| Dokumendiregister | Kaitsevägi |
| Viit | KV-0.5-2/24/18201-1 |
| Registreeritud | 20.09.2024 |
| Sünkroonitud | 23.09.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | - - |
| Sari | - - |
| Toimik | - |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Kaitseministeerium |
| Saabumis/saatmisviis | Kaitseministeerium |
| Vastutaja | |
| Originaal | Ava uues aknas |
Stenbocki maja / Rahukohtu 3 / 15161 Tallinn / Estonia / registrikood 70004809 +372 693 5555 / [email protected] / www.riigikantselei.ee
Ministeeriumid Andmekaitse Inspektsioon Registrite ja Infosüsteemide Keskus
Meie: 20.09.2024 nr 7-2/24-01426-1
Vabariigi Valitsuse määruse „Taustakontrolli teenuse nõuded“ eelnõu kooskõlastamine
Edastame kooskõlastamiseks Vabariigi Valitsuse määruse „Taustakontrolli teenuse nõuded“ eelnõu. Palume eelnõu kooskõlastada hiljemalt 30. septembril 2024. a tulenevalt hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse jõustumisest 18. oktoobril 2024. a ja lähtudes nn CER direktiivi artiklis 26 sätestatud tähtpäevast. Lugupidamisega (allkirjastatud digitaalselt) Taimar Peterkop Riigisekretär Lisad: Lisa 1 - Vabariigi Valitsuse määruse eelnõu Lisa 2 - Seletuskiri Teadmiseks: Eesti Vee-ettevõtete Liit Eesti Jõujaamade ja Kaugkütte Ühing Eesti Gaasiliit Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Eesti Toiduainetetööstuse Liit Eesti Pangaliit Eesti Perearstide Selts Eesti Haiglate Liit Eesti Ravimihulgimüüjate Liit Eesti Kaubandus-Tööstuskoda Eesti Kaupmeeste Liit Eesti Proviisorapteekite Liit Eesti Põllumajandus-Kaubanduskoda Eesti Linnade ja Valdade Liit Finantsinspektsioon
.
2 (2)
Eesti Pank Eesti Turvaettevõtete Liit Eesti Arstide Liit Eesti Kiirabi Liit Ravimitootjate Liit MTÜ Eesti Apteekrite Liit Eesti Proviisorite Koda Eesti Elektritööstuse Liit Eesti Transpordikütuste ühing Eesti Taristuehituse Liit Eesti Varude Keskus AS Eero Svarval 6935537 [email protected]
EELNÕU 19.09.2024
VABARIIGI VALITSUS MÄÄRUS
Taustakontrolli teenuse nõuded1
Määrus kehtestatakse hädaolukorra seaduse § 411 lõike 10 alusel.
§ 1. Määruse reguleerimisala Määrusega kehtestatakse: 1) elutähtsa teenuse toimepidevuse tagamiseks kasutatava taustakontrolli teenuse nõuded tulenevalt hädaolukorra seaduse § 411 lõike 1 eesmärgist; 2) taustakontrolli teenuse vastutava ja volitatud töötleja ülesanded; 3) taustakontrolli teenusele juurdepääsu võimaldamise tingimused; 4) taustakontrolli teenuse kasutamisel töödeldavate andmete täpsem koosseis.
§ 2. Taustakontrolli teenuse nõuded (1) Taustakontrolli teenus tagab elutähtsa teenuse osutajale võimaluse e-äriregistri kaudu kontrollida hädaolukorra seaduse § 411 lõike 2 alusel kindlaksmääratud ülesannet täitva isiku karistatuse andmeid.
(2) Taustakontrolli teenuse kasutamisel võib käesolevas määruses sätestatud tingimustel ja ulatuses töödelda tsiviiltoetuse registrisse, töötamise registrisse ja karistusregistrisse kantud andmeid.
§ 3. Taustakontrolli teenuse kasutaja (1) Taustakontrolli teenust võib hädaolukorra seaduse § 411 lõike 2 alusel kindlaksmääratud ülesannet täitva isiku karistatuse andmete kontrollimiseks kasutada elutähtsa teenuse osutaja volitatud füüsiline isik, sealhulgas hädaolukorra seaduse § 411 lõikes 11 nimetatud juriidilise isiku töötaja (edaspidi teenuse kasutaja).
(2) Teenuse kasutaja isiku üldandmete või taustakontrolli teenusele juurdepääsu õiguse muutumisest peab elutähtsa teenuse osutaja või hädaolukorra seaduse § 411 lõikes 11 nimetatud juriidiline isik viivitamata teavitama taustakontrolli teenuse volitatud töötlejat.
§ 4. Vastutav ja volitatud töötleja (1) Taustakontrolli teenuse vastutav töötleja on Riigikantselei ning volitatud töötleja Registrite ja Infosüsteemide Keskus.
(2) Vastutav töötleja: 1) vastutab taustakontrolli teenuse toimimise eest, andes volitatud töötlejale taustakontrolli teenuse toimimise tagamiseks vajalikke juhiseid, ja kavandab teenuse arendamist;
2
2) lahendab taustakontrolli teenuse toimimist puudutavaid õiguslikke küsimusi; 3) teavitab volitatud töötlejat taustakontrolli teenuse toimimist ja kasutamist puudutavate kohustuste täitmist takistavatest asjaoludest ja teenust reguleerivate õigusaktide muutmise kavatsusest; 4) töötab koos volitatud töötlejaga välja taustakontrolli teenuse turvanõuded.
(3) Volitatud töötleja: 1) tagab teenuse kasutajale võimaluse saada e-äriregistri kaudu hädaolukorra seaduse § 411
lõike 2 alusel kindlaksmääratud ülesannet täitva isiku karistatuse andmeid; 2) peab arvestust teenuse kasutajate ja nende teenusele juurdepääsu õiguste üle, sealhulgas avades, sulgedes või muutes selleks asjassepuutuvate andmete saamisel juurdepääsu taustakontrolli teenusele; 3) nõustab teenuse kasutajaid tehnilistes küsimustes ja tagab teenuse infotehnoloogilise kasutajatoe; 4) korraldab taustakontrolli teenuse haldamise, hooldamise ja majutamise; 5) töötab koos vastutava töötlejaga välja taustakontrolli teenuse turvanõuded ja rakendab järjepidevalt andmete käideldavuse, tervikluse ja konfidentsiaalsuse tagamiseks turvanõuetele vastavaid turvameetmeid; 6) tagab andmete säilimise ja kustutamise vastavalt hädaolukorra seaduse § 418 lõikes 8 ja käesolevas määruses sätestatud nõuetele; 7) teavitab vastutavat töötlejat viivitamata taustakontrolli teenuse toimimist ja kasutamist puudutavate kohustuste täitmist takistavatest asjaoludest; 8) teeb vastutavale töötlejale ettepanekuid taustakontrolli teenuse arendamiseks ja viib neid ellu koostöös vastutava töötlejaga.
§ 5. Teenusele juurdepääs (1) Teenuse kasutajale võimaldatakse taustakontrolli teenusele juurdepääs üksnes hädaolukorra seaduse § 411 lõike 2 alusel kindlaksmääratud ülesannet täitva isiku karistatuse andmete kohta päringute tegemiseks.
(2) Teenuse kasutaja juurdepääs taustakontrolli teenusele toimub e-äriregistri kaudu.
(3) Taustakontrolli teenusele juurdepääsu andmisel identifitseeritakse teenuse kasutaja autentimise teenuse alusel.
(4) Lisaks teenuse kasutajale on taustakontrolli teenusele juurdepääs: 1) vastutaval ja volitatud töötlejal hädaolukorra seaduses ja käesolevas määruses sätestatud ülesannete täitmiseks; 2) elutähtsa teenuse toimepidevust korraldaval asutusel hädaolukorra seaduse § 45 lõike 1 punktis 3 sätestatud riikliku järelevalve tegemiseks; 3) Andmekaitse Inspektsioonil isikuandmete töötlemisele kehtestatud nõuete täitmise üle järelevalve tegemiseks.
§ 6. Andmete koosseis (1) Taustakontrolli teenus töötleb teenusele juurdepääsu andmisel ja selle kasutamisel järgmisi teenuse kasutaja andmeid: 1) ees- ja perekonnanimi; 2) isikukood, isikukoodi puudumisel sünniaeg; 3) selle elutähtsa teenuse osutaja nimi ja registrikood, kelle nimel teenuse kasutaja andmeid pärib;
3
4) aadress või e-posti aadress; 5) isikut tõendava dokumendi nimetus ja number.
(2) Taustakontrolli teenus töötleb teenuse kasutamisel järgmisi tsiviiltoetuse registrisse kantud elutähtsa teenuse osutaja andmeid: 1) elutähtsa teenuse osutaja ärinimi; 2) registrikood.
(3) Taustakontrolli teenus töötleb teenuse kasutamisel järgmisi maksukorralduse seaduse §-s 251 sätestatud töötamise registrisse kantud andmeid: 1) tööd tegeva isiku ees- ja perekonnanimi; 2) tööd tegeva isiku isikukood või sünniaeg; 3) tööd võimaldava isiku registri- või isikukood ja nimi; 4) teave hädaolukorra seaduse §-s 411 sätestatud taustakontrolli läbimise kohustuse kohta, kui tegemist on elutähtsa teenuse toimepidevuse tagamise seisukohalt olulisi ülesandeid täitva isikuga.
(4) Taustakontrolli teenus töötleb ja väljastab teenuse kasutajale hädaolukorra seaduse § 411
lõike 2 alusel kindlaksmääratud ülesannet täitva isiku kohta järgmised karistusregistrisse kantud andmed: 1) ees- ja perekonnanimi; 2) isikukood või sünniaeg; 3) karistusseadustiku säte, milles sätestatud kuriteo toimepanemises isik süüdi mõisteti; 4) otsuse või määruse jõustumise kuupäev.
(5) Lõikes 4 sätestatud andmete väljastamisel teenuse kasutajale tuleb arvestada hädaolukorra seaduse § 413 lõigetes 2 ja 3 sätestatud tingimusi.
(6) Taustakontrolli teenus võimaldab teenuse kasutajal saada lisaks lõikes 4 sätestatule andmeid isiku karistatuse kohta karistusregistri seaduse §-s 30 sätestatud päringuga teise liikmesriigi registrisse ja kolmandate riikide kodanike suhtes kohaldatavasse Euroopa karistusregistrite infosüsteemi.
§ 7. Andmete logimine Taustakontrolli teenuse kasutamise õiguspärasust kontrollitakse tarkvaraliste ja organisatsiooniliste meetmete abil. Iga päringu kohta logitakse: 1) selle elutähtsa teenuse osutaja nimi ja registrikood, kelle nimel teenuse kasutaja andmeid päris; 2) teenuse kasutaja ees- ja perekonnanimi; 3) teenuse kasutaja isikukood, isikukoodi puudumisel sünniaeg; 4) päringu tegemise kuupäev ja kellaaeg; 5) päritud andmed.
4
§ 8. Määruse jõustumine Määrus jõustub 18. oktoobril 2024. a.
Kristen Michal Peaminister
Liisa-Ly Pakosta Justiits- ja digiminister
Taimar Peterkop Riigisekretär
_____________________ 1 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ (ELT L 333, 27.12.2022, lk 164–198).
Vabariigi Valitsuse määruse „Taustakontrolli teenuse nõuded“ eelnõu seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõu on seotud Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ (edaspidi CER direktiiv või direktiiv)1, mille eesmärk on tagada iga elutähtsa teenuse osutaja (edaspidi ETO) toimepidevus ning selle kaudu elanike elu ja tervis ning ühiskonna ja riigi toimimine eri laadi kriiside ajal. CER direktiivi ülevõtmiseks koostatud hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse eelnõu on Riigikogu menetluses2.
Seaduseelnõuga täiendatakse hädaolukorra seadust (edaspidi HOS) §-ga 411, millega võetakse üle direktiivi artikli 13 lõike 1 punkt e ja artikkel 14 ning sätestatakse taustakontrolli kohustus nende isikute suhtes, kes täidavad lepingu või muul alusel elutähtsa teenuse toimepidevuse tagamisega seotud olulisi ülesandeid. Taustakontrolli teenust kasutades saab ETO teha e- äriregistri kaudu päringuid isiku kehtivate karistusandmete kontrollimiseks.
HOSi § 411 lõikes 10 esitatud volitusnormi järgi kehtestab Vabariigi Valitsus määrusega täpsemad nõuded taustakontrolli teenusele, sealhulgas teenuse vastutava ja volitatud töötleja ülesanded, täpsema andmekoosseisu, andmeandjad ja saadavad andmed, teenusele juurdepääsu võimaldamise tingimused ja muud korralduslikud küsimused.
1.2. Eelnõu ettevalmistajad
Eelnõu ja seletuskirja on koostanud Riigikantselei julgeoleku ja riigikaitse koordinatsioonibüroo nõunik Heidi Käär ([email protected]) ja Riigikantselei õigusosakonna nõunik Eero Svarval ([email protected]). Eelnõu ja seletuskirja keeletoimetuse on teinud Riigikantselei tugitegevuste osakonna keeletoimetaja Piret Grigorjeva ([email protected]).
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kaheksast paragrahvist.
Eelnõu §-ga 1 sätestatakse määruse reguleerimisala lähtudes HOSi § 411 lõikes 10 esitatud volitusnormist.
Punkti 1 kohaselt kehtestatakse määrusega elutähtsa teenuse toimepidevuse tagamiseks kasutatava taustakontrolli teenuse nõuded tulenevalt HOSi § 411 lõikes 1 sätestatud taustakontrolli eesmärgist. Taustakontrolli eesmärk on tagada nende isikute usaldusväärsus, kes täidavad lepingu või muul alusel järgmisi elutähtsa teenuse toimepidevuse tagamisega seotud olulisi ülesandeid, nagu:
1 Kättesaadav: https://eur-lex.europa.eu/legal-content/ET/TXT/HTML/?uri=CELEX:32022L2557
2 Eelnõu (426 SE) on Riigikogu menetluses. Kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/57e67d9e-ba15-412e-8b25-cda84efca58a
1
1) elutähtsa teenuse toimepidevust tagava infosüsteemi, samuti toimepidevust tagava taristu läbipääsu- või valvesüsteemi arendamine või haldamine; 2) ülesanne, mis võimaldab ligipääsu elutähtsa teenuse toimepidevuse tagamiseks vajalikule territooriumile, ehitistele, teabele või kontrollisüsteemidele; 3) ülesanne, mis on seotud elutähtsa teenuse toimepidevuse planeerimise, investeeringute või riskihaldusega.
Punkti 2 kohaselt kehtestatakse määrusega taustakontrolli teenuse vastutava ja volitatud töötleja ülesanded. Taustakontrolli teenuse vastutav töötleja on Riigikantselei ja volitatud töötleja Riigi Infosüsteemise Keskus. Vastutava ja volitatud töötleja ülesanded sätestatakse eelnõu §-s 4.
Punkti 3 kohaselt kehtestatakse määrusega taustakontrolli teenusele juurdepääsu võimaldamise tingimused. Nimetatud tingimised sätestatakse eelnõu §-s 5. Teenuse kasutamine ja teenuse toimimiseks vajalike ülesannete täitmine tuleb eelnõu kohaselt tagada nii, et andmeid töödeldakse minimaalses ulatuses ning seda saaks teha üksnes selleks õiguslikku alust omav isik.
Punkti 4 kohaselt kehtestatakse määrusega taustakontrolli teenuse kasutamisel töödeldavate andmete täpsem koosseis ehk milliseid andmeid võib teenuse kasutamisel töödelda. Töödeldavate andmete täpsem koosseis sätestatakse eelnõu §-s 6, lähtudes taustakontrolli eesmärgist ning isikuandmete töötlemise põhimõtetest ja nõuetest.
Eelnõu §-s 2 sätestatakse taustakontrolli teenuse kasutamise üldnõuded lähtuvalt HOSi § 411
lõikes 1 sätestatud taustakontrolli eesmärgist.
Lõikes 1 sätestatakse taustakontrolli teenuse sisu. Taustakontrolli teenus ei ole eraldiseisev andmekogu, vaid e-äriregistri juurde arendatav infotehnoloogiline lahendus, mille eesmärk on võimaldada ETO-l e-äriregistri kaudu kontrollida võimalikult lihtsalt tema tagatava teenuse riskianalüüsis kindlaksmääratud olulisi ülesandeid täitva töötaja (mh tema alltöövõtjate töötajate) karistatuse andmeid. ETO taustakontrolli kohustus hõlmab nii töökohale kandideerivaid isikuid, teenuseosutaja enda töötajaid kui ka alltöövõtjate töötajaid, st kõiki isikuid, kellele on usaldatud HOSi § 411 lõike 2 alusel kindlaksmääratud ülesanded.
Lõike 2 kohaselt võib käesolevas määruses sätestatud tingimustel ja korras töödelda taustakontrolli teenuse kasutamisel tsiviiltoetuse registrisse, töötamise registrisse ja karistusregistrisse kantud andmeid. Andmete täpsem koosseis sätestatakse eelnõu §-s 6.
Eelnõu §-s 3 sätestatakse taustakontrolli teenuse kasutajaga seonduv.
Lõike 1 kohaselt on taustakontrolli teenuse kasutaja füüsiline isik, keda ETO on volitanud tema nimel teenust kasutama. Teenuse kasutaja võib olla ETO töötaja või ETO volitatud muu füüsiline isik. Teenuse kasutaja võib olla ETOga lepingulises suhtes olev juriidilise isiku (nt ETO alltöövõtja) töötaja, kes võib teha päringuid ja saada karistatuse andmeid ETO nimel alltöövõtja töötaja kohta. ETO-l on õigus volitada alltöövõtjat taustakontrolli eesmärgil HOSi § 413 lõikes 1 sätestatud isikuandmete volitatud töötlejaks. Olles ETO volitatud töötleja on alltöövõtjal enda töötajate kohta õigus saada HOSi § 413 lõikes 1 sätestatud isikuandmeid ja teha ise andmete päring karistusregistrisse elutähtsa teenuse osutaja nimel.
Lõike 2 kohaselt peab elutähtsa teenuse osutaja või hädaolukorra seaduse § 411 lõikes 11 nimetatud juriidiline isik viivitamata teavitama taustakontrolli teenuse volitatud töötlejat
2
teenuse kasutaja isiku üldandmete või taustakontrolli teenusele juurdepääsu õiguse muutumisest. See on vajalik, et tagada teenusele juurdepääs üksnes selleks volitatud isikutele. Eelnõu § 4 lõike 3 punkti 2 kohaselt on volitatud töötleja ülesandeks pidada arvestust teenuse kasutajate ja nende teenusele juurdepääsu õiguste üle, sealhulgas avades, sulgedes või muutes selleks asjassepuutuvate andmete saamisel juurdepääsu taustakontrolli teenusele.
Eelnõu §-s 4 sätestatakse vastutava ja volitatud töötleja ülesanded.
Lõike 1 kohaselt on taustakontrolli teenuse vastutav töötleja Riigikantselei ning volitatud töötleja Justiitsministeeriumi hallatav riigiasutus Registrite ja Infosüsteemide Keskus (edaspidi RIK).
Lõikes 2 sätestatakse vastutava töötleja ülesanded. Isikuandmete kaitse üldmääruse tähenduses on taustakontrolli protsessis laiemalt vastutavateks töötlejaks samuti iga teenusele andmeid andva andmekogu vastutav töötleja, kuid seda üksnes vastava andmekogu osas, sh vastutab nimetatud andmekogu vastutav töötleja andmekogus (nt karistusregistris) olevate andmete õigsuse eest. Taustakontrolli teenusele on nad aga andmeandjad ning taustakontrolli teenuse seisukohast (mis saadud andmeid teenuses töötleb) on vastutavaks töötlejaks Riigikantselei.
Lõikes 3 sätestatakse volitatud töötleja ehk RIKi ülesanded. Eelnõu kohaselt määratakse volitatud töötlejaks RIK, arvestades taustakontrolli teenuse infotehnoloogilist lahendust ja selle arendamist ning RIKi põhimääruses sätestatud ülesandeid. Taustakontrolli teenuse kasutamiseks tehakse lisaarendus RIKi vastutusalas olevas infosüsteemis, st e-äriregistri juurde.
Eelnõu §-s 5 sätestatakse taustakontrolli teenusele juurdepääsu tingimused.
Lõikes 1 sätestatakse nõue, et taustakontrolli teenusele võimaldatakse juurdepääs üksnes hädaolukorra seaduse § 411 lõike 2 alusel kindlaksmääratud ülesannet täitva isiku karistatuse andmete kohta päringute tegemiseks. See tähendab, et teenus tuleb arendada ja seda on võimalik kasutada vaid ETO-le pandud taustakontrolli kohustuse täitmise eesmärgil karistatuse andmete saamiseks karistusregistrist. Taustakontrolli teenus peab olema arendatud ja kasutatav nii, et see ei võimalda saada ega töödelda muid kui üksnes käesolevas eelnõus nimetatud andmeid taustakontrolli eesmärgil.
Lõike 2 kohaselt antakse teenuse kasutajale juurdepääs taustakontrolli teenusele e-äriregistri kaudu. Taustakontrolli teenus on nn agregaator (infotehniline lahendus) e-äriregistri juures, mis viib kokku eri registrite andmeid.
Lõike 3 kohaselt peab enne taustakontrolli teenuse kaudu karistusandmete pärimist identifitseerima isiku autentimise teenuse kaudu. See tähendab, et kõigil isikuil, kes taustakontrolli teenust kasutavad, on selleks volitus ja neile antakse ligipääs karistusandmete pärimiseks üksnes nende identifitseerimisel ID-kaardiga, mobiil-IDga või muul autentimisteenuses kasutataval viisil. Teenuse kasutaja autentimise eesmärk on tagada isikuandmete töötlemise õigus vaid selleks õigustatud isikutele. Teenuse kasutajate ja nende juurdepääsõiguste üle peab eelnõu § 4 lõike 3 punkti 2 kohaselt arvestust RIK.
Lõikes 4 sätestatakse teenusele juurdepääs neile, kes peavad täitma taustakontrolli teenuse toimimisega seonduvaid kohustusi ja seadusega pandud järelevalve ülesandeid. Lisaks teenuse kasutajale on taustakontrolli teenusele juurdepääs: 1) vastutaval ja volitatud töötlejal hädaolukorra seaduses ja käesolevas eelnõus sätestatud ülesannete täitmiseks;
3
2) elutähtsa teenuse toimepidevust korraldaval asutusel HOSi § 45 lõike 1 punktis 3 sätestatud riikliku järelevalve tegemiseks; 3) Andmekaitse Inspektsioonil isikuandmete töötlemisele kehtestatud nõuete täitmise üle järelevalve tegemiseks.
Eelnõu §-s 6 sätestatakse, juhindudes eesmärgipärasuse, minimaalsuse ja teistest isikuandmete töötlemise põhimõtetest, nende andmete koosseis, mida on vajalik HOSi § 411 lõikes 1 sätestatud taustakontrolli eesmärgil töödelda.
Lõigetes 1–4 sätestatakse andmete täpsem koosseis.
Lõikes 1 sätestatud teenuse kasutaja isikuandmeid töödeldakse, et tuvastada karistusandmete pärimiseks volitatud füüsilised isikud.
Lõikes 2 sätestatud tsiviiltoetuse registrisse kantud andmeid töödeldakse, et tuvastada, kas karistusregistrisse kantud isikuandmeid päritakse ETO nimel ja taustakontrolli tegemise eesmärgil.
Lõikes 3 sätestatud töötamise registrisse kantud andmeid on vajalik töödelda selleks, et teenuse kasutaja saaks karistusregistrist pärida andmeid üksnes selle isiku kohta, kes töötab töötamise registrisse kantud märke kohaselt olulist ülesannet täitval töökohal. Selleks tehakse vastav muudatus ka maksukohustuslaste registri põhimääruses.
Lõikes 4 sätestatakse karistusregistrisse kantud andmed, mida töödeldakse ETO-le pandud taustakontrolli kohustuse täitmise eesmärgil.
Lõike 5 kohaselt tuleb taustakontrolli teenuse kasutamisel tagada HOSi § 413 lõigetes 2 ja 3 sätestatud tingimuste täitmine. Karistusseadustiku 8. ja 15. peatükis nimetatud kuritegude puhul väljastatakse karistusregistrist üksnes teave kehtiva karistuse olemasolu kohta ehk kas isikut on vastava kuriteo toimepanemise eest karistatud ja selle kohta on karistusregistris kehtivad andmed. HOSi § 412 lõikes 2 nimetatud kuritegude kohta väljastatakse karistusregistrist kehtivate karistuste andmed üksnes juhul, kui isikul karistusseadustiku 8. ja 15. peatükis nimetatud kuritegude eest karistusregistris kehtivaid karistusi ei ole. See on vajalik lähtudes isikuandmete töötlemise üldistest põhimõtetest, et elutähtsa teenuse osutaja ei teeks päringut muude karistusandmete olemasolu kontrollimiseks juhul, kui juba on ilmnenud, et isiku kohta on karistusregistris kehtivad karistusseadustiku 8. ja 15. peatükis nimetatud kuritegude andmed. Sellisel juhul ei ole päringu tegemine enam vajalik ja selline päring oleks vastuolus eesmärgikohasuse põhimõttega.
Lõike 6 kohaselt võimaldab taustakontrolli teenus saada lisaks lõikes 4 sätestatule andmeid isiku karistatuse kohta karistusregistri seaduse §-s 30 sätestatud päringuga teise liikmesriigi registrisse ja kolmandate riikide kodanike suhtes kohaldatavasse Euroopa karistusregistrite infosüsteemi. Karistusregistri seaduse § 30 lõike 1 punkti 9 kohaselt on RIKil õigus esitada päring teise liikmesriigi keskasutusele karistusregistris sisalduvate andmete kohta, kui andmeid soovib tööandja isiku tööle või teenistusse võtmisel isiku seadusega sätestatud nõuetele vastavuse kontrollimiseks. Sama paragrahvi lõike 11 kohaselt on RIKil õigus esitada päring ka kolmandate riikide kodanike suhtes kohaldatavasse Euroopa karistusregistrite infosüsteemi isiku varasema karistatuse ja karistusandmeid hoidva liikmesriigi väljaselgitamiseks.
Eelnõu §-s 7 sätestatakse nõue taustakontrolli teenuse kasutamisel tekkivate andmete logimiseks ja logiandmete töötlemisega seonduv. Taustakontrolli teenuse logiandmeid võib
4
säilitada taustakontrolli teenuses kuni hädaolukorra seaduse § 411 lõikes 8 sätestatud tähtajani, misjärel andmed kustutatakse.
Logiandmeid säilitatakse taustakontrolli teenuse õiguspärase kasutamise eesmärgil. Andmete logimine ja logiandmete säilitamine tagab võimaluse kontrollida, kas karistusregistrisse kantud andmeid on taustakontrolli teenust kasutades pärinud selleks volitatud isikud ja seda on tehtud üksnes taustakontrolli tegemise eesmärgil. Isikuandmete töötlemisele kehtestatud nõuete järgimise üle teeb järelevalvet Andmekaitse Inspektsioon. Lisaks on logiandmete säilitamine vajalik HOSi § 45 lõike 1 punktis 3 sätestatud riikliku järelevalve tegemiseks. Arvestades isikuandmete töötlemise minimaalsuse, eesmärgipärasuse ja seaduslikkuse põhimõtteid on elutähtsa teenuse toimepidevust korraldaval asutusel õigus riikliku järelevalve tegemisel saada neid logiandmeid, mille alusel on võimalik tuvastada, kas ETO on täitnud HOSi § 411 lõigetes 3 ja 4 sätestatud kohustusi.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on seotud EL õigusega. Eelnõu on hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse eelnõu (426SE) rakendusakt. Vastav seaduseelnõu on koostatud Euroopa Liidu õiguse (CER direktiiv) ülevõtmise eesmärgil.
4. Määruse mõjud
Määrus mõjutab eelkõige Riigikantseleid, RIKi, Maksu- ja Tolliametit (seonduvalt töötamise registri arendusega), Riigi Kaitseinvesteeringute Keskust (seonduvalt tsiviiltoetuse registri arendusega), elutähtsa teenuse osutajaid ja neid füüsilisi isikuid, kelle andmeid taustakontrolli teenuse kasutamisel ja samuti taustakontrolli eesmärgil töödeldakse.
CER direktiivist tuleneva taustakontrolli kohustuse ülevõtmisega kaasnev mõjude analüüs on esitatud hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse eelnõu seletuskirjas3.
Isikuandmete töötlemisega kaasnevate ohtude täiendavaks hindamiseks peab vastutav töötleja koostama ka andmekaitsealase mõjuhinnangu, milles kirjeldatakse andmekaitse kontekstis, kuidas taustakontrolli protsessis ja taustakontrolli teenuse rakendumisel töödeldakse isikuandmeid ning tagatakse isikuandmete kaitse.
Kõikide ettevõtete tööga hõivatute isikute hulk oli eelnõu 426 SE seletuskirjas esitatud Statistikaameti andmetel 2022. aastal kokku 484 668 ning aastane müügitulu kõikide ettevõtete kohta 2022. aastal kokku umbes 98,51 miljardit eurot. ETOde valdkondades tegutsevates ettevõtetes töötab umbes 13,1% kõikidest tööga hõivatud inimestest ning nende tulu moodustab umbes 20,4% kõikide ettevõtete müügitulust. Taustakontrolli vajadusega töötajate ring jääb u 5000−7000 töötaja juurde aastas, mis moodustab alla 10% kõikidest elutähtsa teenuse osutaja töötajatest.
Taustakontrollile allutatakse üksnes kindel ring isikutest, kelle kontrollimise vajadus tuleneb elutähtsa teenuse osutaja toimepidevuse riskianalüüsist. Elutähtsa teenuse osutajad kontrollivad õigusliku alusel olemasolul isikute karistusandmeid ka praegu, muudatusi karistusandmete saamisega nendele isikutele ei kaasne ja muudatuse mõju ulatus on väike. Mõju saab pidada väikseks ka nende isikute suhtes, kelle puhul praegu tööandja ei kontrolli karistusandmeid.
3 Eelnõu (426 SE) on Riigikogu menetluses. Kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/57e67d9e-ba15-412e-8b25-cda84efca58a
5
Karistusregistri andmed ei ole juurdepääsupiiranguga ja vastava õigusliku aluse olemasolul saab juba praegu (tasudes riigilõivu neli eurot) tutvuda isikute karistusandmetega. Andmete kasutus peab olema põhjendatud. Kavandatud muudatus on positiivse mõjuga, kuna suurendab võimalusi kontrollida andmete põhjendatud töötlemist. ETO saab kontrollida üksnes nende isikute tausta, kelle kontrollimise vajaduse näeb ette riskianalüüs. Taustakontrolli teenuse kasutamisel säilitatakse teenuses ainult logiandmed teenuse õiguspärase kasutamise tagamiseks ja järelevalve tegemiseks ning teenuse kasutamisel töödeldakse olemasolevates registrites (karistusregister, töötamise register, tsiviiltoetuse register) olevaid andmeid.
Isikute tausta kontrollitakse ülesande andmisel ning regulaarselt kord kahe aasta tagant. Kui esineb põhjendatud kahtlus, et isikul võivad esineda HOSi § 412 lõigetes 1 ja 2 sätestatud piirangud, või suureneb isiku vastutus ülesannete täitmisel, võib taustakontrolli teha vähem kui kahe aasta tagant (vt HOSi § 411 lõige 5). Seejuures tehakse osa isikute suhtes üksnes ühekordne kontroll ja üldjuhul puudub vajadus korduva kontrolli tegemiseks (ülesannete ühekordne laad, hooajaline töö jmt). Arvestades kontrollimise sagedust ja vajadust, saab muudatuse mõju sagedust pidada väikseks.
5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise eeldatavad tulud
Riigikantseleile kaasnevad määruse rakendamisel eelnõus sätestatud vastutava töötleja ülesanded, mh peab Riigikantselei koostöös RIKiga välja töötama taustakontrolli teenuse turvanõuded ning koostama (ja teenuse kasutamise ajal vajaduse korral ka uuendama) andmekaitsealase mõjuhinnangu.
Taustakontrolli teenuse kasutuselevõtuks on vajalik teha arendus RIKi vastutusalas oleva e- äriregistri juurde ning liidestada omavahel tsiviiltoetuse register (Riigi Kaitseinvesteeringute Keskuse vastutusalas) ning töötamise register (Maksu- ja Tolliameti vastutusalas). Samuti on vaja teha arendus töötamise registris, millega võimaldatakse teha taustakontrollile allutatud isiku kohta registris vastav märge.
RIKile kaasnevad määruse rakendamisega eelnõus sätestatud volitatud töötleja ülesanded, sh ülesanne töötada koos vastutava töötlejaga välja taustakontrolli teenuse turvanõuded.
RIKilt eeldab taustakontrolli mooduli arendamine kulu summas 70 000 eurot. Arenduse vajadus on toodud esile Vabariigi Valitsuse tegevusprogrammi 2023−2027 punktis 1.2.2. Töötamise registri arendamise kulu on summas 30 240 eurot. Selleks eraldatakse Maksu- ja Tolliametile Vabariigi Valitsuse reservi sihtotstarbelistest vahenditest 30 240 eurot seoses CER direktiivi rakendamisega. Tegemist on lühiajaliste, n-ö projektipõhiste arendustega, mis ei eelda eraldiseisvat püsivat hooldust ja hoolduskulusid.
Taustakontrolli teenus (arendus) on nn agregaator e-äriregistri juures, mis viib kokku eri registrite andmeid. Arvestades selle iseloomu eeldab arendus u 1−3 arendaja (kõikide asutuste peale kokku) kuni üht kuud järjestikku tööd.
Määruse rakendamisega tulusid ei kaasne. Taustakontrolli teenuse rakendamine tagab üksnes selleks volitatud isikutele õiguse saada seadusega pandud kohustuse täitmiseks taustakontrolli eesmärgil karistusregistrisse kantud isiku karistatuse andmeid riigilõivuvabalt.
6. Määruse jõustumine
6
Määrus on kavandatud jõustuma 18. oktoobril 2024. a tulenevalt CER direktiivi ülevõtmiseks koostatud hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse jõustumise ajast.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Eelnõu esitatakse eelnõude infosüsteemi (EIS) kaudu kooskõlastamiseks ministeeriumidele ning arvamuse avaldamiseks Andmekaitse Inspektsioonile ja Registrite ja Infosüsteemide Keskusele. Eelnõu edastatakse teadmiseks ja arvamuse andmiseks asjassepuutuvatele ühingutele ja liitudele, kes on kaasatud CER direktiivi ülevõtmiseks koostatud hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse eelnõu väljatöötamisse.
7