| Dokumendiregister | Justiitsministeerium |
| Viit | 8-3/3312-6 |
| Registreeritud | 13.05.2025 |
| Sünkroonitud | 14.05.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-3 Õigusaktide kontseptsioonid, mõjude analüüsid ja väljatöötamiskavatsused |
| Toimik | 8-3/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Andmekaitse Liit |
| Saabumis/saatmisviis | Eesti Andmekaitse Liit |
| Vastutaja | Kristel Niidas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digiriigi valdkond, Digiriigi osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
From: [email protected] <[email protected]>
Sent: Monday, May 12, 2025 3:26 PM
To: Justiits- ja Digiministeerium <[email protected]>
Subject: Eesti Andmekaitse Liidu vastus isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsusele
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Edastan Eesti Andmekaitse Liidu vastuse Justiits- ja Digiministeeriumi poolt 10.04.2025 edastatud isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsusele.
Lugupidamisega
Marit Saaretalu
Eesti Andmekaitse Liit
juhatuse liige
Jus%its- ja Digiministeerium Ees% Andmekaitse Liit
Teie: 10.04.2025 nr 8-3/3312-1
Meie: 12.05.2025
Lp Liisa-Ly Pakosta
Täname Jus%its- ja Digiministeeriumit Ees% Andmekaitse Liidu kaasamise eest. Esitame siinkohal meie
tagasiside isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsusele.
Esmalt peame vajalikuks märkida, et tegemist on oluliste muudatustega, millel on sõltuvalt eelnõu
tasemel tehtud valikutest oluline mõju kõikidele andmesubjek%dele. Peame oluliseks, et tehtavad
muudatused on kaalutud, selged ning kooskõlas isikuandmete kaitse üldmäärusega.1
Jus%its- ja Digiministeerium on isikuandmete kaitse seaduse muutmise seaduse
väljatöötamiskavatsuses lisaks kenas% esile tõstnud andmehalduse määrusest tulenevad nõuded
isikuandmete taaskasutamiseks. Ees% Andmekaitse Liidu selge ootus on, et lisaks isikuandmete kaitse
seaduse muutmisele võtab Jus%its- ja Digiministeerium eQe avaliku teabe seaduse muutmise ning loob
selgema andmete taaskasutamise regulatsiooni avaliku teabe seaduses – jätkuvalt on avalikus sektoris
asutused, mis ei tee vahet avalikul teabel ja avaandmetel ning et isikuandmed ei ole avaandmed.
Arvestades riigi eesmärke rakendada ja arendada erinevaid tehisintellek% tehnoloogiaid, mis on sh
kajastatud käesolevas väljatöötamiskavatsuses, on äärmiselt oluline selliste eksimuste välistamine ja et
avaliku teabe seadus ja isikuandmete kaitse seadus oleksid omavahel kooskõlas ja üheselt arusaadavad
kõikidele seaduse rakendajatele.
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direkIivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
Järgnevalt on aga esitatud Ees% Andmekaitse Liidu tagasiside isikuandmete kaitse seaduse muutmise
seaduse väljatöötamiskavatsusele:
1) Esiteks palume Jus%its- ja Digiministeeriumilt selgitust, mille tõQu peetakse tehisaru
arendamist teadusuuringuks isikuandmete kaitse üldmääruse mõistes? Eelnõus ei ole esitatud
vastavaid argumente. Tegemist on väga laialdase tõlgendusega, mida ei saa pidada praegu
põhjendatuks. Eri% arvestades seda, et teadusuuringu tegemiseks isikuandmete töötlemisel
piiratakse andmesubjek%de põhiõigusi, sh õigust teada, kuidas nende isikuandmeid
töödeldakse ning kellega neid jagatud on, tundub tõlgendus, et tehisaru arendamine on
teadusuuring ebaproportsionaalselt andmesubjek%de põhiõigusi riivav. Lisaks on
väljatöötamiskavatsuses selgitatud mh seda, et kui ‘’asutus või isik, kes soovib tehisaru
arendada ei oma selleks tehnilist kompetentsi, võib eesmärkide täitmiseks kasutada ka
volitatud töötlejat.’’ Ka sellisel juhul piirata andmesubjek% õigust esitada päring oma
isikuandmete töötlemise kohta (isikuandmete kaitse üldmäärus ar%kkel 15 kohane päring),
võib see olla andmesubjek%de õigusi ning vabadusi liialt piirav.
2) Isikuandmete kaitse üldmäärus ar%kkel 89 kohaselt võib liikmesriik sätestada kaitsemeetmed
ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus-
ja ajaloouuringute või sta%s%lisel eesmärgil. Isikuandmete kaitse üldmääruse ar%kkel 89
kohaselt võib erinevaid teadusuuringuid, sta%s%kat ning arhiveerimist läbi viia sama ar%kli
erisustega, kui need uuringud viiakse läbi ‘’avalikes huvides’’. Välja pakutud IKS § 6 (VTK, lisa 1)
avalikku huvi õigusliku alusena ei sisalda.
EQepanek: Viia IKS § 6 (Lisa 1) kooskõlla isikuandmete kaitse üldmäärusega ning täpsustada, et
isikuandmete töötlemine teadus- ja ajaloouuringu ning riikliku sta%s%ka tarvis saab olla ainult
avalikes huvides.
3) Jus%its- ja Digiministeerium pakkus välja kolm võimalikku lahendust, kuidas KOV-ide õigus
analüüside ja uuringute tarbeks andmete töötlemiseks IKS-is sätestada. Liidu poolt on
eQepanek, kasutada varian% nr 3:
„3.variant – laiendada teadusuuringu tegemise õigus (VTK lisa 1 lahendus) KOV-idele.“
Soovime aga täiendada, et KOV-d peavad antud õigust kasutades järgima samamoodi kõiki
isikuandmete töötlemise nõudeid isikuandmete kaitse üldmäärusest ning turvameetmeid, mis
on kooskõlas vähemalt E-ITS nõuetega ning see peab olema avalikes huvides.
4) Peame posi%ivseks, et eelnõus on sätestatud kohustus avaldada detailne teavitus täidesaatva
riigivõimu asutuse analüüsi ja uuringu eesmärgil (Lisa 3, IKS § 61 lg 6 ja 7). Tegemist on
asjakohase ning väärtust loova eQepanekuga, et nõuda uuringu läbiviijalt uuringu eesmärgi
ning isikuandmete töötlemise viisi avalikustamist ka oma veebilehel. Selline nõue aitab kaasa
isikuandmete töötlemise läbipaistvuse tagamisele ning seeläbi usaldusväärsusele avaliku
sektori osas. Antud kohustus peaks olema aga ka KOV-del ja sõltumata sellest, kas KOV-d
kasutavad teise andmetöötleja andmekogu, et läbi viia polii%ka kujundamise analüüse ja
uuringuid.
EQepanek: sätestada Lisa 2, IKS § 62 „Isikuandmete töötlemine kohaliku omavalitsuse või tema
hallatava asutuse analüüsi ja uuringu eesmärgil“ kohustus teavitada enne isikuandmete
töötlemise alustamist vastavast uuringust või analüüsist, uuringu ja analüüsi eesmärkidest,
töödeldavatest andmetest ja käesolevas paragrahvis sätestatud %ngimuste täitmisest
Andmekaitse Inspektsiooni ning avaldada eelnimetatud teave vastava asutuse veebilehel.
Lisaks palume arvestada, et igasugune polii%ka kujundamine/uuringu läbiviimine saab olla vaid
avalikes huvides tulenevalt isikuandmete kaitse üldmäärusest.
5) Eelnõus on esitatud järgmine lahendus: „Võimalik lahendus oleks luua õiguslik alus erinevate
andmekogude andmete kokku panemiseks ning kehtestada nõue viia andmed enne riigi
andmekogudes olevate andmete edastamist teadusuuringu läbiviijale tuvastamist
mittevõimaldavale kujule. Võimalikud lahendused andmete kokkupanemisel võivad olla
järgmised: Andmed paneb kokku selle andmekogu vastutav töötleja, kelle andmekogust
soovitakse saada kõige tundlikuma sisuga andmed. Siinkohal tuleb ka sisustada kriteeriumid,
mille alusel andmete tundlikkust tuvastada. Andmed paneb kokku üks seadusega kindlaks
määratud asutus, kes omale selle ülesande saab.“
Kommentaar: Andmekaitse Liidu poolt jääb pakutud lahendus arusaamatuks. Iga
andmetöötleja vastutab oma andmetöötluse eest nagunii, sh et on õigus andmeid välja anda
ja kui see õigus on, et siis on rakendatud kõik vajalikud kaitsemeetmed, sh minimaalsus ning
muud privaatsust kaitsvad tehnoloogiad. Kui lisada juurde veel kolmas asutus, kes peaks
hakkama andmeid kokku panema, siis saavad suureneda andmekaitse riskid, sest toimub
andmete ülemäärane edastamine ning vastutus andmete turvalisuse ja õiguspärase kasutuse
üle jaguneb veel rohkem laiali.
6) Palume selgitada (VTK lk 18) § 61 teise lõike eesmärki:
„(2) Kui täidesaatva riigivõimu asutus töötleb käesolevas paragrahvis sätestatud eesmärkidel
isikuandmeid ühe andmekogu raames, mille vastutavaks töötlejaks ta on, siis ei pea ta järgima
käesoleva paragrahvis lõike 3 punkEdes 1–4 ja lõikes 6 sätestatud nõudeid.“
Mille tõQu on plaanis teha selline eristus, et riigivõimu täidesaatva asutuse uuringute korral,
mis tehakse vaid tema enda vastutusalas oleva andmekogu ulatuses, ei ole kohustust järgida
tavapäraseid nõudeid (sh turvameetmed ja teavitamiskohustus)?
7) Juhime tähelepanu, et VTK lehekülje 19 esimeses reas on kirjaviga. § 61 lõike 7 sõnastus on
järgmine: ‘’kontrollib Andmekaitse Inspektsioon enne isikuandmete või eriliiki isikuandmete
töötlemise algust 30 jooksul taotluse saamisest arvates isikuandmete töötlemise Engimuste ja
eesmärkide vastavust’’. Ilmselt on mõeldud, et AKI peab kontrollima vastavust 30 päeva
jooksul.
8) Polii%lised uuringud ja andmesubjek%de õiguste piiramine. VTK sõnastusest võib tõlgendada,
et ka polii%ka kujundamise eesmärgil läbiviidavete uuringute puhul võib piirata
andmesubjek%de õigusi. Isikuandmete kaitse üldmääruse põhjenduspunk% 73 järgi võib
andmesubjek%de õigusi piirata liikmesriigi õigusega, kui see on proportsionaalne. Üldmääruse
ar%kkel 89, mis reguleerib teadusuuringute tarbeks isikuandmete töötlemist ei hõlma endas
selliseid uuringuid, mille eesmärgiks on polii%ka kujundamine. Tuleb kaaluda, kas on
proportsionaalne kehtestada liikmesriigi õigusega andmesubjek%de õiguste piirang juhuks kui
töödeldakse isikuandmeid polii%ka kujundamise eesmärgil läbiviidavatel uuringutel.
9) Eelnõu LISA 3 IKS § 61 lg 5 on sätestatud: „Käesoleva paragrahvi lõike 3 punkEs 1 sätestatud
süsteemi ülesehituse täpsemad nõuded, andmete töötlemise sh andmete edastamise ja
säilitamise täpsemad Engimused ning korra kehtestab valdkonna eest vastutav minister
määrusega.“
Palume täiendavat infot, kui kaugel on antud määruse eQevalmistamine ja millal saab sellega
tutvuda?
10) Eelnõu LISA 1, IKS § 6 lg 4: „(4) Kui teadus- või ajaloouuringus kasutatakse isiku tuvastamist
võimaldavaid, sealhulgas eriliiki isikuandmeid, siis kontrollib asjaomase valdkonna
eeEkakomitee enne teadusuuringu läbiviimist käesolevas paragrahvis sätestatud Engimuste
täitmist. Kui teadusvaldkonnas puudub eeEkakomitee, siis kontrollib nõuete täitmist
Andmekaitse Inspektsioon. Rahvusarhiivis säilitatavate isikuandmete suhtes on eeEkakomitee
õigused Rahvusarhiivil.“
Eelnõu LISA 4 „IKS § 6 muudatuseQepanekud TAIKS menetluse raames
(4) Kui teadus- või ajaloouuringus kasutataks eriliiki isikuandmeid, kontrollib seadusega või
selle alusel moodustatud asjaomase valdkonna eeEkakomitee enne uuringu tegemist
käesolevas paragrahvis sätestatud Engimuste täitmist. Kui teadusvaldkonnas puudub
eeEkakomitee, kontrollib nõuete täitmist Andmekaitse Inspektsioon. Rahvusarhiivis
säilitatavate isikuandmete suhtes on eeEkakomitee õigused Rahvusarhiivil. „Isikuandmete
töötlemine teadus- ja ajaloouuringu ning riikliku staEsEka eesmärgil.“
Palume selgitada, miks antud lõigete 4 sõnastuse eQepanekute kohaselt ei ole tarvis uuringus
isikuandmete, sh eriliiki isikuandmete kasutamisel AKI nõusolekut/kooskõlastust, kui uuringu
valdkonnas on olemas ee%kakomitee? Kuidas tagatakse uuringu vastavus isikuandmete kaitse
nõuetele, kui sellele annab hinnangu vaid ee%kakomitee? Eeldusel, et ee%kakomitees on
vähemalt 1 pädev isik, kes suudab anda hinnangu uuringu isikuandmete kaitse nõuetele
vastavusele, võiks kaaluda varian%, et ee%kakomitee annab uuringu isikuandmete kaitse
nõuetele vastavusele hinnangu, kuid uuringust ja ee%kakomitee hinnangust peab igal juhul
Andmekaitse Inspektsiooni teavitama.
11) Lisa 2, IKS § 6 2 „Isikuandmete töötlemine kohaliku omavalitsuse või tema hallatava asutuse
analüüsi ja uuringu eesmärgil“ lg 1 sõnastus tekitab olulisi küsitavusi. Kas on eQe nähtud, et
kui KOV teeb polii%ka kujundamise eesmärgil uuringuid ainult enda andmebaaside põhiselt,
siis ei ole enne uuringu tegemist vajalik küsida arvamust Andmekaitse Inspektsioonilt? Kui jah,
siis mille tõQu selline eristus tehtud on? Arvatavas% on KOV-idel üsna suured andmekogud, mis
on tõenäoliselt saadud ka teiste andmekogude varasemate päringute põhjal. Selle tõQu teeme
eQepaneku, et Andmekaitse Inspektsioon peab igal juhul andma hinnangu, kas plaanitav
uuring on isikuandmete kaitse nõuetega kooskõlas, olenemata sellest, kas KOV kasutab uuringu
läbiviimiseks enda andmebaasist pärit isikuandmeid või pärib neid mitmest erinevast ja muu
vastutava töötleja andmekogust. Samu% jääb eQepaneku sõnastusest selgusetuks, kas ka KOV
võib piirata andmesubjek%de õiguste realiseerimist nagu on eQe nähtud muude asutuste
polii%ka kujundamise eesmärgil tehtud uuringute puhul? Kui KOV-ile on plaanitud samu% anda
õigus piirata andmesubjek%de õiguste realiseerimist, tuleks sellise piirangu proportsionaalsust
kaaluda, kuivõrd isikuandmete kaitse üldmääruse ar%kkel 89 ei näe eQe polii%ka
kujundamiseks uuringute läbiviimist, mis võimaldaks andmesubjek%de õigusi piirata.
Oleme seisukohal, et KOV analüüsi ja uuringut läbi viies peab samu% Andmekaitse
Inspektsiooni teavitama ja sh hindama avaliku huvi olemasolu, andmete töötlemise eesmärki,
andmekoosseisu minimaalsust ja andmete säilitamise vajadust. Eraldi analüüsi nõuab, kas
andmesubjek% õiguste piiramine sellisel juhul on üldse proportsionaalne.
Oleme valmis kõiki eeltoodud punkte Ees% Andmekaitse liidu poolt täiendavalt selgitama.
Lugupidamisega
Marit Saaretalu Triin Kihuoja
Ees% Andmekaitse Liit Ees% Andmekaitse Liit
Juhatuse liige Juhatuse liige
Jus%its- ja Digiministeerium Ees% Andmekaitse Liit
Teie: 10.04.2025 nr 8-3/3312-1
Meie: 12.05.2025
Lp Liisa-Ly Pakosta
Täname Jus%its- ja Digiministeeriumit Ees% Andmekaitse Liidu kaasamise eest. Esitame siinkohal meie
tagasiside isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsusele.
Esmalt peame vajalikuks märkida, et tegemist on oluliste muudatustega, millel on sõltuvalt eelnõu
tasemel tehtud valikutest oluline mõju kõikidele andmesubjek%dele. Peame oluliseks, et tehtavad
muudatused on kaalutud, selged ning kooskõlas isikuandmete kaitse üldmäärusega.1
Jus%its- ja Digiministeerium on isikuandmete kaitse seaduse muutmise seaduse
väljatöötamiskavatsuses lisaks kenas% esile tõstnud andmehalduse määrusest tulenevad nõuded
isikuandmete taaskasutamiseks. Ees% Andmekaitse Liidu selge ootus on, et lisaks isikuandmete kaitse
seaduse muutmisele võtab Jus%its- ja Digiministeerium eQe avaliku teabe seaduse muutmise ning loob
selgema andmete taaskasutamise regulatsiooni avaliku teabe seaduses – jätkuvalt on avalikus sektoris
asutused, mis ei tee vahet avalikul teabel ja avaandmetel ning et isikuandmed ei ole avaandmed.
Arvestades riigi eesmärke rakendada ja arendada erinevaid tehisintellek% tehnoloogiaid, mis on sh
kajastatud käesolevas väljatöötamiskavatsuses, on äärmiselt oluline selliste eksimuste välistamine ja et
avaliku teabe seadus ja isikuandmete kaitse seadus oleksid omavahel kooskõlas ja üheselt arusaadavad
kõikidele seaduse rakendajatele.
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direkIivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
Järgnevalt on aga esitatud Ees% Andmekaitse Liidu tagasiside isikuandmete kaitse seaduse muutmise
seaduse väljatöötamiskavatsusele:
1) Esiteks palume Jus%its- ja Digiministeeriumilt selgitust, mille tõQu peetakse tehisaru
arendamist teadusuuringuks isikuandmete kaitse üldmääruse mõistes? Eelnõus ei ole esitatud
vastavaid argumente. Tegemist on väga laialdase tõlgendusega, mida ei saa pidada praegu
põhjendatuks. Eri% arvestades seda, et teadusuuringu tegemiseks isikuandmete töötlemisel
piiratakse andmesubjek%de põhiõigusi, sh õigust teada, kuidas nende isikuandmeid
töödeldakse ning kellega neid jagatud on, tundub tõlgendus, et tehisaru arendamine on
teadusuuring ebaproportsionaalselt andmesubjek%de põhiõigusi riivav. Lisaks on
väljatöötamiskavatsuses selgitatud mh seda, et kui ‘’asutus või isik, kes soovib tehisaru
arendada ei oma selleks tehnilist kompetentsi, võib eesmärkide täitmiseks kasutada ka
volitatud töötlejat.’’ Ka sellisel juhul piirata andmesubjek% õigust esitada päring oma
isikuandmete töötlemise kohta (isikuandmete kaitse üldmäärus ar%kkel 15 kohane päring),
võib see olla andmesubjek%de õigusi ning vabadusi liialt piirav.
2) Isikuandmete kaitse üldmäärus ar%kkel 89 kohaselt võib liikmesriik sätestada kaitsemeetmed
ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus-
ja ajaloouuringute või sta%s%lisel eesmärgil. Isikuandmete kaitse üldmääruse ar%kkel 89
kohaselt võib erinevaid teadusuuringuid, sta%s%kat ning arhiveerimist läbi viia sama ar%kli
erisustega, kui need uuringud viiakse läbi ‘’avalikes huvides’’. Välja pakutud IKS § 6 (VTK, lisa 1)
avalikku huvi õigusliku alusena ei sisalda.
EQepanek: Viia IKS § 6 (Lisa 1) kooskõlla isikuandmete kaitse üldmäärusega ning täpsustada, et
isikuandmete töötlemine teadus- ja ajaloouuringu ning riikliku sta%s%ka tarvis saab olla ainult
avalikes huvides.
3) Jus%its- ja Digiministeerium pakkus välja kolm võimalikku lahendust, kuidas KOV-ide õigus
analüüside ja uuringute tarbeks andmete töötlemiseks IKS-is sätestada. Liidu poolt on
eQepanek, kasutada varian% nr 3:
„3.variant – laiendada teadusuuringu tegemise õigus (VTK lisa 1 lahendus) KOV-idele.“
Soovime aga täiendada, et KOV-d peavad antud õigust kasutades järgima samamoodi kõiki
isikuandmete töötlemise nõudeid isikuandmete kaitse üldmäärusest ning turvameetmeid, mis
on kooskõlas vähemalt E-ITS nõuetega ning see peab olema avalikes huvides.
4) Peame posi%ivseks, et eelnõus on sätestatud kohustus avaldada detailne teavitus täidesaatva
riigivõimu asutuse analüüsi ja uuringu eesmärgil (Lisa 3, IKS § 61 lg 6 ja 7). Tegemist on
asjakohase ning väärtust loova eQepanekuga, et nõuda uuringu läbiviijalt uuringu eesmärgi
ning isikuandmete töötlemise viisi avalikustamist ka oma veebilehel. Selline nõue aitab kaasa
isikuandmete töötlemise läbipaistvuse tagamisele ning seeläbi usaldusväärsusele avaliku
sektori osas. Antud kohustus peaks olema aga ka KOV-del ja sõltumata sellest, kas KOV-d
kasutavad teise andmetöötleja andmekogu, et läbi viia polii%ka kujundamise analüüse ja
uuringuid.
EQepanek: sätestada Lisa 2, IKS § 62 „Isikuandmete töötlemine kohaliku omavalitsuse või tema
hallatava asutuse analüüsi ja uuringu eesmärgil“ kohustus teavitada enne isikuandmete
töötlemise alustamist vastavast uuringust või analüüsist, uuringu ja analüüsi eesmärkidest,
töödeldavatest andmetest ja käesolevas paragrahvis sätestatud %ngimuste täitmisest
Andmekaitse Inspektsiooni ning avaldada eelnimetatud teave vastava asutuse veebilehel.
Lisaks palume arvestada, et igasugune polii%ka kujundamine/uuringu läbiviimine saab olla vaid
avalikes huvides tulenevalt isikuandmete kaitse üldmäärusest.
5) Eelnõus on esitatud järgmine lahendus: „Võimalik lahendus oleks luua õiguslik alus erinevate
andmekogude andmete kokku panemiseks ning kehtestada nõue viia andmed enne riigi
andmekogudes olevate andmete edastamist teadusuuringu läbiviijale tuvastamist
mittevõimaldavale kujule. Võimalikud lahendused andmete kokkupanemisel võivad olla
järgmised: Andmed paneb kokku selle andmekogu vastutav töötleja, kelle andmekogust
soovitakse saada kõige tundlikuma sisuga andmed. Siinkohal tuleb ka sisustada kriteeriumid,
mille alusel andmete tundlikkust tuvastada. Andmed paneb kokku üks seadusega kindlaks
määratud asutus, kes omale selle ülesande saab.“
Kommentaar: Andmekaitse Liidu poolt jääb pakutud lahendus arusaamatuks. Iga
andmetöötleja vastutab oma andmetöötluse eest nagunii, sh et on õigus andmeid välja anda
ja kui see õigus on, et siis on rakendatud kõik vajalikud kaitsemeetmed, sh minimaalsus ning
muud privaatsust kaitsvad tehnoloogiad. Kui lisada juurde veel kolmas asutus, kes peaks
hakkama andmeid kokku panema, siis saavad suureneda andmekaitse riskid, sest toimub
andmete ülemäärane edastamine ning vastutus andmete turvalisuse ja õiguspärase kasutuse
üle jaguneb veel rohkem laiali.
6) Palume selgitada (VTK lk 18) § 61 teise lõike eesmärki:
„(2) Kui täidesaatva riigivõimu asutus töötleb käesolevas paragrahvis sätestatud eesmärkidel
isikuandmeid ühe andmekogu raames, mille vastutavaks töötlejaks ta on, siis ei pea ta järgima
käesoleva paragrahvis lõike 3 punkEdes 1–4 ja lõikes 6 sätestatud nõudeid.“
Mille tõQu on plaanis teha selline eristus, et riigivõimu täidesaatva asutuse uuringute korral,
mis tehakse vaid tema enda vastutusalas oleva andmekogu ulatuses, ei ole kohustust järgida
tavapäraseid nõudeid (sh turvameetmed ja teavitamiskohustus)?
7) Juhime tähelepanu, et VTK lehekülje 19 esimeses reas on kirjaviga. § 61 lõike 7 sõnastus on
järgmine: ‘’kontrollib Andmekaitse Inspektsioon enne isikuandmete või eriliiki isikuandmete
töötlemise algust 30 jooksul taotluse saamisest arvates isikuandmete töötlemise Engimuste ja
eesmärkide vastavust’’. Ilmselt on mõeldud, et AKI peab kontrollima vastavust 30 päeva
jooksul.
8) Polii%lised uuringud ja andmesubjek%de õiguste piiramine. VTK sõnastusest võib tõlgendada,
et ka polii%ka kujundamise eesmärgil läbiviidavete uuringute puhul võib piirata
andmesubjek%de õigusi. Isikuandmete kaitse üldmääruse põhjenduspunk% 73 järgi võib
andmesubjek%de õigusi piirata liikmesriigi õigusega, kui see on proportsionaalne. Üldmääruse
ar%kkel 89, mis reguleerib teadusuuringute tarbeks isikuandmete töötlemist ei hõlma endas
selliseid uuringuid, mille eesmärgiks on polii%ka kujundamine. Tuleb kaaluda, kas on
proportsionaalne kehtestada liikmesriigi õigusega andmesubjek%de õiguste piirang juhuks kui
töödeldakse isikuandmeid polii%ka kujundamise eesmärgil läbiviidavatel uuringutel.
9) Eelnõu LISA 3 IKS § 61 lg 5 on sätestatud: „Käesoleva paragrahvi lõike 3 punkEs 1 sätestatud
süsteemi ülesehituse täpsemad nõuded, andmete töötlemise sh andmete edastamise ja
säilitamise täpsemad Engimused ning korra kehtestab valdkonna eest vastutav minister
määrusega.“
Palume täiendavat infot, kui kaugel on antud määruse eQevalmistamine ja millal saab sellega
tutvuda?
10) Eelnõu LISA 1, IKS § 6 lg 4: „(4) Kui teadus- või ajaloouuringus kasutatakse isiku tuvastamist
võimaldavaid, sealhulgas eriliiki isikuandmeid, siis kontrollib asjaomase valdkonna
eeEkakomitee enne teadusuuringu läbiviimist käesolevas paragrahvis sätestatud Engimuste
täitmist. Kui teadusvaldkonnas puudub eeEkakomitee, siis kontrollib nõuete täitmist
Andmekaitse Inspektsioon. Rahvusarhiivis säilitatavate isikuandmete suhtes on eeEkakomitee
õigused Rahvusarhiivil.“
Eelnõu LISA 4 „IKS § 6 muudatuseQepanekud TAIKS menetluse raames
(4) Kui teadus- või ajaloouuringus kasutataks eriliiki isikuandmeid, kontrollib seadusega või
selle alusel moodustatud asjaomase valdkonna eeEkakomitee enne uuringu tegemist
käesolevas paragrahvis sätestatud Engimuste täitmist. Kui teadusvaldkonnas puudub
eeEkakomitee, kontrollib nõuete täitmist Andmekaitse Inspektsioon. Rahvusarhiivis
säilitatavate isikuandmete suhtes on eeEkakomitee õigused Rahvusarhiivil. „Isikuandmete
töötlemine teadus- ja ajaloouuringu ning riikliku staEsEka eesmärgil.“
Palume selgitada, miks antud lõigete 4 sõnastuse eQepanekute kohaselt ei ole tarvis uuringus
isikuandmete, sh eriliiki isikuandmete kasutamisel AKI nõusolekut/kooskõlastust, kui uuringu
valdkonnas on olemas ee%kakomitee? Kuidas tagatakse uuringu vastavus isikuandmete kaitse
nõuetele, kui sellele annab hinnangu vaid ee%kakomitee? Eeldusel, et ee%kakomitees on
vähemalt 1 pädev isik, kes suudab anda hinnangu uuringu isikuandmete kaitse nõuetele
vastavusele, võiks kaaluda varian%, et ee%kakomitee annab uuringu isikuandmete kaitse
nõuetele vastavusele hinnangu, kuid uuringust ja ee%kakomitee hinnangust peab igal juhul
Andmekaitse Inspektsiooni teavitama.
11) Lisa 2, IKS § 6 2 „Isikuandmete töötlemine kohaliku omavalitsuse või tema hallatava asutuse
analüüsi ja uuringu eesmärgil“ lg 1 sõnastus tekitab olulisi küsitavusi. Kas on eQe nähtud, et
kui KOV teeb polii%ka kujundamise eesmärgil uuringuid ainult enda andmebaaside põhiselt,
siis ei ole enne uuringu tegemist vajalik küsida arvamust Andmekaitse Inspektsioonilt? Kui jah,
siis mille tõQu selline eristus tehtud on? Arvatavas% on KOV-idel üsna suured andmekogud, mis
on tõenäoliselt saadud ka teiste andmekogude varasemate päringute põhjal. Selle tõQu teeme
eQepaneku, et Andmekaitse Inspektsioon peab igal juhul andma hinnangu, kas plaanitav
uuring on isikuandmete kaitse nõuetega kooskõlas, olenemata sellest, kas KOV kasutab uuringu
läbiviimiseks enda andmebaasist pärit isikuandmeid või pärib neid mitmest erinevast ja muu
vastutava töötleja andmekogust. Samu% jääb eQepaneku sõnastusest selgusetuks, kas ka KOV
võib piirata andmesubjek%de õiguste realiseerimist nagu on eQe nähtud muude asutuste
polii%ka kujundamise eesmärgil tehtud uuringute puhul? Kui KOV-ile on plaanitud samu% anda
õigus piirata andmesubjek%de õiguste realiseerimist, tuleks sellise piirangu proportsionaalsust
kaaluda, kuivõrd isikuandmete kaitse üldmääruse ar%kkel 89 ei näe eQe polii%ka
kujundamiseks uuringute läbiviimist, mis võimaldaks andmesubjek%de õigusi piirata.
Oleme seisukohal, et KOV analüüsi ja uuringut läbi viies peab samu% Andmekaitse
Inspektsiooni teavitama ja sh hindama avaliku huvi olemasolu, andmete töötlemise eesmärki,
andmekoosseisu minimaalsust ja andmete säilitamise vajadust. Eraldi analüüsi nõuab, kas
andmesubjek% õiguste piiramine sellisel juhul on üldse proportsionaalne.
Oleme valmis kõiki eeltoodud punkte Ees% Andmekaitse liidu poolt täiendavalt selgitama.
Lugupidamisega
Marit Saaretalu Triin Kihuoja
Ees% Andmekaitse Liit Ees% Andmekaitse Liit
Juhatuse liige Juhatuse liige
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|