| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/24/2938-2 |
| Registreeritud | 29.11.2024 |
| Sünkroonitud | 02.12.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Kliimaministeerium |
| Saabumis/saatmisviis | Kliimaministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Yoko Alender
Kliimaministeerium
Teie 14.11.2024 nr 1-4/24/5470 Meie 29.11.2024 nr 2.3-5/24/2938-2
Arvamus Eesti looduse infosüsteemi asutamise ja
andmekogu pidamise põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks keskkonnaministri 8.
juuni 2022. a määruse nr 26 „Eesti looduse infosüsteemi asutamise ja andmekogu pidamise
põhimäärus“ muutmise eelnõu.
1. Esitatud eelnõu osas on meil järgmised tähelepanekud.
Eelnõu § 1 punktiga 2 muudetakse Eesti looduse infosüsteemi põhimääruse § 3 lõike 2 punkti
5, mille kohaselt andmekogu vastutav töötleja sisestab, töötleb ja avalikustab andmekogu
andmeid, ning see sõnastatakse selliselt, et edaspidi andmekogu vastutav töötleja üksnes
töötleb andmekogu andmeid. Seletuskirjas on muudatuse vajadust põhjendatud sellega, et kuna
EL isikuandmete kaitse üldmääruse (IKÜM) artikkel 4 punktist 2 tulenevalt tähendab
isikuandmete või nende kogumitega tehtav toiming või toimingute kogum isikuandmete
töötlemist ehk nii sisestamine kui ka avalikustamine tähendabki töötlemist, siis on peetud
vajalikuks kirjeldada põhimääruses vastutava töötleja ülesannet kui andmete töötlemist.
Samuti muudetakse eelnõu § 1 punktidega 6 ja 8–11 andmekogu põhimääruse § 4 lõikeid 2–5,
mille järgi volitatud töötlejad on kohustatud sisestama ja töötlema andmekogu andmeid,
selliselt, et edaspidi andmekogu volitatud töötlejad, sh KEMIT andmekogu majutajana, samuti
üksnes töötlevad andmekogu andmeid ja teevad seda vastutava töötleja juhiste alusel. Samas
ei ole täpsustatud, millised on need konkreetsed toimingud, mida volitatud töötlejad seoses
andmekogu andmetega on kohustatud tegema.
Ilmselgelt toimub andmete andmekogusse kogumisel ja nende edasisel kasutamisel andmete
töötlemine, kuid eelnõus toodud viisil sõnastatud sätted ei anna teavet selle kohta, milliseid
konkreetseid toiminguid on andmekogu vastutav töötleja kohustatud seoses andmekogu
andmetega tegema ning milliseid toiminguid peavad tegema andmekogu volitatud töötlejad
oma ülesannete täitmisel (nt andmete sisestamine, muutmine, parandamine, kustutamine,
juurdepääsupiiranguga andmete väljastamine jms).
Inspektsioon on andmekogusid puudutavas juhendis selgitanud, et põhimääruses tuleks välja
tuua kohustuste jaotus vastutava ja volitatud töötleja vahel. Et tööjaotus ja vastutus andmekogu
töötlejate vahel oleks selge, on mõistlik vastavalt tegelikule tööjaotusele kirjeldada, kes mida
teeb (nt kes haldab kasutajaõigusi, kes vastab päringutele, kes andmekogu arendab ja rahastab
jne). Ilmselgelt ei anna plaanitavad muudatused vastust küsimusele, kes, mida ja millises
ulatuses on seoses andmekogu andmetega kohustatud tegema.
2 (3)
Soovitame andmekogu vastutava ja volitatud töötleja poolt andmekogu andmetega tehtavad
toimingud uuesti üle vaadata ja sõnastada põhimääruses selliselt, et oleks aru saada, milliseid
toiminguid on kohustatud tegema vastutav töötleja ja milliseid volitatud töötlejad oma
ülesannete täitmisel ning kes mille eest seejuures vastutab.
2. Kuna käsil on andmekogu põhimääruse muutmine, siis annab see ühtlasi hea võimaluse muuta
ka kehtivat põhimäärust selgemaks ja konkreetsemaks. Sellega seoses on meil järgmised
tähelepanekud ja ettepanekud.
2.1. Soovitame muuta kehtiva määruse pealkirja selliselt, et pealkirjast eemaldatakse tekstiosa
„asutamine ja andmekogu pidamise“ ning samuti vaadata üle põhimääruse § 1 lõike 1
sõnastus. Tegemist on juba asutatud andmekoguga ning põhimääruse eesmärk on
reguleerida andmekogu pidamist.
2.2. Põhimääruse § 5 lõike 1 järgi peetakse andmekogu ühetasandilise infotehnoloogilise
andmekoguna. 2022. aastal on põhimääruse eelnõu seletuskirjas seoses nimetatud sättega
selgitatud, et tegemist on tavapärase riigi infosüsteemide ülesehitusega. Seletuskirjast aga
ei selgu, mida sättega silmas peetakse. Kuni 2007. aastani kehtinud andmekogude seaduse
§ 35 punktis 3 oli sätestatud kohustus reguleerida registri põhimääruses registri ülesehitus
ja registri pidamise organisatsiooniline struktuur, andmete töötlemise kord eri tasanditel,
andmete vahetamine ja võrdlemine eri tasandite vahel. Kehtiva avaliku teabe seaduse
(AvTS) § 435 aga andmekogu tehnilise ülesehituse detailset sätestamist põhimäärustes ei
nõua. Kuigi praktikas kirjeldatakse kehtivates põhimäärustes andmekogu eri tasandeid ka
praegu, jääb enamasti selgusetuks, mida andmekogu haldajad selle all tegelikult mõtlevad.
Seetõttu teeme ettepaneku kõnealune säte põhimäärusest eemaldada.
2.3. Põhimääruse § 17 lõike 2 punkti 2 kohaselt saab andmekogu andmeid rahvastikuregistrist.
Tegemist on andmekogu kasutaja elukoha ja e-posti aadressiga, mille töötlemise
eesmärgiks on kasutaja teavitamine. 2022. aasta eelnõu seletuskirjas on selgitatud, et
rahvastikuregistrist on vajalikud isiku nime ja oleku andmed, sideaadress ja kontaktid
selleks, et kontrollida isiku andmekogusse sisselogimisel andmete õigsust. Sideaadress
võib olla edaspidi vajalik ka nt kaitsekohustusteatiste saatmiseks EELISe kaudu.
Seletuskirjas antud selgitustest saab järeldada, et tegemist on andmekogusse
salvestatavate andmetega, kuid selgusetuks jääb kasutajate andmete andmekogus
säilitamist puudutav.
Põhimääruse § 19 lõike 7 järgi peatatakse kasutajaõigused registreeritud kasutaja töölt
lahkumise, kasutuslepingu lõppemise või kasutajaõiguste lõppemise korral. Seega, kui
kasutaja juurdepääs andmekogule suletakse, siis tuleks pärast kasutusõiguse peatamist
kustutada ka kasutaja andmed, sh kontaktandmed. Samas põhimääruse § 14 lõige 1
sätestab, et andmekogu andmeid säilitatakse alaliselt. Ilmselgelt ei ole kasutajate andmete,
eriti aga nende kontaktandmete (mis võivad ajas muutuda) alaline säilitamine
põhjendatud, mistõttu tuleks nende andmete säilitamist puudutav osa uuesti üle vaadata
ning määrata andmetele töötlemise eesmärgist tulenev konkreetne säilitamise tähtaeg.
2.4. Põhimääruse § 19 lõike 1 järgi on andmekogusse kantud andmed avalikud, v.a juhul, kui
nendele on kehtestatud juurdepääsupiirang seaduses või IKÜM-s sätestatud ulatuses ja
tingimustel. Ebaselgeks jääb, mida on silmas peetud IKÜM-st tulenevate piirangute all,
mistõttu vajab säte täpsustamist.
2.5. Lisaks peame vajalikuks juhtida tähelepanu sellele, et AvTS § 433 lõige 3 näeb andmekogu
asutamisel, andmekogus kogutavate andmete koosseisu muutumisel, andmekogu
kasutusele võtmisel või andmekogu lõpetamisel ette kooskõlastusprotsessi läbimist riigi
infosüsteemide haldussüsteemis ehk RIHA-s. RIHA andmetel andmekogu vastavat
3 (3)
kooskõlastusprotsessi läbinud ei ole.
Märgime, et andmekogude kontekstis on Andmekaitse Inspektsiooni eesmärk alati püüelda selle
poole, et andmekogu reguleerivaid sätteid lugedes oleks lihtsalt, kiirelt ja üheselt võimalik aru
saada, miks ja kuhu mingeid andmeid kogutakse, milliseid andmeid kogutakse ning kellega neid
jagatakse. Andmekogu põhimääruse eesmärk ongi luua siin selgust ja läbipaistvus.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Koostaja: Terje Enula
[email protected], telefon 627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|