| Dokumendiregister | Justiitsministeerium |
| Viit | 8-3/3312-11 |
| Registreeritud | 14.05.2025 |
| Sünkroonitud | 15.05.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-3 Õigusaktide kontseptsioonid, mõjude analüüsid ja väljatöötamiskavatsused |
| Toimik | 8-3/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Statistikaamet |
| Saabumis/saatmisviis | Statistikaamet |
| Vastutaja | Kristel Niidas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digiriigi valdkond, Digiriigi osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
Statistikaamet Tatari 51, 10134 Tallinn rg-kood 70000332; tel 625 9300 [email protected], www.stat.ee
Teie: 10.04.2025 nr 8-3/3312-1 Justiits- ja digiministeerium [email protected] Meie: 13.05.2025 nr 1-10/0128-1 Arvamus isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsusele
Justiits- ja digiministeerium on algatanud eelnõude infosüsteemis isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsuse (edaspidi VTK), mis käsitleb isikuandmete nõusolekuta töötlemist analüüsi või uuringu tarbeks. Esitame statistikaameti seisukohad järgnevate teemade osas.
1. Analüüside ja uuringute läbiviijad ning õiguslikud alused andmete töötlemiseks Nõustume, et kehtiv seadus kitsendab ülemäära asutuste ringi, kellel on lubatud analüüse ja uuringuid teha, mis raskendab omakorda statistikaametil erinevatele päringutele vastamist, kuna isikuandmete kaitse seadus näeb ette isikuandmete töötlemisel selle eesmärgi sidumise konkreetse õigusliku alusega. IKS § 6 lg-s 5 on sätestatud, et teadusuuringuks loetakse ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. Nagu VTK-s kirjeldatakse, siis IKS § 6 lg 5 ei ütle otsesõnu, et poliitika kujundamise uuringuid võivad teha täidesaatva riigivõimu asutused, vaid säte on sisustatud läbi täidesaatva riigivõimu ning sätet sisustatakse väidetavalt läbi Vabariigi Valitsuse seaduse (edaspidi VVS). Samas on statistikaamet enda praktikas näinud, et sarnaseid uuringuid soovivad ise läbi viia, kuivõrd neil on olemas vastavad teadmised ja ressursid, ka väljapoole Vabariigi Valitsuse seaduse kohaldamisala jäävad asutused nagu põhiseaduslikud institutsioonid (nt riigikogu kantselei) kui ka kohaliku omavalitsuse asutused. Tähelepanek, et lisaks ei ole otstarbekas asutuste uuringute tegemise õigust siduda üksnes poliitika kujundamisega, kuivõrd asutustel on vajalik analüüse ja uuringuid teha ka muul otstarbel, nt teenuste arendamiseks jne, vastab ka statistikaametile saadetud päringute sisule. Seetõttu on meie esmane eelistus laiendada asutuste analüüside ja uuringu tegemise õigust lisaks täidesaatva riigivõimu asutustele ka KOV-idele, kuid sarnaselt neile ka teistele põhiseaduslikele institutsioonidele. Lisaks tuleks kaaluda, kas ja kuidas saavad ligipääsu andmetele ka need uuringutega tegelevad asutused, kes teevad uuringuid näiteks riigihangetes osalemise tulemusena, kus täidesaatva riigivõimu asutused on tellijaks. Läbiviijaks on sel juhul sageli äriühinguna tegutsev asutus, kelle hulgas on ka teadus- ja arendustegevuse korraldamise seaduse alusel vastava hindamise läbinud ning teadus- ja arendusasutuste nimekirja kantud juriidilised isikud. Nende poolt uuringu läbiviimise eesmärk on sama, kui seda teostaksid uuringu tellinud asutused ise. VTK-s välja pakutud sõnastuse kohaselt nende jaoks midagi ei muutuks, kuigi sageli on nemad esmaseks pöördujaks statistikaameti poole.
2. Kaitsemeetmed nõusolekuta isikuandmete töötlemisel ja erinevate andmekogude andmete
ühildamine
VTK-s on välja toodud probleemina, et isikuandmete kaitse seaduse (edaspidi IKS) § 6 lg 1 kohaselt on üldine reegel, et nõusolekuta isikuandmete töötlemine teadus- ja ajaloouuringu ning riikliku statistika vajadusteks on lubatud eelkõige pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul andmetega, kuid andmete psedonüümimise tingimusi kõnealuses sättes kindlaks määratud ei ole, mistõttu võiks IKS § 6 kontekstis näiteks lihtsalt inimese nime asendada numbriga ja väita, et tegemist on pseudonüümitud andmetega. Siinkohal viidatakse, et esineb mitmeid erinevaid pseudonüümimise tasandeid ning isikut saab tuvastada ka muude andmete põhjal kui üksnes nimi ja isikukood. Samas viidatakse ka sellele, et isikuandmete kaitse üldmääruse (edaspidi IKÜM-i) nõuete täitmiseks ja andmesubjektide õiguste
kaitsmiseks on vajalik erinevate kaitsemeetmete lõimimine isikuandmete töötlemisse. Ettepanekuna soovitakse IKS §-s 6 sätestada tingimused andmete pseudonüümimisele või samaväärset andmekaitse taset võimaldavale kujule viimisel ning andmetöötlusele, mis viiakse läbi isiku tuvastamist võimaldavate andmetega. Kehtivas IKS § 6 lõikes 2 räägitakse depseudonüümimisest või muust viisist, mille rakendamine on lubatud ainult täiendavate teadus- või ajaloouuringute või riikliku statistika vajadusteks, kusjuures isikuandmete töötleja määrab nimeliselt isiku, kellel on juurdepääs depseudonüümimist võimaldavatele andmetele, siis uue lõike 2 kohaselt määratakse tingimused, millal võib pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul isikuandmeid ja eriliiki isikuandmeid töödelda. Statistikaameti jaoks jääb ebaselgeks, kuidas selline muudatus võib mõjutada statistikaameti seniseid tööprotsesse, kuivõrd VTK lisas 1 pakutud sõnastuse kohaselt toimuks pseudonüümimine andmekogu juures, mis võib kasutada ka muid asjakohaseid kaitsemeetmeid. Riikliku statistika seaduse (edaspidi RStS) § 32 lõike 2 kohaselt hoiab riikliku statistika tegija füüsilise isiku üksikandmeid nende kontrollimise ajal koos isikukoodiga ning pärast kontrollimist säilitatakse isikukood teistest isiku andmetest eraldi, tagades nende hilisema ühendamise võimaluse. Tuginevalt statistikaameti praktikale on sageli vaja ühendada erinevatest andmekogudest pärinevaid andmeid enne nende töötlemist ning juhul, kui toimub pseudonüümimine iga andmekogu juures eraldi, on vaja tagada, et see toimub viisil, mis tagab ühelt poolt seostamise võimaluse (näiteks kes vastutab pseudonümiseerimisvõtme sälitamise eest) ja teisalt sisendiks kasutatavate andmete kvaliteedi. VTK-s on viidatud ka Riigikantselei tellitud NJORD Advokaadibüroo analüüsile, millega ka statistikaamet on tutvunud. Mainitud analüüsis on pakutud sarnast sõnastust kahe erineva punktina. Esimese kohaselt toimuks isikuandmete või eriliiki isikuandmete töötlemine turvalises süsteemis, milles on rakendatud kõrgema taseme turvameetmeid ning siin all peeti silmas konkreetset n-ö seadustatud andmeruumi, mis oleks asutatud seaduse alusel ja mida peaks statistikaamet. Teise punkti kohaselt isikuandmed või eriliiki isikuandmed pseudonüümitakse vastava päringu saanud andmekogus enne isikuandmete või eriliiki isikuandmete edastamist eelpool nimetatud süsteemi, mis tähendab, et andmekogud kasutaksid ühesuguse standardi alusel teostatavat pseudonüümimise meetodit. Samas VTK-s pakutud sõnastuses räägitakse üksnes andmekogude juures toimuvast pseudonüümisest enne isikuandmete üleandmist teadus- või ajaloouuringu või riikliku statistika vajadustel töötlemiseks. Eelnev seostub ka teadusuuringu läbiviimiseks mitme erineva andmekogu andmete ühildamise vajadusega. VTK-s soovitakse leida lahendus küsimusele, kes riigi vaatest võiks lubada erinevate andmekogude andmeid kokku panna (seostada) ja võimalusel muuta enne teadusuuringu tegijale edastamist kujule, mis ei võimalda andmesubjekti tuvastada. Kui VTK ettepanekus on kaks alternatiivset võimalust ehk andmed paneb kokku teatud andmekogu vastutav töötleja või üks seadusega kindlaks määratud asutus, kes omale selle ülesande saab, siis ei ole välja toodud, millist seost nähakse siin Euroopa Liidu andmehalduse määruse eesmärgiga. Eeldatavalt selle rakendamine võimaldaks anda avaliku sektori käes olevat tundlikku teavet (nt isikuandmeid) taaskasutamiseks vastavate kaitsemeetmete – nagu pseudonüümine ning turvalise keskkonna pakkumine, abil. Sellise lahenduse vastu on üha rohkem huvi erasektori asutuste poolel, kes mitte ainult teadusuuringute läbiviimise eesmärgil, vaid erinevate arendusteenuste jaoks sooviksid kasutada juba riigi poolt kogutud andmeid. Paraku tänases õigusruumis ei ole veel sobivat lahendust, mis arvestaks erinevate osapoolte huvidega.
3. Täidesaatva riigivõimu asutuste andmetel põhinevad otsused. VTK-s on probleemina välja toodud, et täidesaatva riigivõimu asutusel ei ole võimalik töödelda isikuandmeid kiirete otsuste langetamiseks andmepõhiselt. Võimaliku lahendusena pakutakse asutustele analüüside ja uuringute läbiviimiseks selgete ja täpsete normide loomist, milliste tingimuste täitmisel on võimalik andmeid töödelda senisest kiiremini, tagades samas andmesubjektide õigused, sh vähendades riivet andmesubjekti põhiõigustele. Üheks põhimõtteks on, et isikuandmete töötlemisel kasutatakse turvalisi, privaatsustehnoloogiatele tuginevaid tehnilisi lahendusi, mitte lihtsustatud pseudonüümist. Siinkohal viitame, et mistahes lahenduste välja pakkumisel tuleb seda käsitleda tervikuna kooskõlas VTK-s tõstatatud eetikakomiteede ja AKI hinnangu parema koordineerimise korraldusega. Statistikaamet ei saa anda enda pädevusest tulenevalt hinnangut ei eetilisest ega andmekaitselisest seisukohast riikliku statistika seaduse § 38 alusel konfidentsiaalsete andmete levitamiseks teaduslikel eesmärkidel. Vastavalt peadirektori käskkirjaga kinnitatud Konfidentsiaalsete andmete teaduslikel eesmärkidel edastamise korra punktile 3.5 kaalub statistikaameti konfidentsiaalsusnõukogu iga taotletud andmekooslust kahest aspektist: statistilise üksuse tuvastamise risk ja statistilise üksuse tuvastamise mõju. Samas on statistikaameti turvalise andmeanalüüsikeskkonna ERIKA II etapi analüüsihanke1 raames analüüsitud lahendust, kus ERIKA
1 Riigihangete register 5.9.1 ERIKA II etapi analüüs.
keskkonnas võiks toimuda ka andmeväljastustaotluste menetlused, st ERIKA keskkond oleks ka menetluskeskkonnaks. Pakutud on ka lahendust, et selline menetluskeskkond võetakse kasutusele riigiülese teadusuuringute andmeväljastus- ja ka eetikahindamise taotluste menetluskeskkonnana ning oleks sellisena seotud ka andmete teabevärava andmekataloogiga. Seega selline lahendus vajab kaalumist (sealh vajalikud ressursid) ning vajadusel IKSis sätestamist nii, et teadusuuringute (nii teadus- kui arendustegevus kui ka poliitikakujundamine ja eraõiguslik innovatsioon) andmeväljastustaotlusi menetletakse riigi infosüsteemi kuuluvate andmete osas ning vastavaid eetikamenetlusi viiakse läbi statistikaameti taotluste menetluskeskkonnas, kui eriseaduses ei ole sätestatud teisiti. Täiendavalt toome välja, et mistahes muudatuste puhul, mis puudutavad isikuandmete töötlemist teadus- ja ajaloouuringu ning eelkõige riikliku statistika vajadusteks, tuleb arvestada, et statistikaamet peab juhinduma Euroopa Liidu statistika üldmäärusest nr 223/2009, kus on sõnastatud statistikaalased põhimõtted ja kvaliteedikriteeriumid. Nimetatud määruse alusel on näiteks ette nähtud andmete edastamine Euroopa Liidu Statistikaametile (Eurostatile) ka nende andmete osas, mis võimaldavad isiku otsest või kaudset tuvastamist, kuid mille juures tuleb järgida rangelt konfidentsiaalsuse säilitamise nõudeid. See tähendab, et jätkuvalt peab olema võimalik leida lahendused andmete kogumisel ja nende levitamisel/juurdepääsu võimaldamisel viisil, mis ei tekitaks ühelegi osapoolele põhjendamatut koormust ja vähendaks võimalust andmepõhiste otsuste tegemiseks laiemalt, piiramata sealjuures üksikisikute õigusi. Lugupidamisega (allkirjastatud digitaalselt) Urmet Lee peadirektor
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|