Arvamus eelnõule

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp Kristina Kallas

Haridus- ja Teadusministeerium

[email protected]

Teie 25.02.2025 nr 8-1/25/948 Meie 18.03.2025 nr 2.3-4/25/633-2

Arvamus Eesti hariduse infosüsteemi

põhimääruse muutmise eelnõule

Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse

määruse „Vabariigi Valitsuse 5. augusti 2004. a määruse nr 265 „Eesti hariduse infosüsteemi

asutamine ning põhimäärus“ ja 29. septembri 2023. a määruse nr 90 „Tööhõiveprogramm 2024–

2029“ muutmine“ eelnõu.

Meil ei ole eelnõu osas ettepanekuid, kuid arvestades, et käsil on andmekogu põhimääruse

muutmine, siis annab see võimaluse muuta ka kehtivat põhimäärust selgemaks ja konkreetsemaks.

Kehtiva põhimääruse osas on meil järgmised tähelepanekud ja soovitused.

1. Soovitame muuta kehtiva põhimääruse pealkirja selliselt, et pealkirjast eemaldatakse tekstiosa

„asutamine ning“. Ühtlasi soovitame vaadata üle põhimääruse 1. peatüki pealkiri ja

põhimääruse § 1, mis reguleerib riikliku registri asutamist. Märgime, et tegemist on juba

asutatud andmekoguga ning põhimääruse eesmärk on reguleerida andmekogu pidamist. Lisaks

selgitame, et avaliku teabe seadus (AvTS) ei tunne mõistet „riiklik register“. AvTS § 433 järgi

asutatakse seadusega või selle alusel antud õigusaktiga andmekogu.

2. Põhimääruse §-s 2 on toodud andmekogu eesmärk, milleks on informatsiooni kogumine

haridussüsteemi korraldamiseks ja sihipärasemaks juhtimiseks. Märgime, et andmekogu

eesmärgiks ei saa olla andmete kogumine iseenesest, vaid AvTS § 431 lõikest 1 tulenevalt

andmekogu asutatakse ja seda kasutatakse seaduses, selle alusel antud õigusaktis või

rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Seega peab andkogu asutamise

aluseks olevast seadusest, s.o seaduse volitusnormist tulenema andmekogu loomise konkreetne

eesmärk ehk avalik ülesanne, mille täitmiseks andmekogu luuakse. Kuna Eesti Vabariigi

haridusseaduse (HaS) § 366 lõikes 1 on andmekogu eesmärk sõnastatud, siis soovitame

sarnaselt sõnastada ka põhimääruse § 2.

3. Kehtiva põhimääruse § 5 lõike 1 järgi peetakse andmekogu ühetasandilise infotehnoloogilise

andmebaasina. Selgitame, et kuni 2007. aastani kehtinud andmekogude seaduse § 35 punktis

3 oli sätestatud kohustus reguleerida registri põhimääruses registri ülesehitus ja registri

pidamise organisatsiooniline struktuur, andmete töötlemise kord eri tasanditel, andmete

vahetamine ja võrdlemine eri tasandite vahel. Kehtiva AvTS § 435 aga andmekogu tehnilise

ülesehituse detailset sätestamist põhimäärustes ei nõua. Kuigi praktikas kirjeldatakse

kehtivates põhimäärustes andmekogu eri tasandeid ka praegu, jääb enamasti selgusetuks, mida

andmekogu haldajad selle all tegelikult mõtlevad. Seetõttu teeme ettepaneku kõnealune säte

põhimäärusest eemaldada.

2 (3)

4. Põhimääruse § 5 lõike 2 järgi kasutatakse registri pidamisel automatiseeritud andmetöötlust ja

registri andmeid säilitatakse digitaalsel kujul. Tegemist on mittevajaliku sättega. AvTS § 431

sätestab, et andmekogu on infosüsteem, infosüsteem on defineeritud küberturvalisuse seaduses

ja selle järgi kujutabki infosüsteem endast digitaalsete andmete automaatset töötlemist.

5. Põhimääruse § 81 reguleerib andmete säilitamist. Nimetatud paragrahvi lõike 1 järgi säilitab

andmekogu vastutav töötleja haridust tõendavate dokumentide alamregistri andmeid kuni 10

aastat alates isiku surmast. Selgusetuks jääb, kas andmeid säilitatakse 10 aastat või on võimalik

andmeid säilitada ka vähem kui 10 aastat. Inspektsioon on andmekogusid puudutavas juhendis

selgitanud, et andmete säilitamise tähtaeg määratakse kuupäevana, aastates või

kindlaksmääratus sündmuse saabumisega või kombinatsioon nendest. Kui sätte eesmärk on

määrata, et andmeid säilitatakse 10 aastat pärast isiku surma, siis selliselt tuleks säte

põhimääruses ka sõnastada. Sama puudutab ka eelnimetatud paragrahvi lõikeid 2 ja 3, kus

andmeid säilitatakse kas kuni 10 aastat või siis kuni 25 aastat. 6. Põhimääruse § 81 lõike 4 järgi säilitustähtaja möödumisel andmed umbisikustatakse. 2016.

aastal on põhimääruse muutmisel seletuskirjas selgitatud, et ülejäänud isikustatud andmed

arhiveeritakse anonüümsel kujul 25 aasta pärast registrisse kandmist. Isikustatud andmed

võimaldavad viia läbi pikaajalisi uuringuid ning kasutada analüüsides ja uuringutes teiste

andmekogude andmeid. Õppeasutuste, õppekavade, koolitus- ja tegevuslubade, õppe

läbiviimise õiguse, registreeringu ja muid mitteisikustatud andmeid säilitatakse registris

alaliselt.

Märgime, et isikuandmete töötlemist reguleerib peaasjalikult EL isikuandmete kaitse

üldmäärus (IKÜM), mille kohaselt saavad andmed olla anonüümsed või pseudonüümitud,

mitte aga umbisikustatud. Sealjuures saab anonüümseks lugeda üksnes selliseid andmeid, mis

on muudetud anonüümseks viisil, kus üksikisikut ei ole võimalik tuvastada või ei ole enam

võimalik tuvastada ehk selleks, et andmed oleks tõeliselt anonüümsed, peab anonüümseks

muutmine olema pöördumatu. Alles selliste andmete töötlemisele ei kohaldu

andmekaitsenõuded, sh ei pea neile määrama säilitamise tähtaega, mis tähendab, et neid võib

säilitada alaliselt.

Kui aga andmeid on võimalik täiendavat teavet kasutades siiski seostada konkreetse isikuga,

on tegemist pseudonüümitud andmetega. Selliste andmete töötlemisele kohalduvad samad

andmekaitsenõuded kui isikuandmete töötlemisele ehk andmete alaline säilitamine saab olla

pigem erandlik ja möödapääsmatult vajalik, nõudes põhjalikku põhjendamist.

Soovitame andmete säilitamise sätted põhimääruses üle vaadata ja sõnastada selliselt, et oleks

võimalik aru saada, mida andmekogu andmetega pärast säilitamise tähtaja lõppemist edasi

tehakse. Siinjuures märgime, et andmete arhiivis säilitamine on samuti andmete töötlemine.

Lisaks juhime tähelepanu sellele, et HaS § 366 andmekogus andmete säilitamise tähtaegu ei

reguleeri. Peame vajalikuks toonitada, et isikuandmete kogumine ja säilitamine kui

eraelupuutumatuse riive peaks põhiseaduse § 26 sõnastusest ja olulisuse põhimõttest tulenevalt

olema reguleeritud seaduse tasemel, mitte jäetud määruse tasemel reguleerida.

7. Põhimääruse § 81 lõike 5 järgi hallatakse registri dokumente kooskõlas arhiiviseaduse ja selle

alusel kehtestatud õigusaktidega. Märgime, et arhiiviseadusele viitamine on sisutu, kuna

seadus ei anna tähtaegu. Säilitamistähtajad tuleb vastutaval töötlejal endal selgelt kindlaks

määrata, lähtudes eesmärgist.

8. Põhimääruse § 27 reguleerib andmete ristkasutust rahvastikuregistriga. Märgime, et kuni 2007.

aastani kehtinud andmekogude seaduse § 12 reguleeris andmete ristkasutust. Kehtiv AvTS aga

ristkasutuse mõistet ei tunne. AvTS § 435 järgi tuleb andmekogu põhimääruses sätestada

andmekogule andmete andjad, mis tähendab, et põhimääruses tuleb välja tuua, millistest

andmekogudest milliseid andmeid saadakse. Läbi selle määratakse kindlaks ka see, millised

on andmekogu unikaalsed põhiandmed.

3 (3)

9. Samuti leiame, et üle tuleks vaadata andmekogu likvideerimist puudutavad sätted ning ühtlasi

lisada põhimäärusesse andmetega tehtavate töötlemistoimingute logimist ja logide säilitamist

puudutav osa, mis kehtivast põhimäärusest üldse puudub.

Kokkuvõtvalt soovitame andmekogu põhimääruse üle vaadata, täpsustada sõnastust, mõisteid,

viia sätted kooskõlla kehtivate õigusaktidega jne. Andmekogude kontekstis on Andmekaitse

Inspektsiooni eesmärk alati püüelda selle poole, et andmekogu reguleerivaid sätteid lugedes

oleks lihtsalt, kiirelt ja üheselt võimalik aru saada, miks ja kuhu mingeid andmeid kogutakse,

milliseid andmeid kogutakse, kellega neid jagatakse ja kui kaua säilitatakse. Just andmekogu

põhimääruse eesmärk ongi luua siin selgust ja läbipaistvust.

Lugupidamisega

(allkirjastatud digitaalselt)

Pille Lehis

peadirektor

Koostaja: Terje Enula

[email protected], telefon 627 4144