| Dokumendiregister | Majandus- ja Kommunikatsiooniministeerium |
| Viit | 2-3/1542 |
| Registreeritud | 22.05.2025 |
| Sünkroonitud | 23.05.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2 Õigusloome ja -nõustamine |
| Sari | 2-3 Ettepanekud ja arvamused ministeeriumile kooskõlastamiseks saadetud õigusaktide eelnõude kohta |
| Toimik | 2-3/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Deisi Pohlak (Majandus- ja Kommunikatsiooniministeerium, Kantsleri valdkond, Tööala valdkond) |
| Originaal | Ava uues aknas |
Suur-Ameerika 1 / 10122 Tallinn / 625 6342 / [email protected] / www.mkm.ee
Registrikood 70003158
Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Suur-Ameerika 1
10122, Tallinn
Teie 10.04.2025 nr 8-3/3312-1; JDM/25-
0371/-1K
Meie 22.05.2025 nr 2-3/1542
Vastuskiri isikuandmete kaitse seaduse
muutmise seaduse väljatöötamiskavatsusele
Austatud Liisa-Ly Pakosta
Majandus- ja Kommunikatsiooniministeerium kooskõlastab isikuandmete kaitse seaduse
muutmise seaduse väljatöötamiskavatsuse märkustega arvestamisel.
1.Kaitsemeetmed nõusolekuta isikuandmete töötlemisel
1.1. Palume täpsustada, kas ja mil määral kitseneb kavandatud muudatuse tagajärjel
pseudonüümitud andmete kasutamine võrreldes hetkel kehtiva olukorraga. Võrreldes hetkel
kehtiva regulatsiooniga on VTK-s võimaliku lahendusena välja toodud, et IKS §-i 6 täiendatakse
tingimustega, millele andmetöötlus peab vastama, kui teadusuuringu läbiviimiseks töödeldakse
pseudonüümitud või samaväärset andmekaitset võimaldavaid andmeid. Samas ei ole meie
hinnangul VTK-s piisavalt selgitatud, mis täpselt võrreldes kehtiva olukorraga muutub ning
millised nõuded lisanduvad. Palume seda täiendavalt selgitada. Pseudonüümitud andmete
kasutamise võimalused ei tohiks võrreldes hetkel kehtiva olukorraga kitseneda, ega muutuda
oluliselt piiravamaks. Lisaks juhime tähelepanu, et pseudonüümitud andmete kasutamisele seatud
kaitsemeetmed peaksid olema üheselt mõistetavad, realistlikud ja saavutavad, et tagada
teadusuuringute läbiviimise võimalikkus. Kui kaitsemeetmed on määratud liiga rangelt või
ebamääraselt, suurendab see kõigi teadusuuringusse kaasatud osapoolte töökoormust, pikendab
uuringute läbiviimise perioodi ning kokkuvõttes pärsib oluliselt teadusuuringute teostamist.
1.2. Palume täpsustada, milliseid täiendavaid kaitsemeetmeid peetakse piisavaks
alternatiivina pseudonüümimisele. Lisast 1 nähtub, et võrreldes hetkel kehtiva regulatsiooniga
lisanduksid kaitsemeetmed ka pseudonüümitud andmete kasutamisele. Juhime tähelepanu, et
VTK-st ei nähtu piisava selgusega, mida on silmas peetud Lisas 1 § 6 lõike 2 punktis 1 nimetatud
„muude asjakohaste kaitsemeetmete“ all, mida võib alternatiivina pseudonüümimisele kasutada.
Täiendavad selgitused aitavad paremini hinnata kavandatava muudatuse mõju teadusuuringute
läbiviimisele ning tagavad õigusselguse andmetöötlejatele. Hetkel kehtivast sõnastusest võib välja
lugeda, et andmed tuleb pseudonüümida andmekogus. Juhime tähelepanu, et praktikas võib selle
tingimuse täitmine osutuda teostamatuks, kuna andmekogude tehnilised lahendused ei pruugi
võimaldada andmete pseudonüümimist otse andmekogus. Sama küsimus tekkis ka Lisas 3 toodud
§ 61 lõike 3 punkti 2 osas.
2 (6)
1.3. Juhime tähelepanu, et Lisas 1 välja toodud § 6 lõike 2 punkt 2 ei ole üheselt mõistetav.
Selles sätestatud keeld – „analüüsi ja uuringut tehes teostamisel ei või teha lisatoiminguid, mille
tagajärjel saab isiku tuvastada“ – on keeleliselt raskesti mõistetav (sõnad tehes ja teostamisel on
oma olemuselt samatähenduslikud) ja vajab ka sisuliselt täpsustamist. Palume selgitada täpsemalt,
mida peetakse silmas „lisatoimingute“ all. Praktikas esineb olukordi, kus andmetöötluse käigus,
näiteks eri registrite andmete sidumisel, on isik ajutiselt tuvastatav, kuigi andmeanalüüsiks
mõeldud lõppandmestikus esitatakse uuringuandmed pseudonüümitud ja isiku tuvastamist
mittevõimaldaval kujul. Soovitame täpsustada, kas keelu eesmärk on välistada isiku tuvastamine
ainult lõplikus andmeanalüüsi aluseks olevas andmestikus või on keelatud ka kõik eelnevad
andmetöötluse etapid, kus võib esineda isiku tuvastamise võimalus.
1.4 Palume täpsustada Lisas 1 toodud § 6 lõike 2 punktis 4 sätestatud nõudeid. Nimetatud
sätte kohaselt, ei tohi muuta andmesubjekti kohustuste mahtu ega kahjustada muul viisil
ülemääraselt andmesubjekti õigusi ega avaldada kahjulikku mõju andmesubjektile. Nimetatud
tingimuste täitmist on juba täna väga keeruline hinnata, seda võiks lihtsustada või tuua välja
täpsemad hindamisjuhised, millest lähtuda. See kehtib ka sama paragrahvi lõike 3 osas.
2.Täidesaatva riigivõimu asutuse tehtud analüüsid ja uuringud
2.1. Palume laiendada IKS §-ga 6 hõlmatud isikute/asutuste ringi. VTK-s on välja toodud, et
kehtiv seadus kitsendab ülemäära asutuste ringi, kellel on lubatud analüüse ja uuringuid teha.
Toetame ettepanekut õigusselguse eesmärgil asendada täidesaatva riigivõimu mõiste täidesaatva
riigivõimu asutusega. Ühtlasi oleme nõus, et erinevate asutuste uuringute tegemise õigust ei ole
otstarbekas siduda üksnes poliitika kujundamisega, kuna neil võib olla vajadus teha analüüse ja
uuringuid teistel eesmärkidel, sh enda teenuste arendamiseks. Eraldi on probleemkohana välja
toodud kohalike omavalitsuste jaoks õigusliku aluse puudumine analüüside ja uuringute tarbeks.
Juhime tähelepanu, et lisaks kohalikele omavalitsustele jäävad kehtiva regulatsiooni kohaselt
uuringute ja analüüside läbiviimise õiguse osas õiguslikult ebamäärasesse olukorda ka avalik-
õiguslikud juriidilised isikud, riigi sihtasutused ja sõltumatud ametiisikud, näiteks Eesti
Töötukassa, Ettevõtluse ja Innovatsiooni Sihtasutus ja soolise võrdõiguslikkuse ja võrdse
kohtlemise volinik. Ka neil võib oma õigusaktidest tulenevate kohustuste täitmisel tekkida
praktiline vajadus teadusuuringuid läbi viia. Näiteks näeb töötuskindlustuse seaduse § 23 lõike 2
punkt 6 ette, et Eesti Töötukassa üheks ülesandeks on analüüsida tööturu olukorda ning töötukassa
tegevuse, sealhulgas töötuskindlustuse ja rakendatavate tööturumeetmete ning töövõime
hindamise ja töövõimetoetuse mõju ja tulemuslikkust. Nimetatud alust ei ole teiste andmekogude
vastutavad töötlejad pidanud seni piisavaks Eesti Töötukassa taotlusel andmete väljastamiseks.
Seetõttu oleme seisukohal, et IKS §-i 6 tuleks laiendada viisil, mis hõlmaks ka eespool nimetatud
ja teisi sarnases olukorras olevaid asutusi, kes ei ole otseselt täidesaatva riigivõimu asutused ega
kohalikud omavalitsused, kuid kellel samuti on oma ülesannete täitmiseks vajadus
teadusuuringuid läbi viia.
2.2. Peame igati asjakohaseks VTK-s välja toodud probleemi, et täidesaatva riigivõimu asutusel ei
ole täna ajakuluka AKI ja eetikakomitee menetlusprotsessi tõttu võimalik teha kiireid andmetel
põhinevaid otsuseid. Seejuures on igati vajalik saavutada VTK-s välja toodud eesmärki ehk
võimaldada andmete töötlemist senisest kiiremini. VTK lisa 3 IKS § 61 lõikes 6 on öeldud, et: „Kui
täidesaatva riigivõimu asutus töötleb isikuandmeid või eriliiki isikuandmeid käesoleva paragrahvi
lõikes 3 sätestatud tingimustel, teavitab täidesaatva riigivõimu asutus enne isikuandmete
töötlemist vastavast uuringust või analüüsist, uuringu ja analüüsi eesmärkidest, töödeldavatest
andmetest ja käesolevas paragrahvis sätestatud tingimuste täitmisest Andmekaitse Inspektsiooni
ning avaldab eelnimetatud teabe vastava asutuse veebilehel.“
3 (6)
Palume täpsustada, kas eespool nimetatud täidesaatva riigivõimu asutuse poolne andmete
töötlemine hõlmab ka uuringuid ja analüüse, mille asutus tellib väljastpoolt? Lisaks palume
ka siin hõlmata avalik-õiguslikud juriidilised isikud ja sõltumatud ametiisikud (vt punkti 2.1
selgitusi) ning laiendada lihtsustatud korda mitte üksnes poliitikakujundamise eesmärgil
tehtavatele uuringutele.
2.3. Palume selgitada VTK lisas 3 toodud § 61 lõike 3 punkti 1 sisu. VTK lisas 3, § 61 lõike 3
punktis 1 on öeldud: „Isikuandmete või eriliiki isikuandmete töödeldakse süsteemis, mille
turvameetmed ei võimalda teha eesmärgina nimetamata andmetöötlust ega võimalda ühelgi
süsteemile juurde pääseval töötlejal tuvastada töödeldavate andmetega seotud isikuid, sealhulgas
mõistliku tõenäosusega selleks meetmeid kasutades“.
Esmalt palume täpsustada, kas „töötlemise süsteemina“ on käesolevas sättes mõeldud süsteemi,
millest andmed välja võetakse (algsüsteemi/andmekogu) või süsteemi, kus neid hiljem
analüüsitakse? Ühtlasi palume täpsustada, millist konkreetset töötlemise süsteemi silmas peetakse,
tuues näite mõne olemasoleva lahenduse kohta. Kavandatava muudatuse eesmärk on tagada, et
asutustel oleks võimalik andmeid kiiremini ja tõhusamalt kasutada ning rakendada andmepõhist
poliitikakujundamist. Hetkel ei ole aga selge, millise süsteemiga täpsemalt on tegu (VTK kohaselt
määratakse süsteemi tingimused alles hilisema määrusega). Seetõttu ei saa hinnata, kas
kavandatud sätted suudavad seatud eesmärki tegelikult täita, kuna pole teada, kas süsteemi
ülesehitus ja kasutustingimused saavad olema sellised, mis on reaalselt kättesaadavad ja
jõukohased kõigile asjaomastele asutustele.
Teiseks palume täpsustada, mida on mõeldud selle all, et „/…/, mille turvameetmed ei võimalda
teha eesmärgina nimetamata andmetöötlust“. Kas eesmärgina on siinkohal silmas peetud
kavandatava IKS § 61 lõike 1 eesmärki või konkreetse uuringu eesmärki? Samuti jääb
arusaamatuks, millist andmetöötlust peavad turvameetmed piirama ning millise andmetöötluse
etapi kohta piirang rakenduks - kas andmete kokku panemise etapile või juba andmete
analüüsimise etapile. Praktikas on andmetele juurdepääs tavaliselt seotud konkreetse
andmetöötleja ametikoha ja tööülesannetega, mitte üksnes tehniliste turvameetmetega. Kui isikul
on oma ametikoha tõttu ligipääs andmetele, on tal ka võimalus teha erinevaid
andmetöötlustoiminguid ehk tema õigused andmete töötlemiseks võivad olla laiemad kui
konkreetne päring ette näeb. Jääb arusaamatuks, kas siinses kontekstis viidatakse tehnilistele
piirangutele, rollipõhisele juurdepääsule või millelegi muule. Palume selles osas sõnastust
täpsustada, et see vastaks realistlikule andmetöötluse korraldusele.
Kolmandaks palume sama sätte puhul täpsustada, mida tähendab sisuliselt, et „/…/ega võimalda
ühelgi süsteemile juurde pääseval töötlejal tuvastada töödeldavate andmetega seotud isikuid,
sealhulgas mõistliku tõenäosusega selleks meetmeid kasutades“. Palume täpsustada, kas nimetatud
nõue kehtib andmete kokkupanemise ja ettevalmistamise etapis või analüüsimise ja uuringu
läbiviimise etapis, kus andmed peaksid juba olema isiku tuvastamist mittevõimaldaval kujul. Kui
nimetatud nõue laieneb ka andmete ettevalmistuse etappi, võib see olla praktikas raskesti teostatav
ja vastuolus seadusest tulenevate kohustustega (sh inimese õigusega nõuda tema andmete
eemaldamist). Palume seetõttu kaaluda sõnastuse täpsustamist, et oleks selge, millises
andmetöötluse etapis ja millistel tingimustel peab isiku tuvastamise võimalus olema välistatud,
ning et säte oleks kooskõlas realistliku andmetöötluse korraldusega.
2.4. VTK lisas 3, § 61 lõike 3, punktis 3 palume täpsustada, mida on silmas peetud
lisatoimingute all ning millisele andmeanalüüsi etapile säte rakendub. Samuti on § 61 lõigetes
2 ja 3 viidatud andmete töötlemisele lõikes 1 või “käesolevas paragrahvis” sätestatud eesmärkidel,
4 (6)
kuid lõige 1 neid eesmärke otsesõnu ei ava. Seega jääb sätte sõnastuse pinnalt arusaamatuks,
milliseid eesmärke on täpselt silmas peetud.
2.5. Palume täpsustada VTK lisas 3 toodud kavandatava § 61 lõikega 6 seonduvat. VTK lisas
3, § 61 lõikes 6 on kirjas, et kui asutus töötleb isikuandmeid või eriliiki isikuandmeid nimetatud
paragrahvi lõikes 3 sätestatud tingimustel, teavitab ta enne isikuandmete töötlemise alustamist
vastavast uuringust, selle eesmärgist ja töödeldavatest andmetest ja lõikes 3 sätestatud tingimuste
täitmisest Andmekaitse Inspektsiooni ning avaldab oma veebilehel teabe uuringu või analüüsi
kohta. Võttes arvesse arvukaid nõudeid ja tingimusi, mida uuringut läbiviiv asutus peab täitma ja
hindama, palume mõjude analüüsis põhjalikumalt analüüsida, kas nimetatud säte kiirendab
piisavalt andmete kättesaadavust. VTK-s esitatud ulatuslike tingimuste täitmise kontekstis ei ole
meie hinnangul põhjust eeldada, et andmete kättesaamise protsess muutuks senisest oluliselt
tõhusamaks. Samuti palume hinnata ka mõju analüüse läbiviivatele asutustele.
Palume ka täpsustada, kas andmetöötluse kohta käiva teavituse avaldamine asutuse veebilehel
eeldab Andmekaitse Inspektsiooni eelnevat heakskiitu või kooskõlastust. Kui eeldab, võib see
praktikas aeglustada andmete liikumise protsessi. Samuti palume selgitada, kuidas on ette nähtud
tegutsemine olukorras, kus uuringut läbi viiv asutus on hinnanud, et andmetöötlus vastab § 61
lõikes 3 nimetatud tingimustele, kuid hilisemal hindamisel ilmneb siiski, et mõni sätestatud
tingimus ei olnud sisuliselt täidetud. Kas § 61 lõikes 3 kirjeldatud teavituse saamise korral
Andmekaitse Inspektsioon kontrollib sama paragrahvi lõikes 3 loetletud tingimuste täitmist, või
kuidas tagatakse sellises olukorras, et asutuse enesehinnang uuringu läbiviimisel on asjakohane?
Millised on õiguslikud tagajärjed, kui selgub et uuringut läbi viiva asutuse hinnang ei ole olnud
asjakohane? Samuti võiks kaaluda konkreetse tähtaja kehtestamist, mitu päeva enne andmete
töötlemise alustamist peab uuringu läbiviija Andmekaitse Inspektsiooni tingimuste täitmisest
teavitama. Samuti palume täpsustada tähtaega, kui kaua peab lõigetes 6 ja 7 nimetatud teave olema
asutuse veebilehel avaldatud. VTK-s neid aspekte käsitletud ei ole, seega palume seda täiendavalt
selgitada.
2.6. Leiame, et pseudonüümitud andmete säilitamisele kehtestatavad nõuded võiksid olla
paindlikumad. Juhime tähelepanu, et VTK lisas 3 toodud § 61 lõike 3 punkt 4 piirab teadusuuringu
tarbeks kokku pandud pseudonüümitud andmete taaskasutamist. Sageli on poliitikate
väljatöötamisel ja nende analüüsimiseks vajalik samu andmeid kasutada mitmekordselt, näiteks
hilisemal mõjude hindamisel või trendijoone väljaselgitamisel, et vajadusel ellu viia muudatusi
lähtuvalt esile kerkinud probleemkohtadest. Seetõttu võiks seadusandlus soodustada nende
andmete säilitamist teadusuuringute ja analüüside läbiviimise eesmärgil, võimaldades näiteks
pikemat säilitustähtaega või korduvkasutust, tingimusel, et on tagatud piisav turvalisus ja piiratud
juurdepääs. Samuti võiks kaaluda pikema andmete säilitamise tähtaja kehtestamist pärast uuringu
valmimist, juhuks, kui on vaja andmeid täiendavalt kontrollida või uuesti kasutada.
3.Eetikakomiteed ja Andmekaitse Inspektsiooni hinnang
3.1. Toetame VTK-s välja pakutud esimest varianti, mille kohaselt allutataks kõik
teadusuuringud, sealhulgas ka poliitikakujundamise eesmärgil läbiviidavad analüüsid ja
uuringud TAIKS-i alusel loodava eetikakomitee pädevusse, kes hindaks nii uuringu eetilisi kui
ka andmekaitsealaseid aspekte. Samas peame oluliseks tuua välja, et nimetatud lahenduse
rakendamisel tuleb tagada, et loodaval eetikakomiteel oleksid olemas mõlemad vajalikud
pädevused – nii teadusuuringute eetika kui ka andmekaitsealaste aspektide hindamiseks. Samuti
tuleb tagada menetlusprotsessi efektiivsus, et vältida ebamõistlikult pikki menetlusaegu, mis
5 (6)
võiksid takistada uuringute õigeaegset läbiviimist. Eesmärk võiks olla, et TAIKSi alusel loodav
eetikakomitee suudab teha otsuseid kiiremini, kui tänased eetikakomiteed.
Juhul, kui otsustatakse jääda teise variandi juurde, tuleb senisest selgemalt eristada eetikakomitee
ja Andmekaitse Inspektsiooni pädevusvaldkonnad, vältimaks täna segadust tekitavat olukorda, kus
nende rollid on osaliselt kattuvad ning kus antakse paralleelseid hinnanguid.
3.2 Palume täiendavalt selgitada eetikakomitee õigusliku seisundiga seonduvat. VTK-s on
välja toodud, et aeg ajalt on tekkinud küsimus, mida kujutab endast õiguslikus mõttes AKI ja
eetikakomitee IKS-is sätestatud tingimuste kontroll ning selgitatud, et tegemist ei ole haldusaktiga,
vaid toiminguga, mis tehakse haldusakti andmise menetluses. Samas on VTK-s ka öeldud, et
hetkel kehtiva regulatsiooni järgi võib eetikakomitee luua igaüks, kes seda soovib. Soovime
tähelepanu juhtida, et vastavalt haldusmenetluse seaduse § 106 lõikele 1 on toiming haldusorgani
tegevus, mis ei ole õigusakti andmine ja mida ei sooritata tsiviilõigussuhtes. Toimingut
sooritatakse eraldi-seisvas haldusmenetluses, mille vastavalt HMS § 43 lõikele 4 lõpetab mh
toimingu sooritamine või selle sooritamata jätmine. Seega juhul, kui eetikakomitee hinnangu näol
on tegemist haldusakti andmise menetluses tehtava toiminguga, saab tegemist olla vaid
menetlustoiminguga, millele tulenevalt HMS § 106 lõikest 2 HMS 8. ptk-s toimingu kohta
sätestatut ei kohaldata. Nii toiminguid kui menetlustoiminguid saab aga teha üksnes haldusorgan.
Sellest tulenevalt jääb VTK põhjal arusaamatuks, kuidas saab asjaomase valdkonna eetikakomitee
asutada igaüks, kui VTK-s toodud selgitustest järeldub, et tegemist peab olema haldusorganiga.
4. Eri andmekogude andmete ühildamine
4.1. Leiame, et ühe konkreetse andmete kokkupanemise lahenduse kohustuslik sätestamine
õigusakti tasandil piirab liigselt paindlikkust andmete ühendamisel. Kehtestades seaduses
vaid ühe võimaliku variandi, jäetakse arvestamata, et uuringute ja analüüside iseloom, kasutatavad
andmekogud ja andmekaitsealased riskid võivad olla väga erinevad. Seetõttu peame otstarbekaks
võimaldada andmete kokkupanemise korralduse määramist juhtumipõhiselt.
Esimese variandi kohaselt paneks andmed kokku see andmekogu vastutav töötleja, kelle
andmestik sisaldab kõige tundlikumat teavet. Selle lahenduse rakendamine eeldab aga väga selgete
ja objektiivsete kriteeriumide kehtestamist tundlikkuse määratlemiseks, mis võib praktikas
osutuda keerukaks ja vaieldavaks, eriti kui ühe uuringu käigus on vajadus siduda mitme
andmekogu eriliigilisi andmeid. Teine variant, kus kõik andmed paneks kokku üks seadusega
määratud asutus (nt Eesti Statistikaamet), toob kaasa ebamõistlikult suure töökoormuse
koondumise ühte asutusse, mistõttu võib oluliselt pikeneda andmete kättesaamisega kaasnev
ajakulu ning sellest tulenevalt ka uuringu läbiviimise periood. Juhul kui nimetatud asutuseks oleks
Eesti Statistikaamet, siis kaasneksid andmete tellijatele ka olulised rahalised kulud, kuna andmete
kokkupaneku näol on tegemist tellimustöödega, mis on tasulised.
Praktikas oleme seni lähenenud juhtumipõhiselt ehk sõltuvalt uuringust ja selle andmetest oleme
rakendanud mõlemat varianti. Palume paindlikkus säilitada ka edaspidi, et andmete
kokkupanemise viis määratakse juhtumipõhiselt, vastavalt uuringu laadile ja andmete olemusele,
sätestades vajadusel tingimused, mille täitmine tagab andmekaitse piisava taseme.
5. Uuringud, milles kasutatakse erinevaid õiguslikke aluseid andmete töötlemiseks.
5.1 Toetame VTK-s tehtud ettepanekut kaaluda IKS § 6 täiendamist, et luua õiguslik selgus
uuringute osas, kus on vajalik andmeid töödelda osaliselt andmesubjekti nõusolekuta ja osaliselt
andmesubjekti nõusoleku alusel.
6 (6)
6. Palume analüüsida ka mõju andmekogude vastutavatele töötlejatele. Kui andmete saamise
tingimusi laiendatakse või lihtsustatakse, siis ilmselt kaasneb ka andmekogudesse tehtavate
päringute maht.
Lugupidamisega
(allkirjastatud digitaalselt)
Erkki Keldo
majandus- ja tööstusminister
Deisi Pohlak
+372 5912 7349
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|