| Dokumendiregister | Rahandusministeerium |
| Viit | 13-2.1/1258-2 |
| Registreeritud | 03.04.2025 |
| Sünkroonitud | 04.04.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 13 FINANTSPOLIITIKA KUJUNDAMINE |
| Sari | 13-2.1 Kirjavahetus kindlustuse ning pensioni- ja teiste sotsiaalkindlustusreformide osas (Arhiiviväärtuslik) |
| Toimik | 13-2.1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Siiri Tõniste (Rahandusministeerium, Kantsleri vastutusvaldkond, Finants- ja maksupoliitika valdkond, Finantsteenuste poliitika osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Merike Saks
Rahandusministeerium
Teie 11.03.2025 nr 13-2.1/1258-1 Meie 03.04.2025 nr 2.2.-1/25/16-2
Puuduste kõrvaldamiseks tähtaja määramine
Andmekaitse Inspektsioon (AKI) menetluses on Rahandusministeeriumi taotlus uuringus „II
sambast enne pensioniiga raha väljavõtmise mõjude analüüs“ isikuandmete töötlemiseks
andmesubjekti nõusolekuta.
Tutvunud teie taotlusega, palun taotlust täiendada vastavalt alljärgnevale:
1. Taotluse punktides 7., 8., 10.2 ja 10.3 on info mõneti vastuoluline või ebaselge. Taotlusest
võib aru saada, et uuringuks vajaliku koondandmestiku loomise protsess on järgmine: SKA
loob koodivõtme, mille edastab andmestike moodustamiseks teistele registritele ning
moodustab samal viisil ka oma andmestiku. Registripidajad moodustavad pseudonüümitud
andmestikud, mille edastavad otse Rahandusministeeriumile, kes ühendab andmed
koondandmestikuks, mida jagab ka Sotsiaalministeeriumile. Palun täpsustada milliseks
tähtajaks (vähemalt aasta ja kvartali täpsusega) kustutavad registrid enda koostatud
andmestikud ja koodivõtme ning vajadusel põhjendada säilitamise perioodi.
2. Taotluses ei ole kirjeldatud, milliseid turvameetmeid rakendatakse andmete edastamisel,
välja arvatud edastamisel krüpteeritult Rahandusministeeriumilt Sotsiaalministeeriumile.
Palun täpsustada, kuidas tagatakse andmetöötluse turvalisus kogu uuringu
andmetöötlusprotsessi ulatuses.
3. Taotluses on kirjeldatud registripidajate poolt andmestike moodustamise ja edastamise
protsessi, kuid ei ole kirjeldatud andmestike edasist töötlemist Rahandus- ja
Sotsiaalministeeriumis. Palun täpsustada andmete töötlemise tingimusi, sh
kaitsemeetmeid, uuringu läbiviimisel ministeeriumites.
4. Taotluse punkti 11 kohaselt andmesubjekte nende isikuandmete töötlemisest ei teavitata,
kuivõrd teavitamine ei ole võimalik/põhjendatud, kuna andmete töötlemine ei kahjusta
andmesubjekti huve, sest väljund on teaduslik üldistus. Isikuandmete kaitse üldmääruse
üheks oluliseks põhimõtteks on läbipaistvuse põhimõte. Läbipaistvuse tagamiseks tuleb
andmesubjekte isikuandmete töötlemisest teavitada vastavalt IKÜM artiklitele 12 – 14
konkreetselt selles uuringus toimuvast andmetöötlusest. Märgin, et taotluses viidatud
andmetöötlejate üldised andmekaitsetingimused seda ei kajasta. Üldmäärus küll kehtestab
ka andmesubjektide teavitamata jätmise alused, kuid neid saab rakendada pigem erandlikel
asjaoludel. Antud uuringu taotluses ei nähtu selliseid erandlikke asjaolusid, mis takistavad
isikute teavitamist. Teavitada on võimalik läbi (sotsiaal)meedia, ministeeriumi vm asutuse
kodulehe kaudu vms viisil. Seega palun kaaluda andmesubjekti teavitamise võimalusi ja
vastavalt sellele taotlust täiendada. Kui leiate, et isegi ka üldine andmesubjektide
teavitamine võimalikuks ei osutu, palun seda otsust põhjendada.
2 (2)
5. Palun esitada andmekaitsealane mõjuhinnang või kui seda ei ole koostatud või ei koostata,
siis palun seda otsust põhjendada, arvestades isikuandmete kaitse üldmääruse1 (IKÜM)
artiklis 35 sätestatuga. Taotluse punktist 9 nähtuvalt on uuringu valimiks, kelle andmeid
töödeldakse, kogu Eesti elanikkond vanuses 18-60 aastat, kes olid elus ajavahemikul 2021-
2024, kokku orienteeruvalt 800 000 isikut. IKÜM art 35 lg 1 kohaselt peab isikuandmete
vastutav töötleja hindama enne isikuandmete töötlemist kavandatavate isikuandmete
töötlemise toimingute mõju isikuandmete kaitsele, kui isikuandmete töötlemise laadi,
ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele
ja vabadustele suur oht. IKÜM art 35 lg 3 loetleb olukorrad, millal andmekaitsealase
mõjuhinnangu tegemine on nõutav, mh on hinnangu koostamine kohustuslik, kui toimub
füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel
isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel
on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt
füüsilist isikut, samuti ka eriliigiliste isikuandmete ulatuslik töötlemine.
Inspektsiooni koostatud isikuandmete töötleja üldjuhendis2 on selgitatud, mis on
süstemaatiline ja ulatuslik andmetöötlus. Samuti on toodud näiteid suure ohu kohta.
Juhendis on viidatud suunistele3, mis käsitlevad andmekaitsealast mõjuhinnangut.
Olemasolevast teabest lähtuvalt palun hinnata, kas käesoleval juhul on mõjuhinnangu
koostamine vajalik ja kui on, siis palun see koostada. Kui mitte, siis palun tuua esile
sellekohased kaalutlused.
Palun esimesel võimalusel, kuid hiljemalt 18.04.2025 taotluses esinevad puudused kõrvaldada
ning täpsustused taotlusvormile sisse viia. Muudatused palun algtekstist eristada. Vastus palun
saata aadressil [email protected].
Tähtajaks puuduste kõrvaldamata jätmise korral võib AKI vastavalt haldusmenetluse seaduse § 15
lõikele 3 jätta taotluse läbi vaatamata.
Lugupidamisega
(allkirjastatud digitaalselt)
Anu Suviste
jurist
peadirektori volitusel
1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete
töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta 2 https://www.aki.ee/isikuandmed/juhendid/isikuandmete-tootleja-uldjuhend 3 https://ec.europa.eu/newsroom/article29/items/611236
|
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Merike Saks
Rahandusministeerium
Teie 11.03.2025 nr 13-2.1/1258-1 Meie 03.04.2025 nr 2.2.-1/25/16-2
Puuduste kõrvaldamiseks tähtaja määramine
Andmekaitse Inspektsioon (AKI) menetluses on Rahandusministeeriumi taotlus uuringus „II
sambast enne pensioniiga raha väljavõtmise mõjude analüüs“ isikuandmete töötlemiseks
andmesubjekti nõusolekuta.
Tutvunud teie taotlusega, palun taotlust täiendada vastavalt alljärgnevale:
1. Taotluse punktides 7., 8., 10.2 ja 10.3 on info mõneti vastuoluline või ebaselge. Taotlusest
võib aru saada, et uuringuks vajaliku koondandmestiku loomise protsess on järgmine: SKA
loob koodivõtme, mille edastab andmestike moodustamiseks teistele registritele ning
moodustab samal viisil ka oma andmestiku. Registripidajad moodustavad pseudonüümitud
andmestikud, mille edastavad otse Rahandusministeeriumile, kes ühendab andmed
koondandmestikuks, mida jagab ka Sotsiaalministeeriumile. Palun täpsustada milliseks
tähtajaks (vähemalt aasta ja kvartali täpsusega) kustutavad registrid enda koostatud
andmestikud ja koodivõtme ning vajadusel põhjendada säilitamise perioodi.
2. Taotluses ei ole kirjeldatud, milliseid turvameetmeid rakendatakse andmete edastamisel,
välja arvatud edastamisel krüpteeritult Rahandusministeeriumilt Sotsiaalministeeriumile.
Palun täpsustada, kuidas tagatakse andmetöötluse turvalisus kogu uuringu
andmetöötlusprotsessi ulatuses.
3. Taotluses on kirjeldatud registripidajate poolt andmestike moodustamise ja edastamise
protsessi, kuid ei ole kirjeldatud andmestike edasist töötlemist Rahandus- ja
Sotsiaalministeeriumis. Palun täpsustada andmete töötlemise tingimusi, sh
kaitsemeetmeid, uuringu läbiviimisel ministeeriumites.
4. Taotluse punkti 11 kohaselt andmesubjekte nende isikuandmete töötlemisest ei teavitata,
kuivõrd teavitamine ei ole võimalik/põhjendatud, kuna andmete töötlemine ei kahjusta
andmesubjekti huve, sest väljund on teaduslik üldistus. Isikuandmete kaitse üldmääruse
üheks oluliseks põhimõtteks on läbipaistvuse põhimõte. Läbipaistvuse tagamiseks tuleb
andmesubjekte isikuandmete töötlemisest teavitada vastavalt IKÜM artiklitele 12 – 14
konkreetselt selles uuringus toimuvast andmetöötlusest. Märgin, et taotluses viidatud
andmetöötlejate üldised andmekaitsetingimused seda ei kajasta. Üldmäärus küll kehtestab
ka andmesubjektide teavitamata jätmise alused, kuid neid saab rakendada pigem erandlikel
asjaoludel. Antud uuringu taotluses ei nähtu selliseid erandlikke asjaolusid, mis takistavad
isikute teavitamist. Teavitada on võimalik läbi (sotsiaal)meedia, ministeeriumi vm asutuse
kodulehe kaudu vms viisil. Seega palun kaaluda andmesubjekti teavitamise võimalusi ja
vastavalt sellele taotlust täiendada. Kui leiate, et isegi ka üldine andmesubjektide
teavitamine võimalikuks ei osutu, palun seda otsust põhjendada.
2 (2)
5. Palun esitada andmekaitsealane mõjuhinnang või kui seda ei ole koostatud või ei koostata,
siis palun seda otsust põhjendada, arvestades isikuandmete kaitse üldmääruse1 (IKÜM)
artiklis 35 sätestatuga. Taotluse punktist 9 nähtuvalt on uuringu valimiks, kelle andmeid
töödeldakse, kogu Eesti elanikkond vanuses 18-60 aastat, kes olid elus ajavahemikul 2021-
2024, kokku orienteeruvalt 800 000 isikut. IKÜM art 35 lg 1 kohaselt peab isikuandmete
vastutav töötleja hindama enne isikuandmete töötlemist kavandatavate isikuandmete
töötlemise toimingute mõju isikuandmete kaitsele, kui isikuandmete töötlemise laadi,
ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele
ja vabadustele suur oht. IKÜM art 35 lg 3 loetleb olukorrad, millal andmekaitsealase
mõjuhinnangu tegemine on nõutav, mh on hinnangu koostamine kohustuslik, kui toimub
füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel
isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel
on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt
füüsilist isikut, samuti ka eriliigiliste isikuandmete ulatuslik töötlemine.
Inspektsiooni koostatud isikuandmete töötleja üldjuhendis2 on selgitatud, mis on
süstemaatiline ja ulatuslik andmetöötlus. Samuti on toodud näiteid suure ohu kohta.
Juhendis on viidatud suunistele3, mis käsitlevad andmekaitsealast mõjuhinnangut.
Olemasolevast teabest lähtuvalt palun hinnata, kas käesoleval juhul on mõjuhinnangu
koostamine vajalik ja kui on, siis palun see koostada. Kui mitte, siis palun tuua esile
sellekohased kaalutlused.
Palun esimesel võimalusel, kuid hiljemalt 18.04.2025 taotluses esinevad puudused kõrvaldada
ning täpsustused taotlusvormile sisse viia. Muudatused palun algtekstist eristada. Vastus palun
saata aadressil [email protected].
Tähtajaks puuduste kõrvaldamata jätmise korral võib AKI vastavalt haldusmenetluse seaduse § 15
lõikele 3 jätta taotluse läbi vaatamata.
Lugupidamisega
(allkirjastatud digitaalselt)
Anu Suviste
jurist
peadirektori volitusel
1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete
töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta 2 https://www.aki.ee/isikuandmed/juhendid/isikuandmete-tootleja-uldjuhend 3 https://ec.europa.eu/newsroom/article29/items/611236
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Otsus isikuandmete töötlemiseks teadusuuringus | 17.04.2025 | 1 | 13-2.1/1258-4 | Sissetulev kiri | ram | Andmekaitse Inspektsioon |
| Taotlus | 15.04.2025 | 1 | 13-2.1/1258-3 | Väljaminev kiri | ram | Andmekaitse Inspektsioon |