2 (4)
seaduse mõistega, mille kohaselt registri andmete kogumine, salvestamine, säilitamine,
kontroll ja kasutamise korraldamine tehakse ülesandeks ettevõttele, asutusele või
organisatsioonile, keda nimetatakse registripidajaks. Ilmselt on sättega soovitud määrata,
et registris teevad erinevaid andmetöötlustoiminguid nii vastutav kui volitatud töötleja.
Samas ei selgu põhimäärusest, milline on vastutava ja volitatud töötleja vaheline tööjaotus
ja vastutus. Näiteks ei ole selge, kes milliseid andmeid sisestab, parandab, muudab, kes
haldab kasutajaõigusi, kes vastab päringutele ja millises osas, kellel on õigus andmeid
kustutada. Kuigi AudS § 4 järgi teevad Audiitorkogu juhatus ja järelevalvenõukogu
registritoiminguid ja kasutavad registris olevaid andmeid, siis on mõistlik vastavalt
tegelikule tööjaotusele kirjeldada põhimääruses, kes mida ja milliste andmetega teeb ning
mille eest vastutab.
Lisaks märgime, et kuna andmekogu sisaldab ka isikuandmeid, siis nende töötlemisel
võivad Rahandusministeerium ja Audiitorkogu olla kaasvastutavad töötlejad IKÜM1
mõistes. See aga tähendab, et põhimääruses tuleks määrata kindlaks ka IKÜM-st tulenevad
vastutusvaldkonnad ehk kes milliseid ülesandeid peab täitma, et andmete töötlemine
vastaks IKÜM-st tulenevatele kohustustele. Eelkõige puudutab see andmesubjekti õiguste
kasutamist, s.t põhimääruses määratakse kindlaks kontaktpunkt, kuhu inimesed seoses oma
isikuandmete töötlemisega võivad pöörduda.
5. Põhimääruse § 4 järgi on andmekogusse kantud andmetel informatiivne tähendus, õiguslik
tähendus on neil ainult seaduses sätestatud ulatuses. Märgime, et kuigi AvTS seda nõuab,
siis on sellised sätted sisutühjad. Ilmselgelt lähtuvad asutused oma töös andmekogusse
kantud andmetest, vastasel juhul oleks andmekogu pidamine mõttetu. Nii on kohatu
märkida põhimääruses, et andmekogu andmetel on vaid informatiivne või statistiline
tähendus. Eristada tuleks vaid need juhud, kus andmekogu andmetel on kolmandate isikute
suhtes konstitutiivne tähendus.
6. Kehtiva põhimääruse § 5 lõike 1 järgi peetakse andmekogu ühetasandilise digitaalse
andmekoguna. Selgitame, et varasemalt kehtinud andmekogude seaduse § 35 punktis 3 oli
sätestatud kohustus reguleerida registri põhimääruses registri ülesehitus ja registri
pidamise organisatsiooniline struktuur, andmete töötlemise kord eri tasanditel ning
andmete vahetamine ja võrdlemine eri tasandite vahel. Kehtiva AvTS § 435 aga andmekogu
tehnilise ülesehituse detailset sätestamist põhimäärustes ei nõua. Kuigi praktikas
kirjeldatakse kehtivates põhimäärustes andmekogu eri tasandeid ka praegu, jääb enamasti
selgusetuks, mida andmekogu haldajad selle all tegelikult mõtlevad. Seetõttu teeme
ettepaneku kõnealune säte põhimäärusest eemaldada. Sealjuures ka see osas, mis puudutab
andmekogu digitaalset pidamist. AvTS § 431 sätestab, et andmekogu on infosüsteem,
infosüsteem on defineeritud küberturvalisuse seaduses ja selle järgi kujutabki infosüsteem
endast digitaalsete andmete automaatset töötlemist ehk tegemist on mittevajaliku sättega.
7. Põhimääruse § 5 lõike 2 kohaselt esitavad andmekogule andmeid audiitortegevuse seaduse
kohaselt registrile andmete esitamiseks kohustatud isikud. Sätte teise lause kohaselt võivad
andmeid esitada ka muud isikud. Märgime, et AvTS § 435 lõike 1 järgi tuleb andmekogu
põhimääruses muu hulgas loetleda andmekogule andmeandjad koos esitatava
andmekoosseisuga. Sättes toodud lahtine loetelu ei taga aga läbipaistvust andmekogus
toimuva andmetöötluse kohta, mistõttu palume sätet muuta ning loetleda andmete allikad
ning andmed, mida andmekogule esitatakse.
8. Põhimääruse §-s 14 on sätestatud menetlustoimiku koosseis. Nimetatud paragrahvi lõike 2
järgi säilitatakse menetlustoimikus muud infot ja dokumente, mis käivad registrisse kantud
isiku kohta. Juhime tähelepanu sellele, et AvTS § 435 lõike 1 järgi tuleb andmekogu
põhimääruses sätestada andmekogusse kogutavate andmete koosseis. Andmekogude
1 EL isikuandmete kaitse üldmäärus (https://eur-lex.europa.eu/legal-
content/ET/TXT/HTML/?uri=CELEX:32016R0679&qid=1654594451057&from=ET)