| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/25/652-2 |
| Registreeritud | 12.03.2025 |
| Sünkroonitud | 13.03.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Regionaal- ja Põllumajandusministeerium |
| Saabumis/saatmisviis | Regionaal- ja Põllumajandusministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Epp Meremaa
Regionaal- ja
Põllumajandusministeerium
Teie 25.02.2025 nr 1.4-3/176 Meie 12.03.2025 nr 2.3-5/25/652-2
Arvamus kutselise kalapüügi registri
põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks regionaal- ja
põllumajandusministri määruse „Maaeluministri 28. detsembri 2017. aasta määruse nr 93
„Kutselise kalapüügi registri põhimäärus“ muutmine“ eelnõu.
Meil ei ole eelnõu osas tähelepanekuid, kuid arvestades, et käsil on andmekogu põhimääruse
muutmine, siis annab see võimaluse muuta ka kehtiv põhimäärus selgemaks ja konkreetsemaks.
1. Esmalt märgime, et kuigi sõna „register“ peetakse sõna „andmekogu“ sünonüümiks, siis
soovitame siiski kasutada põhimääruses läbivalt sõna „andmekogu“.
2. Kehtiva põhimääruse § 8 lõike 4 järgi saadakse riigi infosüsteemis muu andmekogu
põhiandmeteks määratud andmed sellest andmekogust, mis neid põhiandmetena kogub. Kuna
AvTS § 436 lõike 2 järgi tuleb andmete töötlemisel, mida kogub põhiandmetena teine riigi
infosüsteemi kuuluv andmekogu, igal juhul aluseks võtta teise andmekogu põhiandmed, siis
on tegemist seadust dubleeriva sättega.
Pealegi ei nähtu põhimäärusest, et kutselise kalapüügi registrile oleks andmeandjaks mõni
teine riigi infosüsteemi kuuluv andmekogu. Riigi infosüsteemi haldussüsteemi (RIHA) lisatud
tehnilises kirjelduses on küll märgitud, et register on liidestatud mitme andmekoguga, kuid
põhimäärus andmekogude vahelist andmevahetust ei kajasta.
Juhul kui andmevahetus peaks siiski toimuma või seda plaanitakse, siis juhime tähelepanu
sellele, et AvTS § 435 lõige 1 kohustab andmekogu põhimääruses muu hulgas välja tooma ka
andmeandjad ehk selle, millistest andmekogudest milliseid andmeid saadakse. Just läbi selle
määratakse kindlaks, millised on andmekogu unikaalsed põhiandmed ja millised teistest
andmekogudest saadud andmed.
3. Juurdepääsu registrisse kantud andmetele reguleerib põhimääruse § 11, mille lõike 1 järgi on
registrisse kantud andmed avalikult kättesaadavad, kui neile ei ole kehtestatud
juurdepääsupiirangut.
Selgitame, et avalikule teabele juurdepääsu kehtestamise alused tulenevad AvTS-st ja
põhimõtteliselt on võimalik põhimäärusega ära otsustada, et andmekogusse kogutavad mingid
andmed on juurdepääsupiiranguga. Samas, kui andmekogu põhimäärus konkreetsetele
andmetele või AvTS §-s 35 toodud alusele ei viita, siis tekib hiljem praktikas probleem, kuna
ei pruugita teada, millisel alusel või millistele andmetele juurdepääsupiirang seatud on. Sellisel
2 (2)
juhul tekib olukord, kus määrusandja on küll piirangu ette ära otsustanud, aga andmekogu
vastutav töötleja, kes peaks muidu juurdepääsupiirangute üle otsustama, ei tea, millisel AvTS
sätte alusel seda tehtud on. Vastutav töötleja on aga sunnitud määrust täitma, mis võib panna
ta väga komplitseeritud olukorda. Sellises olukorra vältimiseks peaks põhimääruses olema
selgelt öeldud, millise AvTS § 35 sätte alusel mingitele andmetele juurdepääsupiirang on
seatud.
4. Põhimääruse § 11 lõike 2 järgi võimaldatakse andmetele juurdepääs kooskõlas avaliku teabe
seaduse ja isikuandmete kaitse seadusega.
Põhimääruses toodud andmekoosseisu järgi paistab, et andmekogu ei sisalda olulises osas
isikuandmeid, v.a kalurite, kaptenite, esindajate ja kande tegijate isikuandmed. Viide
isikuandmete kaitse seadusele näitab, et eeldatavasti on antud sätte puhul eelnimetatud
andmeid silmas peetudki. Siinjuures selgitame, et isikuandmete töötlemist reguleerib
peaasjalikult EL isikuandmete kaitse üldmäärus (IKÜM) ja isikuandmete kaitse seadus
täpsustab seda. Juhul kui sätte eesmärgiks on sätestada, kuidas toimub isikuandmete, sh logide
andmekogust väljastamine, siis tulekski põhimääruses täpsustada, kas, kellele ja millistel
juhtudel seda tehakse ning kes andmed väljastab.
5. Põhimääruse § 12 lõike 1 järgi logitakse andmete andmekogusse kandmine, sh andmete
muutmine, kuid samas on andmetega tehtavaid toiminguid rohkem, sh vaatamine, edastamine,
kustutamine. Põhimääruse §-st 4 nähtub, et andmekogu vastutava ja volitatud töötleja
ülesannete täitmiseks määratakse konkreetne ametnik või töötaja. Samuti nähtub lõikest 4, et
andmekogu volitatud töötleja ülesandeks on muu hulgas andmekogu tehnoloogilises
keskkonnas erinevate asutuste töötajatele ameti- ja tööülesannete täitmiseks vajalikele
andmetele juurdepääsu õiguste andmine. Eelnevast võib järeldada, et tegemist on autenditud
kasutajatega. Selgusetuks jääb aga see, kas lisaks andmete sisestamise ja muutmise
toimingutele logitakse ka muid toiminguid, mida autenditud kasutajad andmekogus teevad.
Samas näeb põhimääruse § 14 ette vastutava töötleja kohustuse teha andmekogu pidamise üle
järelevalvet, kuid millisel viisil päringute põhjendatust, aga näiteks ka andmete kustutamise
kontrollimist läbi viiakse.
6. Põhimääruse § 13 lõiked 11 ja 2 määravad andmekogu andmete säilitamise tähtaja, mille
kohaselt säilitatakse isikuandmeid 20 aastat andmekogusse kandmisest ja alusdokumente
kümme aastat. Samas ei nähtu põhimäärusest, mis saab andmetest või alusdokumentidest
pärast säilitamistähtaja lõppemist. Sama puudutab ka põhimäärus § 12 lõiget 2, mis puudutab
logide säilitamist. Palume põhimäärust selles osas täiendada.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
[email protected], 627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|