| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/25/298-2 |
| Registreeritud | 10.02.2025 |
| Sünkroonitud | 11.02.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Siseministeerium |
| Saabumis/saatmisviis | Siseministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Lauri Läänemets
Siseministeerium
Teie 27.01.2025 nr 1-6/3094-1 Meie 10.02.2025 nr 2.3-5/25/298-2
Arvamus politsei andmekogu põhimääruse muutmise eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks siseministri
22. detsembri 2009. a määruse nr 92 „Politsei andmekogu põhimäärus“ muutmise eelnõu.
Meil on esitatud eelnõu osas järgmised tähelepanekud.
1. Kehtiva põhimääruse § 5 sätestab infosüsteemi POLIS vastutava ja volitatud töötleja.
Nimetatud sätte järgi on andmekogu vastutavaks töötlejaks Politsei- ja Piirivalveamet ning
andmekogu volitatud töötlejateks põhimääruse § 15 lõikes 2 (andmeandjad) ning § 19
lõikes 2 ja § 191 nimetatud asutused ehk asutused, millel on õigus andmekogust andmeid
saada. Plaanitavate muudatustega täiendatakse põhimäärust selliselt, et andmekogu
volitatud töötlejateks on edaspidi ka valla- ja linnavalitsused andmeandjatena ning
Transpordiamet kui juurdepääsuõigust omav asutus.
Samas ei ole põhimäärusest võimalik aru saada, milline on andmekogu vastutava töötleja
ning erinevate volitatud töötlejate vaheline tööjaotus. Ilmselt ei ole kohaliku
omavalitsusüksuse ülesanded andmeandjana samad, mis Transpordiametil kui
liiklusjärelevalvesüsteemide haldajal, sealjuures võivad andmekogu volitatud töötlejaks
olla ka Transpordiameti lepingupartnerid. Samuti ei nähtu põhimäärusest, milliseid
ülesandeid täidab näiteks Siseministeeriumi infotehnoloogia- ja arenduskeskus, mis samuti
omab kehtiva põhimääruse järgi juurdepääsu andmekogule või milliseid ülesandeid
täidavad põhimääruse §-des 15 ja 19 loetletud muud asutused seoses andmekogus olevate
andmete töötlemisega.
Andmekaitse Inspektsioon on andmekogude juhendis põhimääruse sisu puudutavas osas
toonud olulise küsimusena, mida tuleks põhimääruses reguleerida, muu hulgas välja ka
kohustuste jaotuse vastutava ja volitatud töötlejate vahel – et tööjaotus ja vastutus
andmekogu töötlejate vahel oleks selge, on mõistlik vastavalt tegelikule tööjaotusele
kirjeldada, kes mida teeb. Näiteks kes haldab kasutajaõigusi, kes vastab päringutele, kes
andmekogu arendab ja rahastab jne.
Politsei andmekogu põhimääruses vastutava ja volitatud töötlejate vahelist tööjaotust
reguleerivad sätted puuduvad, mistõttu ei ole selge ka see, kes mille eest tegelikult vastutab.
Näiteks ei ole ka selge, kuidas toimub ebaõigete andmete parandamine. Põhimääruse § 18
lõike 1 järgi olukorras, kus andmeandja või andmete töötleja (ehk andmekogu volitatud
töötleja) avastab ebaõiged andmed, tuleb tal võtta tarvitusele vajalikud meetmed nende
parandamiseks. Samas jääb ebaselgeks, mida ebaõigete andmete avastaja tegelikult tegema
2 (2)
peab – enda sisestatud andmed parandama või teavitama ebaõigetest andmetest vastutavat
töötlejat, sealjuures ei ole selge, millise aja jooksul seda teha tuleb jne. Samuti näeb sama
paragrahvi lõige 2 ette andmesubjekti õiguse nõuda andmetöötlejalt ebeõigete
isikuandmete parandamist. Kui nõudmine on põhjendatud, parandab andmete töötleja
ebaõiged andmed viivitamata, kui nõue ei ole põhjendatud, keeldub andmete töötleja
andmete parandamisest, põhjendades seda kirjalikult. Samas ei selgu põhimäärusest, keda
on andmetöötleja all silmas peetud – andmeandjat või andmekogule juurdepääsuõigust
omavat asutust. Seega ei ole ka selge, kes peaks andmed parandama või andmesubjektile
parandamisest keeldumist põhjendama.
Andmekogude kontekstis on Andmekaitse Inspektsioon korduvalt rõhutanud oma
eesmärki püüelda alati selle poole, et andmekogu reguleerivaid sätteid lugedes oleks
lihtsalt, kiirelt ja üheselt võimalik aru saada, miks, kuhu ja milliseid andmeid kogutakse,
aga vähemtähtis pole ka see, kes milliseid ülesandeid seoses andmekogu pidamisega on
kohustatud täitma.
2. Ühtlasi juhime tähelepanu sellele, et kehtiv andmekogu põhimäärus sisaldab
mitteregulatiivseid, sisutühje sätteid. Näiteks põhimääruse § 7 lõige 1 – õigus teistelt
isikutelt ja asutustelt andmeid saada ei saa tuleneda andmekogu põhimäärusest, vaid
seaduse menetlusnormidest, mis selle konkreetse asutuse tegevusele kohalduvad. Sama
paragrahvi lõige 4 – AvTS § 439 lõike 5 alusel peab andmevahetus riigi infosüsteemi
kuuluvate andmekogudega ja riigi infosüsteemi kuuluvate andmekogude vahel toimumagi
läbi riigi infosüsteemide andmevahetuskihi (X-tee), seadus ei näe ette muid viise.
Samuti põhimääruse § 4, mille 1. lõike esimese lause kohaselt peetakse andmekogu
ühetasandilise infotehnoloogilise andmekoguna. Märgime, et kuni 2007. aastani kehtinud
andmekogude seaduse § 35 punktis 3 oli sätestatud kohustus reguleerida registri
põhimääruses registri ülesehitus ja registri pidamise organisatsiooniline struktuur, andmete
töötlemise kord eri tasanditel, andmete vahetamine ja võrdlemine eri tasandite vahel, kuid
AvTS § 435 enam andmekogu tehnilise ülesehituse detailset sätestamist põhimäärustes ei
nõua. Sama paragrahvi lõige 2 – sisutu säte. Infosüsteem on defineeritud küberturvalisuse
seaduses ning selle järgi kujutabki infosüsteem endast digitaalsete andmete automaatset
töötlemist.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Koostaja: Terje Enula
[email protected], 627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|