Vastus seaduse väljatöötamiskavatsusele

Suur-Ameerika 1 / 10122 Tallinn / 626 9301 / [email protected] / www.sm.ee / registrikood 70001952

Justiits- ja Digiministeerium [email protected]

eie 10.04.2025 * r 8-3/3312-1, JDM/25-0371/-1K *

Meie 29.05.2025 nr 1.2-3/998-5

Vastus isikuandmete kaitse seaduse väljatöötamiskavatsusele (uuringud ja analüüsid)

Toetame isikuandmete kaitse seaduse (IKS) muutmist viisil, kus isikuandmete töötlemine ilma isiku nõusolekuta analüüside ja uuringute tarbeks toimub selgetel alustel ja kus arvestatakse tänapäeva tehnoloogilisi võimalusi ning lihtsustatakse Andmekaitse Inspektsiooni (AKI) või eetikakomiteede kaasamise protsessi. Teeme ettepaneku täpsustada kavandatavas eelnõus uuringu mõistet, mille piiritlemisel on olnud praktikas üksjagu ebaselgust. Lisaks juhime tähelepanu, et kuna isikuandmete kaitse üldmäärus (IKÜM) on kohaldatav nii era- kui avalikus sektoris, siis jääb arusaamatuks, miks täiendatakse täidesaatva riigivõimu juures teadusuuringu mõistet selge viitega tehnoloogiaarendustele kuid muul juhul mitte (nt erasektori läbiviidavad uuringud, millel on samuti avalik huvi ja mis võivad olla ajendatud innovatsioonist). Mõiste täpsustamine tuleks tagada läbivalt, sest ka VTK-s avatud nö kiire andmepõhine otsustus erineb olemuslikult tavapärasest teadustöö põhimõtetest, samas peab nii täidesaatva riigivõimu analüüs kui teadusuuring vastama põhimõtteliselt kokkulepitud teaduseetika nõuetele, et need oleksid tõenduspõhised ja kallutamata. Seni on tekitanud segadust nii teadusuuringu, uuringu ja analüüsi käsitlus, edaspidi võib segadust tekitada lisaks tehnoloogiaarenduse mõiste (kas see tähendab iga IT- arendust). Kavandatud eelnõu § 6 lõige 2 on suunatud reguleerima olukordi, kus peetakse silmas pseudonüümitud andmeid ehk isikut ei ole võimalik otseselt tuvastada. Sama sätte lõige 3 on suunatud isiku tuvastamist võimaldavate andmete töötlemisele. Kavandatud eelnõu § 6 lõike 4 valguses jääb arusaamatuks, millistel juhtudel tuleb saada enne andmetöötlust eetikakomitee või selle puudumisel AKI kooskõlastus. Kui VTK eesmärk on olnud, et kooskõlastus tuleb saada vaid isikut otseselt tuvastaval viisil toimuvate isikuandmete töötlusega, siis väljapakutud eelnõu sõnastusest see mõte nii selgelt välja ei tule. Lähtudes IKÜM-ist ja selle rakendamiseks antud juhistest loetakse pseudonüümitud andmed isikuandmeteks, mistõttu tuleks lõikes 4 sätestatud kooskõlastus saada mõlemal juhul, mida ilmselt mõeldud ei ole. Seetõttu tuleks seaduse eelnõu sätetes kindlasti selgelt välja tuua, mis juhul tuleb täiendavad hinnangud saada, et võimalikud tõlgendused ei tekitaks ka edaspidi segadust. Hinnangute saamisel võiks kaaluda ja lähtuda nö lihtsast ja keerukamast protsessist ja teha selged erisused, kas ja kuna on lisahinnangud vajalikud ja kuna mitte. Lisaks ei ole VTK-st aru saada, miks on eristatud eetikute ja AKI hindamisvajadust lähtuvalt läbiviija isikust (erasektor, kohalik omavalitsus ja täidesaatva riigivõimu asutus). Toetame võimalust kus pseudonüümimisel kehtivad lihtsustatud nõuded kuid tõsi, see eeldab põhimõtete läbimõtlemist, millest nähtub, kes ja kuna peaks pseudonüümimise erinevate

2

andmeandjate vahel tagama või näiteks pseudonüümi looma. Kindlasti toetame turvaliste andmetöötluskeskkondade loomist ja kasutamist, sest selle poole püüdevad nii andmehalduse määrus kui ka tulevikus rakendatavaks muutuv Euroopa terviseandmeruumi määrus, mis jõustus 2025.a märtsis. Viimase kohaselt tuleb tagada, et andmetöötluskeskkond on sertifitseeritud ja sellist keskkonda võivad pakkuda erinevad isikud, nii era- kui avalik sektor. Seetõttu peab regulatsioon olema paindlik, võimaldades kasutada lähtuvalt eesmärgist või olukorrast kas Statistikaameti, Tervise ja Heaolu Infosüsteemide Keskuse, mõne ülikooli või erasektori andmetöötluskeskkonda. Oluline, et kasutatakse just sertifitseeritud keskkondi, kus keskkonna pakkuja tagab kolmanda isikuna kindlate nõuete täitmise. Soovime turvaliste andmetöötluskeskkondade regulatsiooni loomist IKS-is. Seoses eetikakomiteedega toetame lähenemist kus eetikakomitee peaks olema asutatud kas seaduses või selle alusel antud õigusaktiga, vastasel korral võib selle asutada uuringu läbiviija ise ning puuduvad nõuded läbipaistvaks ja objektiivseks menetluseks. Erinevate versioonide valguses (lisa 1–4) tuleks veelkord kaaluda, millistel juhtudel tuleb eetikakomitee hinnang saada. Seni on eetikakomitee hinnang olnud oluline erasektori vaatest eelkõige eriliigiliste andmete töötlemisel, kavandatud eelnõu lisa 1 kohaselt tuleks see läbida alati kui töödeldakse isikuandmeid. Täidesaatva riigivõimu uuringutel ja analüüsidel kehtis erinevaid tõlgendusi. Ühelt poolt tuleks arvestada eetikakomiteedele ja teadusuuringutele kaasnevat koormust, teisalt uuringute sisulist erinevust. Oleme selles osas palunud arvamust ka ministeeriumi juures tegutsevalt uuringueetika komiteelt, kelle hinnangul tuleks nö lihtsamad uuringud vabastada ka eetikakomitee hindamisest. Ka need põhimõtted tuleks eetikutega üheskoos täpsustada. Võimalik, et kõik uuringud kus on isikustatud andmete töötlus, ei kujuta sellist mõju, et läbida alati eetiline hindamine. Kui edaspidi on eesmärgiks allutada eriliigiliste isikuandmete töötlemise asemel eetikute hindamisele kõik uuringud, peaks iga uuring – sealhulgas ka üldhariduskoolides läbiviidavad lihtsamad küsitlused – läbima eetikakomitee menetluse. Selline lähenemine võib koormata ebaproportsionaalselt nii teadustöö algtasemel tegijaid kui ka menetlevaid asutusi ilma, et see otseselt töötluses midagi muudaks. Teise variandi puhul, kus tavalised teadusuuringud allutataks eetikakomitee hinnangule ja asutuste poliitika kujundamise uuringud jääksid ainult AKI kontrolli alla, võib tekkida olukord, kus kogenud ja atesteeritud teadustöötaja, kes töötab akrediteeritud teadusasutuses, peab läbima põhjaliku eetikakomitee menetluse, samal ajal kui täidesaatva riigivõimu või kohaliku omavalitsuse tellitud uuringu puhul piirdutakse ainult andmekaitsealase hindamisega. Kaaludes kooskõlastustest loobumist, tuleks hinnata teisi riske tasandavaid meetmeid. Lihtsustatud menetlus kus loobutakse AKI või eetikute hinnangust, võiksid tulla kõne alla näiteks uuringu lisamine kindlasse uuringute keskkonda või konkreetse asutuse teavitamine uuringu tegemisest. See võib olla oluline, kui arvestada millised andmebaasid isikuandmetest tekkida võivad ja kui kaua neis andmeid hoitakse. Tasub meelde tuletada, et pseudonüümitud andmetöötluse korral jääb tuvastusrisk alles ja sõltuvalt andmete kogumist, võib see olla väga erinev. Tekkida võivad ka üsna suured kaudse tuvastusriskiga andmebaasid. Menetlusökonoomia oleks saavutatav ka viisil kus töötlus ei tule eelnevalt kooskõlastada, sest see viiakse läbi sertifitseeritud kolmanda osapoole töötluskeskkonnas, selle läbiviimisest teavitatakse kindlat asutust või lisatakse see näiteks üles ühtsesse uuringute keskkonda. Alternatiive on tasakaalu otsimisel erinevaid. Kindlasti tuleks sätestada teatud nõuded läbivalt, sõltumata sellest, kes on uuringu tegijaks. Nii näiteks on täidesaatva riigivõimu uuringu juures toodud eraldi välja, et pseudonüümitud ja koondatud andmed tuleb teatud ajal kustutada kuid muudel juhtudel mitte. Sellised selged normid tõstavad uuringu läbiviija teadlikkust ja tagavad ühtse praktika. Ühtlasi teeme ettepaneku, arvestada käesoleva VTK järgselt seaduse eelnõus inimgeeniuuringute seaduse muudatustega (eelnõu esitatakse kooskõlastamiseks mais-juunis), milles sätestatakse teatud erisused geneetiliste andmete töötlejatele. Võimalik, et selline erisus sobitub käesoleva VTK sisu järgi ka IKS-i, täpsustades nõudeid eriliigiliste andmetega. Palume seda kaaluda. Lisaks eelnevale, palume käsitleda eelnõu raames täpsemalt VTK-s põgusalt kajastatud küsimust tuues, et andmete väljastamise või mitteväljastamise otsuse teinud andmekogu

3

vastutav töötleja annab haldusakti ning AKI ja eetikakomitee tingimuste kontroll on toiming. Teeme ettepaneku kaaluda analüüsi ja uuringu andmete väljastamise protsessis osalevate osapoolte (AKI, eetikakomitee, andmekogu vastutav töötleja) pädevuste selgemat piiritlemist, kuna tänane protsess ei ole lõpuni läbipaistev (nt milline on VTK-s mainitud andmekogu vastutava töötleja haldusakti kontrolliese jms). Kehtiva regulatsiooni üks ebaselgeid osi ongi olnud vähene menetlusosaliste arusaam, milline organ otsustab andmete väljastamise. Rollide ja kooskõlastuste selguse juures palume käsitleda ka juhtu, kus näiteks praktikas hindab AKI ka selliste uuringute nõusolekute sisu kus andmete korje põhineb isiku nõusolekul ja justkui normi järgi ei kuuluks see etapp kooskõlastamisele. Eelnõus võiks ka selles osas selguse luua. Oleme e-tervise strateegias seadnud sihiks andmete kättesaadavaks tegemise kiirendamise. Muutunud ühiskond ootab ja vajab teaduspõhiseid teadmisi, innovatiivseid lahendusi ning andmepõhiseid otsuseid üha kiiremini. Tervisevaldkonna erinevate sektorite esindajad on viidanud vajadusele lihtsustada ja kiirendada andmete teiseseks kasutuseks väljastamise protsesse. Uuringutaotluste menetlemise protsessi muutmisel võiks arvesse võtta ka vajadust lühendada menetluseks kuluvat aega. See võib olla eri tüüpi taotluste puhul erinev sõltuvalt selle keerukusest. Läbivalt tuleks üle vaadata kooskõlastamise tähtaeg, sest ühel juhul on see AKI puhul toodud, teisel juhul mitte. Sellist selgust vajaksid aga kõik osapooled, sõltumata uuringu tegijast. Juhime ühtlasi tähelepanu, et kui täidesaatva riigivõimu uuringutes peab AKI vajalikuks küsida eetikakomiteelt arvamust, siis küsib ta seda Riigikogu menetluses oleva teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse (TAIKS) §-s 26 nimetatud eetikakomiteelt. Toetame igal juhul Eestis ühtse eetikakomitee suunda (sh koos selle alla kuuluvate valdkondlike alamkomiteedega), koondades eriseadustes olevad eetikakomiteed olemuslikult TAIKS-i alla. See tähendab omakorda, et eriseadustes olevad eetikakomiteed tuleks lõpetada, vastasel juhul toimub topeltkontroll (nt tervise infosüsteem, geenivaramu jne). Hetkel oleme täiendanud inimgeeniuuringute eelnõuga meie valdkondliku eetikakomiteede regulatsiooni, laiendades selles senise ministeeriumi juures tegutseva eetikakomitee pädevusi ka teistele tervisealastele andmekogudele. Seda on võimalik loomulikult muuta koos IKS-i eelnõuga kui on kindel, et VTK-s käsitletud kontseptsioon jääb pidama – üks uks, üks komitee, üks selge menetlusprotsess ja üks arvamus. Viimane on seotud ka ühise menetluskeskkonnaga. Saame aru, et Statistikaamet on tellinud analüüsi, mis võimaldab kavandatava lahenduse rakendumisel kõiki riigi infosüsteemi kuuluvate andmekogude andmeväljastustaotlusi menetleda ühes keskkonnas ning annab analüüsi käigus nõuded ja ootused teadusuuringutes kasutatavatele turvalistele andmetöötluskeskkondadele. Statistikaameti info kohaselt on analüüs tänaseks lõppenud ning lahendus väljatöötamisel. Seega tuleks eetikakomiteede kontseptsioon tervikuna üle vaadata. Lugupidamisega (allkirjastatud digitaalselt) Karmen Joller sotsiaalminister Nele Nisu [email protected]