| Dokumendiregister | Siseministeerium |
| Viit | 1-6/3044-2 |
| Registreeritud | 01.11.2024 |
| Sünkroonitud | 04.11.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 1 Ministeeriumi töö korraldamine. Juhtimine. Planeerimine. Aruandlus |
| Sari | 1-6 Siseministeeriumi poolt algatatud siseriiklikute õigusaktide eelnõud (AV) |
| Toimik | 1-6 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Kaspar Lepper (kantsleri juhtimisala, sisejulgeoleku asekantsleri valdkond, piirivalve- ja rändepoliitika osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Lauri Läänemets
Siseministeerium
Teie 21.10.2024 nr 1-6/3044-1 Meie 01.11.2024 nr 2.3-5/24/2680-2
Arvamus siseministri määruste
täiendamise määruse eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks siseministri määruse
„Siseministri määruste täiendamine seoses Euroopa Liidu infosüsteemide töötlemisega“ eelnõu.
Meil on eelnõu osas järgmised tähelepanekud.
1. Eelnõu § 1 punktiga 2 täiendatakse migratsioonijärelevalve andmekogu (MIGIS) põhimääruse
§ 11 lõiget 1 punktiga 22, mille järgi on MIGIS-le andmeandjaks Euroopa reisiinfo ja -lubade
süsteem (ETIAS). Eelnõust nähtuvalt on edastatavateks andmeteks muu hulgas ka alaealise
välismaalase puhul tema seadusliku esindaja või muu eestkostja andmed, kuid selgusetuks
jääb, milliseid andmeid nende isikute kohta MIGIS-sse edastatakse. Seletuskirjas on selgitatud,
et andmekategooriad sõnastatakse üldistatumalt võrreldes ETIAS määrusega, kuid sellest ei
muutu tehtava päringu ja selle vastuse sisu. Andmekategooriad on kirjas ETIAS-e määruses
ning MIGIS-e põhimääruse muudatusega ei ole võimalik neid laiendada.
Andmekaitse Inspektsioon ei saa sellise lähenemisega nõustuda. AvTS § 435 lõike 1 järgi
sätestatakse andmekogu põhimääruses muu hulgas ka andmekogusse kogutavate andmete
koosseis. Andmekogusid puudutavas juhendis oleme selgitanud, et kui seaduses ei pea olema
andmekogusse kogutavate andmete täielik loetelu, siis põhimäärus peab sisaldama
ammendavat loetelu antud andmekogusse kogutavatest andmetest. Sealjuures peab loetelust
ka selguma, kelle kohta (s.t andmesubjektide kategooriad) neid andmeid kogutakse. Seega, kui
ETIAS-st saadud andmed salvestatakse MIGIS-sse, siis tuleb MIGIS põhimääruses loetleda
andmed, mida alaealise välismaalase esindaja või muu eestkostja kohta andmekogusse
kogutakse. See, et põhimäärusega ei ole võimalik andmekoosseisu laiendada ei tähenda, et
neid ei oleks võimalik määratleda.
Siinjuures peame vajalikuks märkida, et õigeks ei saa pidada olukorda, kus selleks, et aru
saada, milliseid andmeid andmekogusse kogutakse, peab õigusakti lugeja tutvuma EL
määrusega ja eelnõu seletuskirjaga. EL õigusaktide sõnastus ja ülesehitus on tihti väljakutseks
ka juristidele, rääkimata siis ülejäänud võimalikust õigusakti adressaatide ringist.
Andmekogude kontekstis on inspektsiooni eesmärk alati püüelda selle poole, et andmekogu
reguleerivaid sätteid lugedes oleks lihtsalt, kiirelt ja üheselt võimalik aru saada, milliseid
andmeid kogutakse, miks ja kuhu neid kogutakse ning kellega jagatakse.
2. Eelnõu §-ga 2 täiendatakse piirikontrolli andmekogu põhimäärust. Meil puuduvad
tähelepanekud eelnõus toodud muudatuste osas, kuid kuna käsil on andmekogu põhimääruse
2 (3)
muutmine, siis annab see ühtlasi hea võimaluse muuta ka kehtivat põhimäärust selgemaks ja
konkreetsemaks.
2.1. Kehtiva põhimääruse § 4 järgi peetakse andmekogu ühetasandilise infotehnoloogilise
andmekoguna (lõige 1) ning andmekogu pidamisel kasutatakse automatiseeritud
andmetöötlust ja andmeid säilitatakse digitaalsel kujul (lõige 2).
Selgitame, et kuni 2007. aastani kehtinud andmekogude seaduse § 35 punktis 3 oli
sätestatud kohustus reguleerida registri põhimääruses registri ülesehitus ja registri
pidamise organisatsiooniline struktuur, andmete töötlemise kord eri tasanditel ning
andmete vahetamine ja võrdlemine eri tasandite vahel. Kehtiv AvTS aga andmekogu
tehnilise ülesehituse detailset sätestamist põhimääruses enam ei nõua (AvTS § 435).
Samuti puudub täna vajadus põhimääruses märkida, et andmekogus toimub
automatiseeritud andmetöötlus ja andmeid säilitatakse digitaalsel kujul. Tegemist on
sisutu sättega. Infosüsteem on defineeritud küberturvalisuse seaduses ning selle järgi
kujutabki infosüsteem endast digitaalset andmete töötlust. Teeme ettepaneku mõlemad
sätted põhimäärusest eemaldada.
2.2. Kehtiva põhimääruse § 101 lõige 2 loetleb piirikontrolli andmekogusse andmete andjad,
milleks on erinevad andmekogud, kuid põhimääruses puudub teave selle kohta, milliseid
andmeid loetletud andmekogud piirikontrolli andmekogusse edastavad. Erinevates
seletuskirjades on küll osaliselt märgitud, millises ulatuses andmeid teistest
andmekogudest päritakse ja saadakse, kuid tervikuna ei ole võimalik kontrollida, kas
edastatavad andmed on üldse andmekogu eesmärgi täitmiseks vajalikud. EL isikuandmete kaitse üldmääruse artikkel 14 lõike 2 punkti f järgi tuleb andmesubjektile
teatavaks teha muu hulgas ka isikuandmete päritoluallikas, mis tähendab, et põhimääruses
tuleb sätestada ka see, millisest allikast mingid andmed on saadud. Lisaks peab
põhimääruses sätestatud andmekoosseis andma võimaluse hinnata, millised on selle
konkreetse andmekogu unikaalsed põhiandmed ja millised andmed on saadud teistest
andmekogudest.
Seega, kui erinevatest andmekogudest saadud andmed salvestatakse piirikontrolli
andmekogusse, tuleb andmekogu põhimäärust täiendada selliselt, et loetletud on
andmeandjad koos andmekoosseisuga.
2.3. Põhimääruse § 2 lõike 2 järgi kasutatakse andmekogus sisalduvaid andmeid
siseturvalisuse tagamisega seonduvate tegevuste ja sündmuste analüüsimisel ja
statistilistel eesmärkidel ning vajadusel koos politsei sisemise töökorralduse vajadusteks
peetavate andmekogudega. Sättest nähtuvalt on andmekogu eesmärgiks ka andmete
analüüs statistika eesmärgil, kuid politsei ja piirivalve seaduses toodud volitusnorm sellist
töötlemist andmekogus ette ei näe. Põhimääruses toodud andmekogu eesmärk aga ei tohi
olla laiem, kui seaduses toodud volitusnorm ette näeb.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|