| Dokumendiregister | Siseministeerium |
| Viit | 1-7/97-5 |
| Registreeritud | 20.05.2025 |
| Sünkroonitud | 21.05.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 1 Ministeeriumi töö korraldamine. Juhtimine. Planeerimine. Aruandlus |
| Sari | 1-7 Siseministeeriumile kooskõlastamiseks saadetud siseriiklikute õigusaktide eelnõud |
| Toimik | 1-7/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Kertu Nurmsalu (kantsleri juhtimisala, varade asekantsleri valdkond, õigusosakond) |
| Originaal | Ava uues aknas |
Pikk 61 / 15065 Tallinn / 612 5008 / [email protected] / www.siseministeerium.ee
Registrikood 70000562
Justiits- ja Digiministeerium
Teie: 10.04.2025 nr JDM/25-0371/-1K
Meie: 20.05.2025 nr 1-7/97-5
Isikuandmete kaitse seaduse muutmise
väljatöötamiskavatsuse kooskõlastamine
Austatud justiits- ja digiminister
Täname, et esitasite kooskõlastamisele isikuandmete kaitse seaduse (edaspidi IKS)
väljatöötamiskavatsuse (edaspidi VTK). Tervitame seaduse muutmist, kui regulatsioon
muutub seeläbi selgemaks ja täpsemaks. Käesolevaga esitab Siseministeerium täiendavad
tähelepanekud regulatsiooni edasiseks muutmiseks. Erinevaid tahke, millele tähelepanu
pöörata, aitas püstitada ka Politsei- ja Piirivalveamet (edaspidi PPA), kes on mitme andmekogu
vastutav töötleja, seejuures on andmekogudes erineva tundlikkusastmega teavet.
1. Analüüside ja uuringute tegemiseks õigustatud täidesaatva riigivõimu asutuste ringi
laiendamisest
VTK-s on toodud, et ka kehtiva seaduse tõlgendamise kaudu on valitsusasutused ja nende
hallatavad asutused saanud siiani uuringuid teha. Seni on siiski olnud (valdav) arusaam, et
täidesaatva riigivõimu analüüse ja uuringuid, mida tehakse poliitika kujundamise eesmärgil,
saab teha ainult ministeerium. Senine arusaam tugineb Eesti Vabariigi põhiseaduse §-l 86,
mille kohaselt täidesaatev riigivõim kuulub Vabariigi Valitsusele, kuhu § 88 kohaselt kuuluvad
peaminister ja ministrid ning § 94 kohaselt valitsemisalade korraldamiseks moodustatakse
ministeeriumid.
Nõustume igati VTKs-s tooduga, et isikuandmete töötlemine uuringute ja analüüside
tegemiseks üksnes poliitika kujundamise eesmärgil on liialt piirav õigete ning andmepõhiste
otsuste tegemisel. Uuringute ning analüüside tegemise vajadus on ka teistel täidesaatva
riigivõimu asutustel ja mitte ainult poliitika kujundamise eesmärgil vaid ka uute ideede,
tehnoloogiate ja protsesside välja töötamiseks. Sageli tehakse seda koostöös ülikoolide ja
eraettevõtetega. Samas ei ole üheselt selge, mis juhtudel tuleb täidesaatva riigivõimu asutusel
lähtuda tulevasest IKS-i regulatsioonist ning millistel juhtudel tuleb andmekogudest
isikuandmete töötlemine analüüside või statistika/prognooside tegemiseks ette näha vastavas
eriseaduses.
Leiame, et edasises menetluses on vaja selgitada ka seda, kas andmekogudesse päringut
tegema õigustatud asutuse taotluse rahuldamisest on andmekogu vastutaval töötlejal õigus ka
keelduda (sh andmete väljastamata jätmine või väljastamine piiratud mahus).
2 (4)
Kui laiendada asutuste ringi, kellel oleks õigus analüüside ja uuringute tegemiseks kasutada
isikuandmeid, siis tuleb luua andmekogu vastutavale töötlejale võimalused täiendavateks
kaitsemeetmeteks, mis aitaksid tagada, et uuringuks vajalike isikuandmetega ei puutuks kokku
need isikud, kelle usaldusväärsuses on alust kahelda. Kõikide teenistujate taustakontrolli isiku
usaldusväärsuse hindamiseks IKS ka praegu ette ei näe ning teatud juhtudel piirdub ehk
päringuga karistusregistrist vms. Arvestades aga näiteks PPA andmekogudes olevaid andmeid,
võivad andmete saajad kokku puutuda tundlikuma andmestikuga kui nende igapäevatöös vaja
on ning seetõttu peab olema ka nende usaldusväärsus kontrollitud. PPA praktikas on olnud
juhtumeid, kus teenistuja omab kokkupuuteid PPA-ga, kuigi süüteomenetlust ei algatata. PPA
seisukohast võib see välistada teenistujale juurdepääsupiiranguga teabe jagamise. Hetkel
puudub seadusest tulenev õiguslik alus, mis võimaldaks seda teavet KOV-iga jagada.
Laiendades asutuste ringi, kes on õigustatud andmekogust saama isikuandmeid (sh KOV-id)
ei ole aga välistatud olukord, kus uuringu valmimisega on seotud just selline probleeme isik,
kes võib saadavat teavet ka muudel, sh ebaausatel eesmärkidel kasutada.
2. Mida lugeda teadusuuringuks
Isikuandmete kaitse üldmääruse põhjenduspunkti 159 kohaselt tuleks teadusuuringute
eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab näiteks
tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori
vahenditest rahastatavaid uuringuid. Oluline on ka eelnõu ettevalmistamisel pöörata
tähelepanu terminikasutuse selgusele – kas teadusuuringu mõiste hõlmab ka bakalaureuse töö,
rakenduskõrghariduse lõputöö, kursusetöö, gümnaasiumis tehtava uurimistöö või kas on
tegemist kattuvate mõistetega, nt uuring ja teadusuuring, mida hõlmab analüüsi mõiste, mis
tasemest on uuring teadusuuring. Samuti tuleks selgelt defineerida, mida loetakse
teadusuuringuks ning millised kriteeriumid peavad olema täidetud. See aitab kaasa ka
üliõpilastööde määratlemist teadustööks/teadusuuringuks või mitte. Näiteks bakalaureuse- või
magistritöö puhul võib asuda seisukohale, et tegemist ei ole teadustööga, kuna nimetatud tööd
on alles esmased põhjalikumad kokkupuuted teadustööga ning selle läbiviimise ja kirjutamise
põhimõtetega ning tööd kirjutav tudeng toimetab siiski peamiselt iseseisvalt, saades kohati
vaid minimaalset juhendamist (kõrgkoolide ja õppekavade lõikes on see erinev). Võiks arvata,
et esmased kokkupuuted teadustöö koostamisel ei peaks toimuma läbi tundliku materjali (sh
isikuandmete), mille töötlemisel tuleb arvestada täiendavate piirangutega ning mõningal juhul
võivad olla ka takistused töö hilisemal kasutamisel ning avaldamisel. Teadus- ja
arendustegevuse korralduse seaduse §-s 2 on toodud mõisted, mida erinevad uuringud
tähendavad. Samas on väga töömahukas ja enamasti vaieldav, kui hakata igal üksikul juhul
hindama, kas bakalaureuse töö, rakenduskõrghariduse lõputöö, kursusetöö jms tööd mahuvad
nende mõistete alla, eriti kui kasutatakse mõnda kvantitatiivse või kvalitatiivse uuringu
meetodit, mille tulemusena saadakse uusi teadmisi.
Ka vajab selgitamist, millisel määral võib mõjutada regulatsioon erinevate
kuriteovaldkondade kriminaalanalüüsi või -uuringu läbiviimist või muude IKS § 12 lg 2
nimetatud eesmärgi täitmise raames või selle eesmärgi täitmise toetamiseks läbiviidavaid
analüüse isikustatud kujul andmetega.
3. KOVi õigus isikuandmete töötlemiseks analüüsi ja uuringu eesmärgil
Kohaliku omavalitsuse korralduse seaduse (edaspidi KOKS) muutmise seaduse eelnõu on
esitatud Vabariigi Valitsusele1, milles nähakse KOVile ette õigused isikuandmete töötlemisel.
Soovime selgust, kuidas suhestuvad KOKS-is tehtavad muudatused selle VTK alusel loodava
1 https://eelnoud.valitsus.ee/main/mount/docList/345b8b87-0431-4aaa-ad59-6f0e7112fd8b
3 (4)
eelnõuga. Näiteks kas IKS-i täiendava sätte lisamine põhimõtteliselt asendaks KOKS-i
isikuandmete töötlemise nõude lisamise vajadust – selleks, et KOV-il oleks lubatud
uuringuteks ja analüüsideks isikuandmeid töödelda või on need regulatsioonid vajalikud
mõlemas seaduses, et KOV-id saaksid andmeid töödelda. Kui isikuandmete töötlemine tuleneb
KOV-i õigusaktist (nt KOKS), siis kas IKS annab isikuandmete töötlemise aluse koos
Andmekaitse Inspektsiooni kooskõlastuse nõudega?
Ka KOVi päringu saamise korral peab selle saanud andmekogu vastutaval töötlejal olema
selgesõnaline õigus keelduda andmete väljastamisest.
4. Erinevate andmekogude andmete ühildamise reguleerimine
VTK-s on pakutud võimalikud lahendused erinevate andmekogude andmete
kokkupanemiseks:
– andmed paneb kokku selle andmekogu vastutav töötleja, kelle andmekogust soovitakse
saada kõige tundlikuma sisuga andmed (siinkohal tuleb ka sisustada kriteeriumid, mille alusel
andmete tundlikkust tuvastada);
– andmed paneb kokku üks seadusega kindlaks määratud asutus, kes omale selle ülesande
saab.
Esimese lahenduse puhul tekib küsimus, kas on võimalik sõnastada andmete tundlikkuse
tuvastamise kriteeriumid nii üheselt mõistetavalt, et oleks selge, milline asutus selle ülesande
täidab. Seda eriti juhul, kui uuringu eesmärk on ainult või olulisel määral seotud asutuse
tegevusega, kes ei ole kõige tundlikemate andmete valdaja. Sel juhul võib viimati nimetatud
andmete valdaja tunda, et ta peab nö teise asutuse tööd tegema ning see ülesanne võib
prioriteetsuse mõttes jääda tahaplaanile või osutuda ülemäära koormavaks. Lisaks märgime,
et olukorras, kus regulatsioon puudutab süüteoga või laiemalt õigusrikkumisega seotud
andmeid, siis ei pruugi kumbki võimalik lahendus sobida.
VTK-s on negatiivse mõjuna välja toodud ka see, et suureneb töökoormus sellel, kes andmeid
seostama hakkab. Nii näiteks võib töökoormus suurenda PPA-l, kellel on palju erinevaid
andmekogusid, milles on isikute kohta teavet ja seega võib saada andmete kokku panijaks.
Alternatiivse lahenduse puhul – PPA välise asutuse määramisel andmete kokku panijaks –
tekib küsimus proportsionaalsusest ehk selliste PPA käes olevate andmete edastamisest
teadusuuringu läbiviijale. Kas on võimalik pakkuda keskne tuvastamist mittevõimaldavale
kujule viimise tehniline lahendus (kas see võiks olla VTK lk 14 nimetatud turvaline
andmetöötluskeskkond)?
Süsteemi loomisel, milles isikuandmeid pseudonüümitakse või pannakse see kohustus mõnele
andmekogu vastutavale töötlejale, tuleb puudutatud andmekogude vastutavad töötlejad
kaasata võimalikult varakult, et hinnata kas ja kuidas seda võimalik või mõistlik lahendada on
ning kas see toob kaasa ka arendusvajadusi. Kindlasti peaks käsitlema ka seda, millised on
need andmekombinatsioonid, mis isiku tuvastamist võimaldaks ja mis mitte. Andmete,
iseäranis erineval eesmärgil kogutud erinevate andmekogude erinevate andmestike
seostamisel on kerge tulema ka ülemäärane andmetöötlus.
VTK punkti 2.4 võimaliku lahenduse juures on ekslikult viidatud IKS §-le 6, samas on
viidatud ka Lisale 3, kus on toodud võimalik sõnastus IKS § 61 osas andmete töötlemine
täidesaatva riigivõimu asutuse analüüsi ja uuringu eesmärgil.
4 (4)
5. Täiendav säte tehnoloogia arendamiseks
Leiame, et tehnoloogia arendamise jaoks võiks luua sätted, et tehisaru süsteemide arendamine
ja masinõpe oleks selgemini reguleeritud. Olenemata sellest, kas otsus langetatakse vastava
regulatsiooni loomise kasuks või mitte, siis igal juhul tuleb lähtuda isikuandmete kaitse
üldmäärusest, mis on loodud tehnoloogianeutraalsena. Ka VTK-s on rõhutatud, et tehisaru
arendamine on tehnoloogiaarenduse osa ning peab lähtuma isikuandmete kaitse üldmääruse
põhimõtetest.
6. Andmesubjekti õiguste piiramise õigusest Lisas 3
Eelnõu ettevalmistamisel palume täpsemalt selgitada, kas andmesubjekti õiguste piiramine
(Lisa 3 lg 10) tuleb täpsemalt sätestada eriseaduses nagu nii mõneski seaduses on see toodud.
Vastasel juhul tekib küsimus, mille alusel tekib andmetöötlejale õigus piirata andmesubjekti
õigusi, mis on nimetatud isikuandmete kaitse üldmääruse artiklites 15-16, 18 ja 2.
Lugupidamisega
(allkirjastatud digitaalselt)
Igor Taro
siseminister
Kertu Nurmsalu 6125084
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| PPA - Tagasiside eelnõule | 07.05.2025 | 1 | 1-7/97-4 🔒 | Sissetulev kiri | sisemin | Politsei- ja Piirivalveamet |
| HK - Isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsus | 06.05.2025 | 2 | 1-7/97-3 | Sissetulev kiri | sisemin | Häirekeskus |
| PÄA - Isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsus | 05.05.2025 | 1 | 1-7/97-2 | Sissetulev kiri | sisemin | Päästeamet |
| Isikuandmete kaitse seaduse muutmise seaduse väljatöötamiskavatsus | 10.04.2025 | 1 | 1-7/97-1 | Sissetulev kiri | sisemin | Justiits- ja Digiministeerium |
| Isikuandmete kaitse seaduse rakendamise seadusega seotud valdkonna eest vastutava ministri määruste muutmine | 13.02.2019 | 2249 | 1-7/35-1 | Sissetulev kiri | sisemin | Sotsiaalministeerium |