| Dokumendiregister | Justiitsministeerium |
| Viit | 8-3/3312-12 |
| Registreeritud | 14.05.2025 |
| Sünkroonitud | 15.05.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-3 Õigusaktide kontseptsioonid, mõjude analüüsid ja väljatöötamiskavatsused |
| Toimik | 8-3/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tartu Ülikool |
| Saabumis/saatmisviis | Tartu Ülikool |
| Vastutaja | Kristel Niidas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digiriigi valdkond, Digiriigi osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
Ülikooli 18, 50090 Tartu | 737 5100 | [email protected] | www.ut.ee | Registrikood 74001073
Pr Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie: 10.04.2025 nr 8-3/3312-1
Meie: 14.05.2025 nr 1-14/RE/10170-1
Isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse kooskõlastamine
Lugupeetud minister Pakosta
Tänan, et saatsite isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse
(edaspidi: väljatöötamiskavatsus või IKS VTK) kooskõlastamiseks teiste hulgas ka Tartu
Ülikoolile (edaspidi ka: ülikool). Isikuandmete kasutamisel on teadus- ja arendustöös keskne
koht ning ülikooli jaoks on ülioluline, et valdkond oleks reguleeritud selliselt, et see ühelt poolt
väldiks andmesubjektide õiguste ja huvide kahjustamist, teisalt aga looks ühemõtteliselt selged
ja liigset bürokraatiat vältida aitavad reeglid teadlastele teadustöö tegemiseks ning tagaks
teadustöö läbipaistvuse ja turvalisuse.
Tartu Ülikool soovib väljatöötamiskavatsust puudutavalt rõhutada eelkõige alljärgnevaid
aspekte:
- Vaja on laiendada täidesaatvale riigivõimule ja kohalikele omavalitsustele antavat õi-
gust teha isikuandmete kaitse seaduse (edaspidi ka: IKS) § 6 alusel analüüse ja uurin-
guid ka avalik-õiguslikele juriidilistele isikutele. Ülikoolid, kes tegutsevad Eesti õigus-
korras avalik-õiguslike juriidiliste isikutena, on Eesti Vabariigi põhiseaduse alusel au-
tonoomsed ning on mitmeid avalikke funktsioone, mille puhul poliitika kujundajaks on
ülikoolid ise, mitte riik haridus- ja teadusministeeriumi või oma teiste asutuste kaudu.
Näiteks võib tuua vastuvõtu ülikoolidesse vastuvõtu, mis mõjutab väga oluliselt kõiki
ülikooli astujaid, kuid mille puhul riik on vastavalt kõrgharidusseaduse § 13 jätnud üli-
koolidele peaaegu täielikult vabad käed vastuvõtutingimuste määramisel. Selleks, et
neid otsuseid teha kvaliteetselt, andmepõhiselt ning ühiskonna vajadusi arvestades, on
ülikoolidel vaja analüüsida varasemaid vastuvõtte, üliõpilaste õppes edasijõudmist ja
lõpetamist, vilistlaste tööturul hakkamasaamist jmt puudutavaid andmeid. Neid vald-
kondi väljaspool otsest õppe- ja teadustööd, kus ülikoolidel on vaja oma avalike üle-
sannete täitmiseks isikuandmeid analüüsida, on veel. Seega on oluline, et sarnaselt riigi
ning kohaliku omavalitsusega oleks poliitika kujundamiseks vajalike analüüside ja
uuringute tegemise õigus ka avalik-õiguslikel juriidilistel isikutel.
- Kui kehtiva isikuandmete kaitse seaduse § 6 lg 4 kohaselt peab eetikakomitee andma
hinnangu teadusuuringutele, mis põhinevad eriliiki isikuandmetel, siis väljatöötamiska-
vatsuse kohaselt (IKS VTK lisa 1, § 6 lg 4) on kohustus eetikakomiteega kooskõlastada
kõik teadusuuringud, kus kasutatakse ükskõik milliseid isiku tuvastamist võimaldavaid
andmeid. Selline regulatsioon viib näiteks olukorrani, kus eetikakomiteega tuleks koos-
kõlastada ka uuring, kus analüüsitakse ajakirjanduses avaldatud andmete põhjal vii-
maste aastakümnete Vabariigi Valitsuste tegevust, sest seal kasutatakse isiku tuvastamist
2 (4)
võimaldavaid andmeid valitsuste liikmete kohta. Kui soov on kindlasti laiendada eeti-
kakomiteega kooskõlastamise kohustust suuremahulistele uuringutele, kus kasutatakse
ilma isikute nõusolekuta isiku tuvastamist võimaldavaid andmeid, siis teen ettepaneku
selle regulatsiooni alt välistada vähemalt kaks andmetöötlusjuhtu: (1) kui andmete ko-
gumisel need kohe pseudonüümitakse ning uuringu elluviimisel töödeldakse andmeid
läbivalt pseudonüümitud kujul; (2) kui uuringus kasutatakse avalikest allikatest kogutud
andmeid avaliku elu tegelaste kohta.
- Tartu Ülikool on kogu uue teadus- ja arendustegevuse ning innovatsiooni korralduse
seaduse (edaspidi ka: TAIKS) väljatöötamise protsessis tugevalt toetanud ning pidanud
hädavajalikuks eetikakomiteede töökorralduse reformi Eestis ning eetikakomiteede vii-
mist Eesti Teadusagentuuri haldusalasse. Seda eelkõige põhjusel, et eetikakomiteede te-
gevusvaldkond on väga spetsiifiline ning vajab juriidilist, asjaajamislikku, andmekait-
sealast, infotehnoloogilist jmt tuge, mida praegused eetikakomiteede pidajad, sealhul-
gas Tartu Ülikool, ei suuda piisaval tasemel tagada. Kui viia senised eri seaduste alusel
ning eri institutsioonide juurde loodud eetikakomiteed nö ühe katuse alla, võimaldaks
see ressursivajadust optimeerida ning seeläbi tagada kvaliteetsemad otsused. Loodan, et
nii teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse kui ka isikuand-
mete korralduse seaduse muutmise seaduse vastuvõtmisel lähtutakse eesmärgist viia eri
eetikakomiteed kokku ühtse juhtimise alla.
Lisaks esitan mõned konkreetsemad tähelepanekud väljatöötamiskavatsuse kohta:
1. Tartu Ülikool toetab lahendust kehtestada IKS § 6 lg 2 isikustamata andmete töötlemise
täpsemad tingimused. § 6 lg 2 p 1 puudutavalt oleks mõistlik „isikuandmete üleandmi-
sena“ üldreeglina ette näha pseudonüümitud isikuandmetele juurdepääsu võimaldamine
andmevaldaja turvalises töötluskeskkonnas või andmete üleandmine teadusuuringu vas-
tutava või volitatud töötleja hallatavasse turvalisse töötluskeskkonda. Selle reegli raken-
damiseks oleks aga vajalik kehtestada turvaliste töötluskeskkondade nõuded andme-
töötlusele, küberturvalisusele, sertifitseerimisele jne.
2. Olen IKS VTK koostajatega nõus, et turvaline andmetöötluskeskkond ei saa jääda ain-
saks variandiks teadusuuringu läbiviimiseks, vaid ette tuleb näha ka alternatiivsed või-
malused koos piisavate kaitsemeetmete rakendamisega, mis tagavad turvalise töötlus-
keskkonnaga samaväärse kaitsetaseme. Vajalikud kaitsemeetmed tuleb tuvastada teadu-
suuringu andmehaldusplaanis või vajadusel andmekaitsealases mõjuhinnangus.
3. IKS VTK-s välja toodud probleemi 2.2 lahendamiseks toetab ülikool 3. lahendusva-
rianti, st laiendada uuringute tegemise õigust kohalike omavalitsuse üksustele (edaspidi
ka: KOV). Muu hulgas tagab selline lahendus õigusselguse olukordades, kus uuringu
elluviimisesse on volitatud töötlejana kaasatud ülikool. Siinkohal juhin aga tähelepanu,
et termini „teadusuuring“ kasutamine riigiasutuse või KOVi tehtud uuringu tähenduses
on eksitav. Teadusuuringuid teevad siiski ülikoolid ja teadusasutused, riigiasutused ja
KOVid teevad eelkõige poliitikakujundamiseks vajalikke uuringuid.
4. IKS VTK-s välja toodud probleemi 2.3 lahendamiseks toetab ülikool VTK lisas 3 too-
dud ettepanekut.
5. Tartu Ülikool on seisukohal, et tehnoloogiaarendusele, sh tehisaru arendamisele peaks
läbivalt (st nii tavaliste teadusuuringute kui ka poliitikakujundamiseks tehtavate uurin-
gute puhul) kohalduma IKS § 6 sätted, nagu iga teise teadusuuringu eesmärgil toimuva
andmetöötluse puhul. Isikuandmete kaitse vaatest on tähtis eesmärgi piirangu jt andme-
kaitse põhimõtete järgimise tagamine. Tehisaru ise on üks võimalikke töötlemise vahen-
3 (4)
deid, mille erisusi ja riske reguleerib täpsemalt AI määrus ja selle rakendusaktid. See-
tõttu ei toeta ülikool ettepanekut luua isikuandmete kaitse seadusesse uus säte tehnoloo-
gia arendamise eesmärgil toimuva teadusuuringu raames isikuandmete töötlemise regu-
leerimiseks. Kui aga siiski otsustatakse luua tehnoloogiaarenduse reguleerimiseks täien-
davad sätted, on oluline silmas pidada, et need ei hakkaks piirama innovatsioon ja teh-
noloogiaarendust puudutavat teadustööd.
6. Tartu Ülikool toetab eetikakomitee ja Andmekaitse Inspektsiooni hinnangu andmisel
IKS VTK koostajate välja pakutud 1. lahendusvarianti, st et kõik teadusuuringud, sh
asutuste analüüsid ja uuringud allutatakse TAIKSi alusel loodava eetikakomitee päde-
vusele, kes hindab nii uuringu eetilisust kui ka andmekaitse aspekte. See tagab eetika-
komitee lubade parema ja ühtlasema kvaliteedi, loob võrdsed võimalused kõikidele
uuringute tegijatele ja selgemad põhimõtted andmesubjektile. Oluline on ka, et TAIKSi
alusel antav eetikakomitee tegevust reguleeriv ministri määrus kehtestaks eetikakomi-
teele täpsemad ülesanded andmekaitse aspektide hindamisel. Selline lahendus võimal-
daks teadlastel ette näha, milliseid aspekte nad peavad taotluses lahti kirjutama. Samuti
oleks selgem, milliseid andmekaitse aspekte on eetikakomitee hinnanud ja kooskõlas-
tanud. Tänases praktikas on tulnud ette olukordi, kus ka eelneva eetikakomitee loa ole-
masolul algab andmete väljastamisel andmekogu vastutava töötlejaga andmekaitse as-
pektide arutelu uus ring, mis tarbetult kulutab nii teadlaste kui ametnike tööaega. Veelgi
enam, uuringu detailide muutumisel (nt uurimismeeskonna uurijate lisandumisel) me-
netlevad hetkel seda muudatust nii eetikakomitee kui seejärel ka kõik andmekogude
vastutavad töötlejad. Õiguslikus mõttes ei ole selge, kas tõesti peab andmekogu vastutav
töötleja kõiki uuringu muudatusi (nt uurija lisandumine uurimisgruppi) ka pärast and-
meväljastust menetlema. Juhul, kui see nii on, tuleks selgemalt reguleerida, milline on
eetikakomitee ja andmekogude vastutavate töötlejate vastutus andmete väljastamisel ja
ka hilisemal uuringuga seotud muutuste (sh väheoluliste muutuste) menetlemisel.
7. IKS VTK-s (lk 11) on öeldud, et kuna TAIKSi eelnõuga ei ole ette nähtud teadusuurin-
gutele eetikakomitee hindamise kohustust, siis tuleks see nõue ette näha IKSiga. Tartu
Ülikool on seisukohal, et teadusuuringute tegemise korraldus tuleks siiski ette näha
TAIKSis ning kui TAIKS asjakohaseid sätteid ei sisalda, tuleks need IKSi muudatustega
sinna viia, mitte reguleerida seda küsimus isikuandmete kaitse seaduses endas.
8. Tartu Ülikool ei toeta lahendust, kus andmed paneb väljastamiseks kokku ja neile või-
maldab juurdepääsu üks seadusega kindlaks määratud asutus. Tänaseks on Eestis loo-
dud juba mitmeid andmetele turvalist juurdepääsu võimaldavaid keskkondi, mida saab
osapoolte kokkuleppel kasutada ka eri andmevaldajate andmebaasidest pärinevate and-
mete koondamiseks ja edastamiseks, vajadusel ka luua vastavad teenusekirjeldused,
hinnakirjad jmt. Ei ole vaja luua täiendavaid piiranguid osapoolte omavahelisele suht-
lemisele. Riik peaks kehtestama nõuded andmete turvalisele töötlemisele, mitte aga re-
guleerima andmeväljastajate ja uurijate omavahelisi suhteid. Mõistlik on lahendus, kus
kõik andmekogude vastutavad töötlejad pseudonüümivad väljastatavad andmed samade
põhimõtete alusel ning iga andmekogu vastutav töötleja edastab pseudonüümitud and-
med otse teadusuuringu tegijale, kes need ise vajalikke turvameetmeid rakendades
kokku paneb. Sellisel juhul liiguvad nt pseudonüümitud terviseandmed otse andmeko-
gust teadustöö tegijale ning erinevate andmekogude vahel liigub ainult pseudonüümi-
mise algoritm. Teadustöö tegijale depseudonüümimist võimaldavaid andmeid ei väljas-
tata.
9. Kindlasti ei kooskõlasta Tartu Ülikool lahendust, kus edastatavad andmed paneb
kokku selle andmekogu vastutav töötleja, kelle andmekogust soovitakse saada
kõige tundlikumaid andmeid. See lahendus suurendaks oluliselt andmekogu vastutava
töötleja töökoormust ning pärsiks märkimisväärselt teadus- ja innovatsioonitegevust,
4 (4)
kuna andmete väljastamise aeg pikeneks veelgi. Lisaks võivad väljastatavad andmed
olla mahukad, mis tähendab, et andmevaldaja, kelle andmekogus on kõige tundlikumad
andmed, peab looma täiendava võimekuse turvaliselt hoiustada ja edastada suuremahu-
lisi ja erinevates vormingutes andmestikke. Näiteks kuna erinevates terviseandmekogu-
des on terviseandmed salvestatud erinevate dokumenditüüpidena ning erineval kujul,
siis nende andmete kokkupanemine ei ole lihtne ega triviaalne töö, vaid vajab tehnilisi
oskusi ning põhjalikke teadmisi andmetest. Ülemaailmselt kasutatakse teaduses järjest
laialdasemalt terviseandmete analüüsis OMOP ühtset andmemudelit ning sellele and-
memudelile andmete üleviimine eeldab olemasolevat, toimivat ja pidevalt täienevat
andmete puhastamise ja transformeerimise töövoogu. Täna on toimiv ja koheselt raken-
datav töövoog olemas ainult Tartu Ülikooli arvutiteaduse instituudi terviseinformaatika
töörühmal. Oluline on siinjuures rõhutada, et antud töövoogu on vaja pidevalt arendada
ja täiendada. Seega, kui andmete kokkupanemisega tegeleb asutus, kes ei oska andmeid
viia teadustööks vajalikule kujule ega oma selleks ka otsest huvi, siis igasugune muul
kujul andmete kokku panemine suurendab ainult halduskoormust ning on ebaotstarbe-
kas ressursikasutus. Eraldi küsimus on, kuidas toimuks kõige tundlikuma sisuga and-
mestiku tuvastamine ning millisel õiguslikul alusel toimuks teistest andmekogudest
selle vastutavale töötlejale andmete kokkupanekuks teiste andmekogude andmete edas-
tamine ning kokkupaneku eesmärgil töötlemine. Mistahes andmete ühendamine (tööt-
lemine) toimub eetikakomitee loa alusel konkreetse teadusuuringu raames ja seda tohib
teha konkreetne uurimisgrupp selle uuringu raames ja eesmärkide täitmiseks. Uuringud
võivad vajada väga rikkalikku ühendatud andmestikku, kuid kõigi nende andmete edas-
tamine kokkupanekuks ühe vastutava töötleja valdusesse, kes ise uuringus ei osale, kät-
keb endas turvariski.
10. Oluline on, et uuringuid, milles kasutatakse erinevaid õiguslikke aluseid andmete tööt-
lemiseks, tuleks Andmekaitse Inspektsiooni ja eetikakomitee poolt hinnata tervikuna,
mitte üksnes hinnata selles osas, kus andmetöötlus toimub ilma andmesubjekti nõuso-
lekuta IKS § 6 alusel. Tartu Ülikooli eetikakomitee praktikas vastavat põhimõtet tea-
daolevalt järgitakse ja õigusselguse ja ühtse praktika kujundamise huvides oleks mõist-
lik normi vastavalt täiendada.
Lugupidamisega
(allkirjastatud digitaalselt)
Toomas Asser
rektor, professor
Aliis Liin
737 5664, [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|