| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/25/917-2 |
| Registreeritud | 08.04.2025 |
| Sünkroonitud | 09.04.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Rahandusministeerium |
| Saabumis/saatmisviis | Rahandusministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Jürgen Ligi Rahandusministeerium [email protected]
Teie 19.03.2025 nr 1.1-10.1/1419-1 Meie 08.04.2025 nr 2.3-5/25/917-2
Arvamus audiitortegevuse registri põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse 23. septembri 2010. a määruse nr 141 „Audiitortegevuse registri asutamine ja registri põhimäärus“ muutmise eelnõu. Meil ei ole eelnõu osas ettepanekuid, kuid arvestades, et käsil on andmekogu põhimääruse
muutmine, siis annab see võimaluse muuta ka kehtivat põhimäärust selgemaks ja konkreetsemaks.
Kehtiva põhimääruse osas on meil järgmised tähelepanekud.
1. Soovitame muuta kehtiva põhimääruse pealkirja selliselt, et pealkirjast eemaldatakse
tekstiosa „asutamine ja registri pidamise“. Ühtlasi soovitame vaadata üle põhimääruse § 1
ning eemaldada sealt asutamist puudutav osa. Tegemist on juba asutatud andmekoguga
ning põhimääruse eesmärk ongi reguleerida andmekogu pidamist.
2. Põhimääruse § 2 lõike 1 järgi on audiitortegevuse register riiklik register. Selgitame, et
kuni 31.12.2007 kehtinud andmekogude seadus nägi ette andmekogude liigid, milleks oli
riigi põhiregister, riiklik register ja riigiasutuste peetavad muud andmekogud. Avaliku
teabe seadus (AvTS) ei tunne aga mõistet „riiklik register“. AvTS § 433 järgi asutatakse
seadusega või selle alusel antud õigusaktiga andmekogu. Lisaks, kuigi sõna
„register“ peetakse sõna „andmekogu“ sünonüümiks, soovitame siiski põhimääruses
kasutada läbivalt sõna „andmekogu“.
3. Põhimääruse § 3 lõigete 1 ja 2 järgi on andmekogu vastutavaks töötlejaks
Rahandusministeerium ja volitatud töötlejaks Audiitorkogu. AvTS § 434 lõike 1 järgi
korraldab andmekogu vastutav töötleja andmekogu kasutusele võtmist, teenuste ja andmete
haldamist ning vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise
eest. Sama paragrahvi lõike 2 järgi on andmekogu vastutaval töötlejal õigus edasi volitada
andmekogu majutust ja andmete töötlemist. Sama sätestab ka põhimääruse § 3 lõige 3,
mille kohaselt on andmekogu vastutaval töötlejal õigus nimetada teisi volitatud töötlejaid.
Siinjuures aga juhime tähelepanu sellel, et audiitortegevuse seaduse (AudS) § 153 lõige 4
määrab andmekogu volitatud töötlejaks Audiitorkogu, andmata andmekogu vastutavale
töötlejale õigust määrata põhimääruses teisi volitatud töötlejaid. Seega laiendatakse
madalama taseme õigusaktiga kõrgema taseme õigusaktis toodut.
4. Põhimääruse § 3 lõige 3 määrab vastutava ja volitatud töötleja registripidajateks.
Selgitame, et AvTS ei tunne mõistet „registripidaja“. Tegemist on ENSV riiklike registrite
2 (4)
seaduse mõistega, mille kohaselt registri andmete kogumine, salvestamine, säilitamine,
kontroll ja kasutamise korraldamine tehakse ülesandeks ettevõttele, asutusele või
organisatsioonile, keda nimetatakse registripidajaks. Ilmselt on sättega soovitud määrata,
et registris teevad erinevaid andmetöötlustoiminguid nii vastutav kui volitatud töötleja.
Samas ei selgu põhimäärusest, milline on vastutava ja volitatud töötleja vaheline tööjaotus
ja vastutus. Näiteks ei ole selge, kes milliseid andmeid sisestab, parandab, muudab, kes
haldab kasutajaõigusi, kes vastab päringutele ja millises osas, kellel on õigus andmeid
kustutada. Kuigi AudS § 4 järgi teevad Audiitorkogu juhatus ja järelevalvenõukogu
registritoiminguid ja kasutavad registris olevaid andmeid, siis on mõistlik vastavalt
tegelikule tööjaotusele kirjeldada põhimääruses, kes mida ja milliste andmetega teeb ning
mille eest vastutab. Lisaks märgime, et kuna andmekogu sisaldab ka isikuandmeid, siis nende töötlemisel
võivad Rahandusministeerium ja Audiitorkogu olla kaasvastutavad töötlejad IKÜM1
mõistes. See aga tähendab, et põhimääruses tuleks määrata kindlaks ka IKÜM-st tulenevad
vastutusvaldkonnad ehk kes milliseid ülesandeid peab täitma, et andmete töötlemine
vastaks IKÜM-st tulenevatele kohustustele. Eelkõige puudutab see andmesubjekti õiguste
kasutamist, s.t põhimääruses määratakse kindlaks kontaktpunkt, kuhu inimesed seoses oma
isikuandmete töötlemisega võivad pöörduda.
5. Põhimääruse § 4 järgi on andmekogusse kantud andmetel informatiivne tähendus, õiguslik
tähendus on neil ainult seaduses sätestatud ulatuses. Märgime, et kuigi AvTS seda nõuab,
siis on sellised sätted sisutühjad. Ilmselgelt lähtuvad asutused oma töös andmekogusse
kantud andmetest, vastasel juhul oleks andmekogu pidamine mõttetu. Nii on kohatu
märkida põhimääruses, et andmekogu andmetel on vaid informatiivne või statistiline
tähendus. Eristada tuleks vaid need juhud, kus andmekogu andmetel on kolmandate isikute
suhtes konstitutiivne tähendus.
6. Kehtiva põhimääruse § 5 lõike 1 järgi peetakse andmekogu ühetasandilise digitaalse
andmekoguna. Selgitame, et varasemalt kehtinud andmekogude seaduse § 35 punktis 3 oli
sätestatud kohustus reguleerida registri põhimääruses registri ülesehitus ja registri
pidamise organisatsiooniline struktuur, andmete töötlemise kord eri tasanditel ning
andmete vahetamine ja võrdlemine eri tasandite vahel. Kehtiva AvTS § 435 aga andmekogu
tehnilise ülesehituse detailset sätestamist põhimäärustes ei nõua. Kuigi praktikas
kirjeldatakse kehtivates põhimäärustes andmekogu eri tasandeid ka praegu, jääb enamasti
selgusetuks, mida andmekogu haldajad selle all tegelikult mõtlevad. Seetõttu teeme
ettepaneku kõnealune säte põhimäärusest eemaldada. Sealjuures ka see osas, mis puudutab
andmekogu digitaalset pidamist. AvTS § 431 sätestab, et andmekogu on infosüsteem,
infosüsteem on defineeritud küberturvalisuse seaduses ja selle järgi kujutabki infosüsteem
endast digitaalsete andmete automaatset töötlemist ehk tegemist on mittevajaliku sättega.
7. Põhimääruse § 5 lõike 2 kohaselt esitavad andmekogule andmeid audiitortegevuse seaduse
kohaselt registrile andmete esitamiseks kohustatud isikud. Sätte teise lause kohaselt võivad
andmeid esitada ka muud isikud. Märgime, et AvTS § 435 lõike 1 järgi tuleb andmekogu
põhimääruses muu hulgas loetleda andmekogule andmeandjad koos esitatava
andmekoosseisuga. Sättes toodud lahtine loetelu ei taga aga läbipaistvust andmekogus
toimuva andmetöötluse kohta, mistõttu palume sätet muuta ning loetleda andmete allikad
ning andmed, mida andmekogule esitatakse.
8. Põhimääruse §-s 14 on sätestatud menetlustoimiku koosseis. Nimetatud paragrahvi lõike 2
järgi säilitatakse menetlustoimikus muud infot ja dokumente, mis käivad registrisse kantud
isiku kohta. Juhime tähelepanu sellele, et AvTS § 435 lõike 1 järgi tuleb andmekogu
põhimääruses sätestada andmekogusse kogutavate andmete koosseis. Andmekogude
1 EL isikuandmete kaitse üldmäärus (https://eur-lex.europa.eu/legal-
content/ET/TXT/HTML/?uri=CELEX:32016R0679&qid=1654594451057&from=ET)
3 (4)
juhendis on inspektsioon selgitanud, et põhimäärus peab sisaldama ammendavat loetelu
andmekogusse kogutavatest andmetest. Seejuures peab loetelust selguma, kelle kohta (s.o
andmesubjektide kategooriad) neid andmeid kogutakse. Kui andmekoosseis on väga
mahukas, võib loetelu esitada põhimääruse lisana.
9. Põhimääruse § 15 reguleerib andmete ristkasutust. Sätte kohaselt on registri vastutaval ja
volitatud töötlejal lubatud seadusega või seaduse alusel antud õigusaktiga talle pandud
ülesannete täitmiseks esitada päringuid teistesse riigi või kohaliku omavalitsuse
andmekogudesse ja saada sealt andmeid. Esmalt selgitame, et varasemalt kehtinud andmekogude seaduse § 12 reguleeris andmete
ristkasutust, kuid kehtiv AvTS ristkasutuse mõistet ei tunne. Nagu punktis 7 selgitasime,
siis tuleb andmekogu põhimääruses sätestada andmekogule andmete andjad, mis tähendab,
et põhimääruses tuleb välja tuua need andmekogud, asutused või isikud, kust
audiitortegevuse register andmeid saab ning loetleda saadav andmekoosseis. Läbi selle
määratakse kindlaks ka see, millised on andmekogu unikaalsed põhiandmed. Teiseks märgime, et õigus teistelt isikutelt ja asutustelt andmeid saada ei saa tuleneda
andmekogu põhimäärusest, vaid seaduse menetlusnormidest, mis selle konkreetse asutuse
tegevusele kohalduvad. Selline säte on mitteregulatiivne ja sisutühi, mistõttu soovitame
põhimäärusest eemaldada.
10. Põhimääruse § 17 reguleerib andmekogust andmete väljastamist. Nimetatud sätte kohaselt
väljastatakse registrisse kantud avalikke andmeid registri infosüsteemi vahendusel esitatud
avalduse alusel. Samas on reguleerimata juurdepääsupiiranguga andmete väljastamine.
Samuti ei selgu põhimäärusest, kuidas toimub andmete väljastamine arhiivist. Palume
põhimäärust selles osas täiendada.
11. Samuti puuduvad põhimääruses sätted andmetega tehtavate toimingute logimise ja logide
säilitamise kohta. Põhimääruse §-st 19 nähtuvalt jääb igast registrisse tehtud kandest jälg,
kuid põhimäärusest ei nähtu, kas andmekogusse tehtud päringud ja muud andmetega
tehtavad toimingud (nt kustutamine) logitakse. Palume määrust selles osas täiendada.
Lisaks palume täiendada põhimääruse § 26 selliselt, et oleks selge, mis toimub arhiveeritud
andmetega pärast säilitamistähtaja lõppemist.
12. Seoses isikuandmete töötlemisega peame vajalikuks juhtida tähelepanu sellele, et
isikuandmete töötlemine kujutab endast põhiõiguste ja -vabaduste riivet, kuna mõjutab nii
pere- ja eraelu puutumatust kui ka informatsioonilise eneseteostuse vabadust. Põhiõiguste
riivega on tegemist ka isikuandmete salvestamisel andmekogus. Põhiõiguste riive puhul tuleneb Eesti Vabariigi põhiseadusest seadusliku aluse nõue.
Põhiseaduse § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega.
See aga tähendab, et selline piirang peab olema kooskõlas põhiseaduse § 3 lõike 1 esimese
lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas
olevate seaduste alusel. Selle põhimõtte järgi peab põhiõigusi puudutavates küsimustes
kõik olulised otsused langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada
reguleerima üksnes vähemintensiivseid põhiõiguste piiranguid. See tähendab, et ka kõik
andmekogu puudutavad olulised küsimused, milleks kindlasti on andmekogu pidamise
eesmärk, töödeldavate isikuandmete liigid, andmete säilitamise tähtajad, peavad olema
reguleeritud seaduse tasandil. Sealjuures, mida intensiivsemalt isiku põhiõigusi riivatakse
(nt mida tundlikumad on andmed), seda täpsem peab olema selleks riiveks alust andev
regulatsioon. Isikuandete töötlemise seaduslikuks aluseks ei sobi üldine volitusnorm, mis
jätab kõik peamised küsimused täitevvõimu reguleerida. Seega palume täpsustada AudS
sisalduvat andmekogu regulatsiooni selliselt, et sealt nähtuks vähemalt andmekogu
pidamise eesmärk, töödeldavate isikuandmete liigid ja andmete säilitamise tähtajad.
4 (4)
Andmekogude kontekstis on Andmekaitse Inspektsiooni eesmärk alati püüelda selle poole, et
andmekogu reguleerivaid sätteid lugedes oleks lihtsalt, kiirelt ja üheselt võimalik aru saada, miks
ja kuhu mingeid andmeid kogutakse, milliseid andmeid kogutakse, kui kaua neid säilitatakse ning
kellega jagatakse. Just andmekogu põhimääruse eesmärk ongi luua siin selgust ja läbipaistvust.
Lugupidamisega (allkirjastatud digitaalselt) Virve Lans valdkonnajuht peadirektori ülesannetes Terje Enula
627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|