Arvamuse edastamine

Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja Digiministeerium Teie 10.04.2025 nr 8-3/3312-1 Suur-Ameerika 1 10122 TALLINN Meie 12.05.2025 nr 6.1-1/38-1 Arvamus isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse kohta Täname Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu (ITL) kaasamise eest isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse (VTK) menetlusse, mis käsitleb isikuandmete nõusolekuta töötlemist analüüsi või uuringu tarbeks. Oleme VTK-d analüüsinud ja esitame selle kohta järgmised seisukohad, küsimused ning ettepanekud.

1. Vajadus diferentseerida erinevad eesmärgid

Kehtiva isikuandmete kaitse seaduse (IKS) § 6 käsitleb isikuandmete töötlemist teadus- ja ajaloouuringu ning riikliku statistika vajadusteks. VTK-ga kavandatakse anda isikuandmete töötlemise õigus ka poliitika kujundamise analüüsideks ja uuringuteks ning tehnoloogiaarenduseks. Uuringud poliitikakujunduseks on tegelikult põhjalikud andmeanalüüsid teatud probleemi mõistmiseks ja valitsusasutuste poolt kavandatavate võimalike otsuste mõju analüüsiks. Tehnoloogiaarendus aga ei pruugi olla samaaegselt teadusuuring, see mõiste tuleb kindlasti täpsemalt sisustada.

Oleme seisukohal, et IKS § 6 peaks diferentseerima eri valdkondade vajaduste ja kontekstide vahel ehk neid aluseid ei ole õige niimoodi ühe üldise sättega reguleerida. IKS § 6 on hetkel sõnastatud katusnormina teaduse- (baasteadus ja rakendusteadus), ajaloouuringute ja riikliku statistika vajadusteks, seejuures teaduseesmärk on mõeldud hõlmama ka poliitikauuringuid. Need on kõik valdkonnad, milles kehtivad erinevad institutsionaalsed olud ja õigusraamistikud, mistõttu isikuandmete töötlemise kontekst ei ole kõigis valdkondades ühesugune.

2

Näiteks:

• Riikliku statistika puhul on andmetöötlus täiendavalt reguleeritud eraldi riikliku statistika seaduse alusel, kus on teaduskasutuse puhul ette nähtud ka konfidentsiaalsusnõukogu eelnev kontroll samas kui muu statistika on väljaspool EL-i isikuandmete kaitse üldmäärust (GDPR) reguleerimata.

• Kui teaduse tegemist ja üldnõudeid määratletakse üldiselt Frascati käsiraamatu1 suuniste ning väljakujunenud teaduseetika reeglite järgi, siis poliitikakujundamises neid reegleid sageli ei rakendata. Oleks väär allutada poliitikauuringud samadele eranditele nagu teadus, kui tegelikult see teadustöö nõuetele ei vasta.

• GDPR artikkel 89 käsitleb lisaks nimetatutele ka avalikes huvides arhiivinduse vajadusi, GDPR põhjenduspunktid 163-164 eristavad omakorda ametlikku ja mitteametlikku statistikat ning GDPR põhjenduspunkt 159 teeb omakorda vahet ka alus- ja rakendusuuringutel ning eksperimentaalteadusel, olgu tegu era- või avalikest vahenditest finantseerimisel teadusega. Palume selgitada, miks on avalik arhiivindus IKS § 6 reguleerimisalast väljas ja kuidas veendutakse, kas kõik teaduse eri vormid nii era- kui ka avalikus sektoris alluvad IKS § 6 üldnormile ühtmoodi?

Seega ITL-i ettepanek on sõnastada VTK-s välja pakutud IKS § 6 lg 1 asemel selgelt eristatavad sätted erinevate uuringute kontekste arvestades. Samuti kaaluda, kas reguleerida teatud töötlemistoiminguid hoopis muudes spetsiifilistes õigusaktides, mitte üldseaduses. Arvestada tuleb seejuures ka kehtivaid Euroopa Liidu otsekohalduvaid õigusakte.

2. Kohustus rakendada asjakohaseid kaitsemeetmeid

IKS § 6 on nii kehtivas seaduses kui ka VTK-s välja pakutud kujul eksitava sisuga GDPR artiklite 89(1) ja 89(2) alusel loodud erirežiimi (vt selgitavad punktid allpool) suhtes, jättes mulje, et ainult teadustöö, statistika või avalikes huvides arhiveerimise eesmärgist piisab andmesubjekti õiguste piiramiseks. Tegelikult on vastavate õiguste piiramine lubatud üksnes asjakohaste kaitsemeetmete rakendamisel - need meetmed tuleb valida vastavalt iga töötlemisjuhtumi faktilistele eripäradele ning sellega kaasnevatele mõjudele andmesubjektide õigustele ja vabadustele.

Selgituseks:

• GDPR lubab isikuandmete töötlemisel teadustöö, statistika või avalikes huvides arhiveerimise eesmärgil teha erandeid osadest isikuandmete kaitse põhimõtetest (GDPR art 5(1)(b) ja art 5(1)(e), art 9(2)(j)) ja osadest andmesubjekti õigustest

1 Kättesaadav: https://www.etag.ee/wp-content/uploads/2016/11/FrascatiManual2015_2ptk.pdf

3

(GDPR art 14(5)(b), art 17(3)(d), art 21(6)) üksnes juhul, kui sellise andmetöötluse puhul kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks (GDPR art 89(1)).

• EL ja liikmesriigid võivad oma õiguses kehtestada täiendavaid erandeid andmesubjekti õigustest (GDPR artiklid 15, 16, 18 ja 21), kuid seda samuti asjakohaste kaitsemeetmete rakendamisel (GDPR art 89(2)).

Teeme ettepaneku antud küsimust täiendavalt analüüsida ja sõnastada selgemalt, millised asjakohased kaitsemeetmed tuleb rakendada erinevate uuringute puhul.

3. Esmase ja teisese andmetöötluse eristamine

Teeme ettepaneku eristada selgelt IKS §-is 6 nõuded esmasele ja teisele andmetöötlusele, et oleks võimalik luua parem seos ka EL-i andmehaldusmääruse ja andmeruumide regulatsioonidega, mis täpsustavad eelkõige teisese andmetöötluse reegleid, sh käsitlevad turvalise andmetöötluskeskkonna nõudeid.

Näiteks:

• Edasise töötlemise korral on nõutav, et algse ja edasise töötlemise eesmärgid oleksid omavahel kooskõlas (GDPR art 5(1)(b) ja art 6(4)), kuigi teadustöö, statistika või avalikes huvides arhiveerimise eesmärgil töötlemise puhul kehtib eeldus, et see kooskõla on olemas, siis igal üksikjuhtumil tuleb seda eeldust siiski eraldi kontrollida.

• Edasise töötlemise korral on kohustus töödelda isikuandmeid kujul, mis (enam) ei võimalda andmesubjektide tuvastamist (GDPR art 89(1) viimane lause) ning see ei ole sama, mis pseudonüümitud andmete töötlus.

4. Andmete viimine mittetuvastavale kujule

Teeme ettepaneku peegeldada IKS §-is 6 selgemini GDPR art 89(1) viimase lause üldnõuet, et teaduse, statistika ja avalikes huvides arhiivinduse eesmärgil teisese kasutuse puhul tuleb esmajärjekorras viia isikuandmed mittetuvastavale kujule (ei ole tingimata sama, mis pseudonüümitud andmed). Kui see pole mõeldav, alles siis võib kaaluda pseudonüümimist ja muid kaitsemeetmeid.

Lisame, et IKS § 6 lõikes 1 tekitab segadust sõna „eelkõige“ kasutamine. See jääb eriti arusaamatuks olukorras, kus GDPR (nagu ülal öeldud) nõuab, et andmete taaskasutamisel oleks need viidud mittetuvastavale kujule.

5. Ebaselgus seoses kiiretel andmetel põhinevate otsustega

Palun selgitage VTK probleemi 2.3 "kiired andmetel põhinevad otsused" kõrvutades seda Euroopa Liidu andmemääruse artikliga 15, mis reguleerib andmete kasutust erakorralisel vajadusel. Kas viidatud artikkel ei kata samu olukordi nagu VTK-s toodud?

4

Lõpetuseks teeme ettepaneku lisada VTK alusel koostatava eelnõu seletuskirja praktilisi näiteid reaalsest elust (uuring - andmed - protsess - ...). See aitaks suurendada tulevaste andmekasutajate arusaama, millal võib neile normidele tuginedes isikuandmeid kasutada.

Samuti teeme ettepaneku kohtumiseks, et arutada ühiselt läbi erinevad isikuandmete päringute ja töötlemise kasutusjuhud ning sellega seonduvat erinevate õigusaktide nõuded. VTK käsitleb Eesti IKS-i ühte sätet, kuid andmetega seotud õigusakte on teisi ka (nt GDPR) ja nii mitmedki neist on alles osaliselt või täielikult rakendamata (nt otsekohalduvad EL andmehaldusmäärus, EL andmemäärus jm). Seega selguse huvides oleks väga vaja vaadelda VTK-ga kavandatavat muudatuse kooskõla ja seoseid teiste valdkonda reguleerivate õigusaktidega.

Lugupidamisega /allkirjastatud digitaalselt/

Doris Po ld Tegevjuht

Keilin Tammepärg, [email protected]

Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja Digiministeerium Teie 10.04.2025 nr 8-3/3312-1 Suur-Ameerika 1 10122 TALLINN Meie 12.05.2025 nr 6.1-1/38-1 Arvamus isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse kohta Täname Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu (ITL) kaasamise eest isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse (VTK) menetlusse, mis käsitleb isikuandmete nõusolekuta töötlemist analüüsi või uuringu tarbeks. Oleme VTK-d analüüsinud ja esitame selle kohta järgmised seisukohad, küsimused ning ettepanekud.

1. Vajadus diferentseerida erinevad eesmärgid

Kehtiva isikuandmete kaitse seaduse (IKS) § 6 käsitleb isikuandmete töötlemist teadus- ja ajaloouuringu ning riikliku statistika vajadusteks. VTK-ga kavandatakse anda isikuandmete töötlemise õigus ka poliitika kujundamise analüüsideks ja uuringuteks ning tehnoloogiaarenduseks. Uuringud poliitikakujunduseks on tegelikult põhjalikud andmeanalüüsid teatud probleemi mõistmiseks ja valitsusasutuste poolt kavandatavate võimalike otsuste mõju analüüsiks. Tehnoloogiaarendus aga ei pruugi olla samaaegselt teadusuuring, see mõiste tuleb kindlasti täpsemalt sisustada.

Oleme seisukohal, et IKS § 6 peaks diferentseerima eri valdkondade vajaduste ja kontekstide vahel ehk neid aluseid ei ole õige niimoodi ühe üldise sättega reguleerida. IKS § 6 on hetkel sõnastatud katusnormina teaduse- (baasteadus ja rakendusteadus), ajaloouuringute ja riikliku statistika vajadusteks, seejuures teaduseesmärk on mõeldud hõlmama ka poliitikauuringuid. Need on kõik valdkonnad, milles kehtivad erinevad institutsionaalsed olud ja õigusraamistikud, mistõttu isikuandmete töötlemise kontekst ei ole kõigis valdkondades ühesugune.

2

Näiteks:

• Riikliku statistika puhul on andmetöötlus täiendavalt reguleeritud eraldi riikliku statistika seaduse alusel, kus on teaduskasutuse puhul ette nähtud ka konfidentsiaalsusnõukogu eelnev kontroll samas kui muu statistika on väljaspool EL-i isikuandmete kaitse üldmäärust (GDPR) reguleerimata.

• Kui teaduse tegemist ja üldnõudeid määratletakse üldiselt Frascati käsiraamatu1 suuniste ning väljakujunenud teaduseetika reeglite järgi, siis poliitikakujundamises neid reegleid sageli ei rakendata. Oleks väär allutada poliitikauuringud samadele eranditele nagu teadus, kui tegelikult see teadustöö nõuetele ei vasta.

• GDPR artikkel 89 käsitleb lisaks nimetatutele ka avalikes huvides arhiivinduse vajadusi, GDPR põhjenduspunktid 163-164 eristavad omakorda ametlikku ja mitteametlikku statistikat ning GDPR põhjenduspunkt 159 teeb omakorda vahet ka alus- ja rakendusuuringutel ning eksperimentaalteadusel, olgu tegu era- või avalikest vahenditest finantseerimisel teadusega. Palume selgitada, miks on avalik arhiivindus IKS § 6 reguleerimisalast väljas ja kuidas veendutakse, kas kõik teaduse eri vormid nii era- kui ka avalikus sektoris alluvad IKS § 6 üldnormile ühtmoodi?

Seega ITL-i ettepanek on sõnastada VTK-s välja pakutud IKS § 6 lg 1 asemel selgelt eristatavad sätted erinevate uuringute kontekste arvestades. Samuti kaaluda, kas reguleerida teatud töötlemistoiminguid hoopis muudes spetsiifilistes õigusaktides, mitte üldseaduses. Arvestada tuleb seejuures ka kehtivaid Euroopa Liidu otsekohalduvaid õigusakte.

2. Kohustus rakendada asjakohaseid kaitsemeetmeid

IKS § 6 on nii kehtivas seaduses kui ka VTK-s välja pakutud kujul eksitava sisuga GDPR artiklite 89(1) ja 89(2) alusel loodud erirežiimi (vt selgitavad punktid allpool) suhtes, jättes mulje, et ainult teadustöö, statistika või avalikes huvides arhiveerimise eesmärgist piisab andmesubjekti õiguste piiramiseks. Tegelikult on vastavate õiguste piiramine lubatud üksnes asjakohaste kaitsemeetmete rakendamisel - need meetmed tuleb valida vastavalt iga töötlemisjuhtumi faktilistele eripäradele ning sellega kaasnevatele mõjudele andmesubjektide õigustele ja vabadustele.

Selgituseks:

• GDPR lubab isikuandmete töötlemisel teadustöö, statistika või avalikes huvides arhiveerimise eesmärgil teha erandeid osadest isikuandmete kaitse põhimõtetest (GDPR art 5(1)(b) ja art 5(1)(e), art 9(2)(j)) ja osadest andmesubjekti õigustest

1 Kättesaadav: https://www.etag.ee/wp-content/uploads/2016/11/FrascatiManual2015_2ptk.pdf

3

(GDPR art 14(5)(b), art 17(3)(d), art 21(6)) üksnes juhul, kui sellise andmetöötluse puhul kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks (GDPR art 89(1)).

• EL ja liikmesriigid võivad oma õiguses kehtestada täiendavaid erandeid andmesubjekti õigustest (GDPR artiklid 15, 16, 18 ja 21), kuid seda samuti asjakohaste kaitsemeetmete rakendamisel (GDPR art 89(2)).

Teeme ettepaneku antud küsimust täiendavalt analüüsida ja sõnastada selgemalt, millised asjakohased kaitsemeetmed tuleb rakendada erinevate uuringute puhul.

3. Esmase ja teisese andmetöötluse eristamine

Teeme ettepaneku eristada selgelt IKS §-is 6 nõuded esmasele ja teisele andmetöötlusele, et oleks võimalik luua parem seos ka EL-i andmehaldusmääruse ja andmeruumide regulatsioonidega, mis täpsustavad eelkõige teisese andmetöötluse reegleid, sh käsitlevad turvalise andmetöötluskeskkonna nõudeid.

Näiteks:

• Edasise töötlemise korral on nõutav, et algse ja edasise töötlemise eesmärgid oleksid omavahel kooskõlas (GDPR art 5(1)(b) ja art 6(4)), kuigi teadustöö, statistika või avalikes huvides arhiveerimise eesmärgil töötlemise puhul kehtib eeldus, et see kooskõla on olemas, siis igal üksikjuhtumil tuleb seda eeldust siiski eraldi kontrollida.

• Edasise töötlemise korral on kohustus töödelda isikuandmeid kujul, mis (enam) ei võimalda andmesubjektide tuvastamist (GDPR art 89(1) viimane lause) ning see ei ole sama, mis pseudonüümitud andmete töötlus.

4. Andmete viimine mittetuvastavale kujule

Teeme ettepaneku peegeldada IKS §-is 6 selgemini GDPR art 89(1) viimase lause üldnõuet, et teaduse, statistika ja avalikes huvides arhiivinduse eesmärgil teisese kasutuse puhul tuleb esmajärjekorras viia isikuandmed mittetuvastavale kujule (ei ole tingimata sama, mis pseudonüümitud andmed). Kui see pole mõeldav, alles siis võib kaaluda pseudonüümimist ja muid kaitsemeetmeid.

Lisame, et IKS § 6 lõikes 1 tekitab segadust sõna „eelkõige“ kasutamine. See jääb eriti arusaamatuks olukorras, kus GDPR (nagu ülal öeldud) nõuab, et andmete taaskasutamisel oleks need viidud mittetuvastavale kujule.

5. Ebaselgus seoses kiiretel andmetel põhinevate otsustega

Palun selgitage VTK probleemi 2.3 "kiired andmetel põhinevad otsused" kõrvutades seda Euroopa Liidu andmemääruse artikliga 15, mis reguleerib andmete kasutust erakorralisel vajadusel. Kas viidatud artikkel ei kata samu olukordi nagu VTK-s toodud?

4

Lõpetuseks teeme ettepaneku lisada VTK alusel koostatava eelnõu seletuskirja praktilisi näiteid reaalsest elust (uuring - andmed - protsess - ...). See aitaks suurendada tulevaste andmekasutajate arusaama, millal võib neile normidele tuginedes isikuandmeid kasutada.

Samuti teeme ettepaneku kohtumiseks, et arutada ühiselt läbi erinevad isikuandmete päringute ja töötlemise kasutusjuhud ning sellega seonduvat erinevate õigusaktide nõuded. VTK käsitleb Eesti IKS-i ühte sätet, kuid andmetega seotud õigusakte on teisi ka (nt GDPR) ja nii mitmedki neist on alles osaliselt või täielikult rakendamata (nt otsekohalduvad EL andmehaldusmäärus, EL andmemäärus jm). Seega selguse huvides oleks väga vaja vaadelda VTK-ga kavandatavat muudatuse kooskõla ja seoseid teiste valdkonda reguleerivate õigusaktidega.

Lugupidamisega /allkirjastatud digitaalselt/

Doris Po ld Tegevjuht

Keilin Tammepärg, [email protected]