandus- ja Kommunikatsiooniministeerium |
| Viit | 2-2/1846-4 |
| Registreeritud | 26.07.2024 |
| Sünkroonitud | 29.07.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 2 Õigusloome ja -nõustamine |
| Sari | 2-2 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega |
| Toimik | 2-2/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Stina Avvo (Majandus- ja Kommunikatsiooniministeerium, Kantsleri valdkond, Digiarengu valdkond, Digiriigi arengu osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Majandus- ja
Kommunikatsiooniministeerium
Teie 05.07.2024 nr Meie 26.07.2024 nr 2.3-4/24/1782-3
Arvamuse avaldamine eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile (AKI) arvamuse avaldamiseks avaliku teabe
seaduse § 32¹ ja muutmise eelnõu.
1. AKI-l on eelnõuga seonduvalt järgmised tähelepanekud.
1.1.Eelnõu § 1 p 2 märgitud AvTS § 32¹ lg 5 sõnastus „Vabariigi Valitsus võib määrusega
kehtestada Eesti teabevärava ja selles nii isikustatud kui isikustamata teabe ja teenuste
kättesaadavaks tegemise, arendamise, haldamise, kasutamise, isikuandmete töötlemise
ning andmekogu teabeväravaga liidestamise nõuded ja korra.“ ei sobi, kuna see jätab
seadusandjale kaalutlusruumi selle suhtes, kas üldse sätestatakse täiendav regulatsioon
Eesti teabevärava kaudu isikuandmete töötlemise reeglite ja põhimõtete osas või mitte.
Seaduses sätestatud volitusnorm peab olema selge ja konkreetne, seega AKI soovitab
loobuda sõna „võib“ kasutusest ning määrata konkreetselt Vabariigi Valitsuse
kohustuse kehtestada määrusega Eesti teabevärava kasutamise nõuded ja korra.
1.2.Eelnõu seletuskirjas on keskendutud suuresti analüüsile, kas Eesti teabevärava puhul
on tegemist infosüsteemi või andmekoguga. AKI nõustub seletuskirjas toodud
argumentidega ning sellega, et tegu on infosüsteemiga. Kuid seletuskirjas jäid muud
olulised asjad seletamata. 1.3.Arusaamatuks jääb näiteks see, kas Eesti teabevärava teenuse kasutamiseks antav
nõusoleku all peetakse silmas IKÜM art 6 lg-s 1 mõeldud nõusolekut. Inimene küll
avaldab nõustumust (tahteavaldus), et oma isikuandmed töölauale saada või
sündmusteenust kasutada. Kuid AKI hinnangul ei ole siiski antud juhul tegu
klassikalise andmekaitselise nõusolekuga. Ühtlasi ei ole eelnõust, rakendusaktist ega
seletuskirjast ühiselt selge, kellele ja kuidas peaks inimene nõusolekut andma, kas Eesti
teabeväravale või andmeandjale. 1.4.Eelnõu seletuskirjas AvTS § 32¹ lg 1 kommentaari juures väidetakse, et isikustatud
teavet saab teabeväravas kättesaadavaks teha juhul, kui sellise võimaluse sätestab
eriseadus või füüsilise isiku nõusolekul, kui pakutakse mugavusteenust. Arusaamatuks
jääb siinjuures see, millise isikustatud teave kättesaadavus on ettenähtud eriseadusega,
eriti arvestades, et rakendusakti § 23 lg näeb ette isikustatud teabe kuvamist süsteemis
ainult isiku tahteavalduse või nõusoleku alusel. 1.5.Seletuskirjas on täiesti jäetud käsitlemata rakendusakti muudatused, millised on aga
suuresti seotud isikuandmete töötlemisega. Puhtalt rakendusakti kavandi alusel ei ole
2 (3)
võimalik hinnata, kas Eesti teabeväravas töödeldavate isikuandmete töötlemisel on
järgitud isikuandmete kaitse põhimõtted, näiteks, kas isikuandmete säilitamise tähtajad
on põhjendatud, kuna seletus valitud tähtaegade pikkuse vajalikkuse osas puudub.
2. Rakendusakti kavandiga seonduvalt on AKI-l järgmised tähelepanekud.
2.1.Rakendusakti kavandi § 23 lg 1 mõlema punkti teavet kuvatakse Eesti teabeväravas,
seega oleks AKI hinnangul mõistlikum tõsta fraasi „Eesti teabeväravas“ teisest punktist
lõike 1 põhilausesse nt järgmiselt: „Isikustatud teabe kuvamise süsteem võimaldab
näidata Eesti teabeväravas füüsilisele isikule: /…/“. Muidu tekib ekslik mulje, justkui
kuvatakse Eesti teabeväravas ainult punktis 2 nimetatud andmed.
2.2.AKI leiab, et nii isikustatud teave (rakendusakti kavandi § 23 lg 1 p 1) kui isiku
sündmusteenuste kohta käiva teave (rakendusakti kavandi § 23 lg 1 p 2) Eesti
teabeväravas kuvamise aluseks on isiku tahteavaldus. Nii seletuskirjas kui rakendusakti
kavandi tekstist tulenevalt on võimatu aru saada, milles seisneb sisuline erinevus
tahteavalduse ja nõusoleku vahel. Ühtlasi, nagu on juba eespool mainitud, jääb
arusaamatuks, kas nõusoleku puhul on tegemist andmekaitsealase nõusolekuga, mille
jaoks on IKÜM-is ettenähtud konkreetsed põhimõtted ja reeglid. 2.3.Rakendusakti kavandi § 23 lg 2 iga punkti sõnastuses säilitustähtaja määramisel
kasutatud sõna „kuni“ ei sobi, kuna isikuandmete puhul peab säilitustähtaeg olema
sätestatud üheselt arusaadavalt ning seletuskiri peab sisaldama põhjendused selle
pikkuse kohta. Lisaks jääb ebaselgeks, mis andmed on „isikustatud teabe kuvamisega
seotud andmeid“, st kas tegemist on rakendusakti kavandi §-s 27 nimetatud andmetega
või nende kuvamisega seotud andmetega (viimase puhul jääb arusaamatuks millised
need andmed võiksid olla). Kui siiski tegemist on §-s 27 nimetatud andmetega, siis
peaks § 23 lg 2 sõnastuse muutma selgemaks.
2.4.Mõisted kehtivas määruses ja muudatustes ei lähe kokku. Määruses kasutatakse
termineid, mis tegelikult tähendavad üht aja sama isikut (nt teabevaldaja, andmeandja,
teenusepakkuja). Seletamata on andmesaaja mõiste. Kui andmesaaja puhul on tegemist
isikuga, kelle andmed kuvatakse süsteemis, siis arusaamatuks jääb, kuidas tema saab
rakendusakti kavandi §-s 26 ettenähtud õigust kasutada ehk esitada haldajale avalduse
isikustatud teabe kuvamise süsteemi kasutamise lõpetamiseks. 2.5. Rakendusakti kavandi § 26 reguleerib sama asja, ehk Eesti teabevärava süsteemi
kasutamise lõppemist, mida on juba reguleeritud kehtiva määruse §-ga 17. 2.6.Lisaks ülaltoodule jääb rakendusakti kavandi §-i 26 kohaselt arusaamatuks, kas
süsteemi kasutamine lõppeb kohe avalduse esitamisest või avalduse läbi vaatamine
võtab omajagu aega. Sätet võiks selgemini sõnastada.
2.7.Rakendusakti kavandi § 27 lg 2 on sisutühi, kuna dubleerib § 3 lg-t 1, millega tekitab
ebaselgust. 2.8. Rakendusakti kavandi § 28 (haldaja ülesanded) on sisuliselt haldaja kohustused, mis
on juba reguleeritud kehtiva määruse § 3 lg-s 3. Loogiline oleks paigutada haldaja
õigusi ja kohustusi puutuava regulatsiooni ühte paragrahvisse, sh vaadata üle, et
muudatused ei oleks juba olemasoleva regulatsiooniga vastuolus ega dubleeriks
teineteist. 2.9.Rakendusakti kavandi § 29 reguleerib isikuandmete logimist, seega peab ka logide
säilitamise tähtaega määrusega kindlaks määrama, mis on hetkel tegemata. Andmete
säilitamine ja logimine on reguleeritud kehtiva määruse §-s 21, mille lg 5 kohaselt
logisid säilitatakse kuni viis aastat andmete muutmise hetkest arvates. Ehk juttu on
3 (3)
ainult muudatustest, reguleerimata on logide säilitamine nende tekkimisest, sh ei sobi
isikuandmete säilitamise puhul ebamäärane säilitustähtaeg, ehk sõna „kuni“ peaks
isikuandmete säilitamise tähtaja määramisel vältida. Lisaks viitab kehtiva määruse §
21 lg 6 kehtetu määrusele, seega sisuliselt on hetkel logide säilitamise regulatsioon
üldiselt puudulik.
Kokkuvõtvalt on AKI seisukohal, et eelnõu vajaks veel erinevate osapoolte arutelusid enne, kui
sellega edasi liikuda ja palub sellega arvestada. Vajadusel on AKI valmis osapooltega kohtuda, et
anda täiendavad selgitused ülaltoodud tähelepanekute osas ning soovitusi võimalike
muudatusettepanekute osas.
Lugupidamisega
(allkirjastatud digitaalselt)
Andres Kudrjavtsev
jurist
peadirektori ülesannetes
Irina Meldjuk
+372 6274108
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|