| Dokumendiregister | Justiitsministeerium |
| Viit | 8-2/8142 |
| Registreeritud | 09.12.2024 |
| Sünkroonitud | 12.12.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-2 Arvamused teiste ministeeriumide eelnõudele (arvamused, memod, kirjavahetus) |
| Toimik | 8-2/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Rahandusministeerium |
| Saabumis/saatmisviis | Rahandusministeerium |
| Vastutaja | Mari Käbi (Justiitsministeerium, Kantsleri vastutusvaldkond, Õiguspoliitika valdkond, Õiguspoliitika osakond, Õigusloome korralduse talitus) |
| Originaal | Ava uues aknas |
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected] / www.just.ee Registrikood 70000898
/*ASUTUSESISESEKS KASUTAMISEKS
Märge tehtud: Kehtib kuni:
Alus: Teabevaldaja: Justiitsministeerium*
Rahandusministeerium [email protected] Vabariigi Valitsuse 12. mai 2022. a määruse nr 55 „Perioodi 2021–2027 Euroopa Liidu ühtekuuluvus- ja siseturvalisuspoliitika fondide rakenduskavade vahendite andmise ja kasutamise üldised tingimused“, Vabariigi Valitsuse 12. mai 2022. a määruse nr 54 „Perioodi 2021–2027 ühtekuuluvus- ja siseturvalisuspoliitika fondide vahendite andmisest avalikkuse teavitamine“ ja Vabariigi Valitsuse 31. juuli 2014. a määruse nr 121 „Struktuuritoetuse registri pidamise põhimäärus“ muutmise määruse eelnõu kooskõlastamine Austatud minister Rahandusministeerium on saatnud Justiitsministeeriumile kooskõlastamiseks Vabariigi Valitsuse 12. mai 2022. a määruse nr 55 „Perioodi 2021–2027 Euroopa Liidu ühtekuuluvus- ja siseturvalisuspoliitika fondide rakenduskavade vahendite andmise ja kasutamise üldised tingimused“, Vabariigi Valitsuse 12. mai 2022. a määruse nr 54 „Perioodi 2021–2027 ühtekuuluvus- ja siseturvalisuspoliitika fondide vahendite andmisest avalikkuse teavitamine“ ja Vabariigi Valitsuse 31. juuli 2014. a määruse nr 121 „Struktuuritoetuse registri pidamise põhimäärus“ muutmise määruse eelnõu. Justiitsministeerium kooskõlastab eelnõu järgmiste märkustega. Kõnealuse määrusega muudetakse muu hulgas struktuuritoetuse registri pidamise põhimäärust. Kehtivast põhimäärustest nähtub, et registris töödeldakse ka isikuandmeid. Igasugust isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist käsitatakse eraelu puutumatuse (PS § 26) riivena1. PS § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega. See tähendab, et niisugune piirang peab olema kooskõlas ka PS § 3 esimese lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Sättes väljendatud üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes vähem intensiivseid põhiõiguste piiranguid ning sealjuures peab seaduses sisalduv volitusnorm olema täpne, selge ja vastavuses piirangu intensiivsusega. Seda põhimõtet tuleb järgida ka isikuandmete töötlemisel. See tähendab, et isikuandmete töötlemine peab olema reguleeritud seadusega, määrusega võib seaduse norme täpsustada, kuid seda üksnes selge ja täpse ulatusega volitusnormi alusel. Mida intensiivsem on põhiõiguste piirang, seda üksikasjalikumad peavad olema täitevvõimu tegutsemise aluseks olev volitusnorm ja menetlusnormid. Seega ei sobi isikuandmete töötlemise seaduslikuks aluseks üldine volitusnorm, mis jätab kõik peamised küsimused täitevvõimu reguleerida. Eelkõige peab seaduse tasandil määratlema isikuandmete töötlemise olukorrad ja eesmärgid, töödeldavate isikuandmete koosseisu vähemalt isikuandmete kategooriate täpsusega (viimast võib seaduse volitusnormi alusel määrusega täpsustada) ning töödeldavate isikuandmete säilitamise tähtajad. Igasugune isikuandmete töötlemine peab vastama andmetöötluse põhimõtetele vastavalt isikuandmete kaitse üldmääruse artiklis 5 sätestatule.
1 RKHKo 12.07.2012, 3-3-1-3-12, p 19
Teie 15.11.2024 nr 1.1-10.1/5089- 1,RAM/24-1150/-1K
Meie 09.12.2024 nr 8-2/8142
Eelnevast tulenevalt tuleb täpsustada seaduses struktuuritoetuste registri regulatsiooni selliselt, et see vastaks seadusereservatsiooni põhimõttele ning põhimääruse kehtestamise volitusnormi selliselt, et sealt nähtuks volituse selged raamid. Seaduse tasandil peab olema kindlaks määratud andmekogu pidamise eesmärk, andmekogusse kantavate isikuandmete koosseis, andmekogu vastutav töötleja (vajadusel kaasvastutavad töötlejad), andmete säilitamise maksimaalne tähtaeg (seda saab põhimääruses täpsustada, aga mitte pikendada), andmekogu põhimääruse volitusnormi raamid. Viimase puhul võiks regulatsioon olla selline:
„(x) Struktuuritoetuste registri pidamise põhimääruses sätestatakse registri pidamise kord, sealhulgas: 1) andmeandjad ja nendelt saadavad andmed; 2) täpsem andmekoosseis; 3) vastutava töötleja ja volitatud töötleja ülesanded; 4) andmetele juurdepääsu ja andmete väljastamise kord; 5) andmete säilitamise täpsemad tähtajad; 6) muud korralduslikud küsimused.“; Juhime tähelepanu, et andmekogu eesmärk ei saa olla andmete töötlemine iseenesest, vaid andmekogu peetakse seaduses ette nähtud ülesande täitmiseks. Käesoleval juhul peab andmekogu pidamise eesmärk hõlmama kõigi põhimääruse § 3 lõikes 2 nimetatud infosüsteemide, milles töödeldakse isikuandmeid, eesmärke. Lisaks sellele tuleb põhimääruses üle vaadata § 151 ja 153 ette nähtud eesmärgid, et nendeks ei oleks andmetöötlus iseenesest. Samuti tuleb üle vaadata põhimääruses vastutava töötleja ja volitatud töötlejate regulatsioon. Vastutav töötleja on asutus, kellele seadusega on pandud kohustus mingit ülesannet täita. Hetkel on andmekogu vastutavaks töötlejaks Riigi Tugiteenuste Keskus. Samas nähtub näiteks perioodi 2021– 2027 Euroopa Liidu ühtekuuluvus- ja siseturvalisuspoliitika fondide rakendamise seadusest, et seadusest tulenevaid ülesandeid täidab ka Rahandusministeerium. Sellega seoses märgime, et kui asutusi, kellele on pandud seadusega kohustus mingit ülesannet täita, on mitu, on nad seaduse tasandi regulatsioonis kaasvastutavad töötlejad ning põhimääruses saab kokku leppida, kes milliste ülesannete eest konkreetselt vastutab. Juhime tähelepanu ka sellele, et hetkel ei ole seadusest ega põhimäärusest näha, millised ülesanded vastutavatel ja volitatud töötlejatel on. Põhimäärusest peab olema arusaadav, milline on vastutavate ja volitatud töötlejate rollijaotus ja kes mille eest täpselt vastutab. Palume põhimäärust täiendada vastutava ja volitatud töötlejate ülesannetega. Kui andmekogul on mitu vastutavat või volitatud töötlejat, siis tuleb andmekogule määrata põhimääruses ka ühtne kontaktpunkt, kelle poole andmesubjekt saab pöörduda, kui ta soovib teavet näiteks tema kohta säilitatavate andmete kohta või paluda andmeid parandada. Põhimääruse § 4 näeb ette andmekogusse kantavad andmed. Juhime tähelepanu, et hetkel ei ole võimalik sellest loetelust aru saada, milliseid andmeid andmekogus täpselt töödeldakse, kuna põhimääruse andmekoosseisud on sisustatud läbi viidete teistele rakendusaktidele. Andmekogu põhimääruses esitatud andmekoosseisud peavad olema esitatud sellisel kujul, et andmesubjektil on võimalik mõista, milliseid tema kohta käivad andmeid töödeldakse. Näiteks on § 4 punktis 23 viidatud, et töödeldakse perioodi 2021–2027 Euroopa Liidu ühtekuuluvus- ja siseturvalisuspoliitika fondide rakendamise seaduse § 47 lõike 3 alusel kehtestatavas rahastamiskavas toodud andmeid. Viidatava sätte kohaselt kinnitab rahastamiskava Vabariigi Valitsus ning viidatava seaduse § 47 lõike 2 alusel kehtestab Vabariigi Valitsus rahastamiskavas sisalduva teabe, mis muu hulgas sisaldab ka nõuet, et taotlejal või partneril või tema seaduslikul esindajal ei ole karistusseadustiku § 209, 2091, 210, 2601, 372, 373, 379 või 384 alusel määratud kehtivat karistust. Sellest saab järeldada, et muu hulgas kantakse andmekogusse ka andmed kehtivate karistuste kohta. Palume nii seaduse kui ka põhimääruse tasandil selgelt välja tuua, milliseid andmeid andmekogus töödeldakse. Kuna andmekogu sisaldab ka isikuandmeid, siis peab põhimääruses olema reguleeritud ka logimine ja logide säilitamise tähtajad. Selleks, et isikuandmete vastutav töötleja saaks tõendada (IKÜM art 5 lg 2), et ta on järginud isikuandmete töötlemise põhimõtteid, tuleks logida kõik isikuandmetega tehtavad toimingud (sh sisestamine, parandamine, kustutamine) koos toimingu tegija nime ja ajaga. Eelnevast tulenevalt tuleb põhimääruses reguleerida logimine ja logide säilitamise tähtajad.
Põhimääruse § 7 näeb ette andmete avalikustamise. Juhime tähelepanu, et kui avalikustatavad andmed hõlmavad ka isikuandmeid, siis tuleb PS §-st 26 tulenevalt seaduse tasandil ette näha, millised andmeid avalikustatakse ja mis eesmärgil. Selgitame, et avaliku teabe seaduse (AvTS) kohaselt on avalik teave kõik mis tahes viisil ja mis tahes teabekandjale jäädvustatud ja dokumenteeritud teave, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ning sellele teabele juurdepääsu võib piirata seaduses sätestatud korras (AvTS § 3). Isikuandmete kaitse üldmääruse kohaselt peab igasugusel andmetöötlusel olema eesmärk. Struktuuritoetuse registrit peetakse ja seal töödeldakse andmeid seadusest tuleneva kohustuse täitmise lihtsustamiseks. Selge ei ole aga mis eesmärgil teatud andmeid avalikustatakse. Võib oletada, et seadusest tuleneva kohustuse täitmiseks ei ole vajalik andmete avalikustamine ning viimasel on struktuuritoetuse registri pidamise eesmärgist erinev eesmärk, mida aga seadusest ega põhimäärusest ei nähtu Juhime ka tähelepanu, et Euroopa Kohus on leidnud, et internetisaidil toetusesaajate kohta nimeliste andmete ja toetusesummade avaldamine riivab üldiselt toetusesaajate õigust eraelu puutumatusele ja konkreetselt nende õigust isikuandmete kaitsele, sest kolmandatel isikutel on saidile vaba ligipääs2. Eelnevast tulenevalt palume olukorras, kus põhimääruse §-s 7 ette nähtud avalikustatavad andmed hõlmavad ka isikuandmeid, nende isikuandmete kategooriad ja avalikustamise eesmärk näha ette seaduse tasandil. Põhimääruse § 15 kohaselt otsustab registri likvideerimise Vabariigi Valitsus. Juhime tähelepanu, et kuna käesoleval juhul on andmekogu asutatud seadusega, siis ei ole võimalik Vabariigi Valitsusel otsustada selle likvideerimine, kuna andmekogu lõpetamiseks on vaja seadust muuta. Kokkuvõttes palume täpsustada seaduses struktuuritoetuste registri regulatsiooni selliselt, et see vastaks seadusereservatsiooni põhimõttele ning põhimääruse kehtestamise volitusnormi selliselt, et sealt nähtuks volituse selged raamid. Põhimääruses palume üle vaadata vastutava töötleja ja volitatud töötlejate regulatsioon, sealhulgas nende ülesanded, määrata ühtne kontaktpunkt, täpsustada andmekogus töödeldavate andmete loetelu ning näha ette regulatsioon logimise ja logide säilitamise tähtaja kohta. Lisaks juhime tähelepanu õigusnormide tagasiulatuvale rakendamisele. Tegemist on õigusloomes erandliku nähtusega, mille ettenägemine peab olema põhjendatud. Seletuskirjas (lk 4) põhjendatakse ühe sätte tagasiulatuvat rakendamist järgmiselt – „§ 7 lõike 3 puhul on EL rahastuse viide logol praktikas kasutusel juba varasemast ajast, nii on korraldusasutus rakendusasutusi ja rakendusüksusi, viimased omakorda toetuse saajaid ka nõustanud. Seetõttu on vajalik õigusliku segaduse vältimiseks anda toetuse saajatele teada, et EL rahastusele viitamine on korrektne eelnõus nimetatud viisil alates muudetava määruse jõustumisest.“ Kui logo kasutamine on seni olnud valitsev praktika, siis kas sätte tagasiulatuv rakendamine on üldse vajalik. Samas tundub sellise õigusliku kohustuse tagantjärele kehtestamine ebamõistlik – ka isikud, kes oleks tahtnud logo märkimise nõudeid järgida, ei saa seda tagantjärele enam teha. Palume tagasiulatuva rakendamise vajalikkus ja põhjendatus veelkord läbi analüüsida.
Lugupidamisega (allkirjastatud digitaalselt)
Liisa-Ly Pakosta justiits- ja digiminister Mari Käbi 5865 8226 [email protected] Helen Uustalu
2 Euroopa Kohtu 9. oktoobri 2010. aasta otsus (suurkoda) liidetud kohtuasjades Volker und Markus Schecke GbR (C-92/09) ja Hartmut Eifert (C-93/09) versus Land Hessen
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|