| Dokumendiregister | Justiitsministeerium |
| Viit | 10-4/4625-4 |
| Registreeritud | 06.06.2025 |
| Sünkroonitud | 09.06.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 10 Õiguspoliitika alase tegevuse korraldamine |
| Sari | 10-4 Kirjavahetus asutuste ja isikutega |
| Toimik | 10-4/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Andmekaitse Liit |
| Saabumis/saatmisviis | Eesti Andmekaitse Liit |
| Vastutaja | Ly Pärenson3 |
| Originaal | Ava uues aknas |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Edastan Eesti Andmekaitse Liidu vastuse Euroopa Kosmisjoni ettepanekule muuta IKÜMi.
Lugupidamisega,
Marit Saaretalu
Eesti Andmekaitse Liit
juhatuse liige
Justiits- ja Digiministeerium Eesti Andmekaitse Liit
Teie: 28.05.2025 nr 10-4/4625-1
Meie: 06.06.2025
Lp Kristi Värk
Täname Justiits- ja Digiministeeriumit Eesti Andmekaitse Liidu kaasamise eest. Esitame siinkohal meie
tagasiside isikuandmete kaitse üldmääruse muutmise ettepanekule.
Eesti Andmekaitse Liit peab kõige olulisemaks, et Euroopa Komisjon arvestab isikuandmete kaitse
üldmääruse algse mõttega1 ehk muudatustega peab olema tagatud füüsiliste isikute andmete ja eraelu
kaitse. Digitaalmaailma ohud ei ole võrreldes 2016. a vähenenud füüsilistele isikutele, vastupidi.
Seejuures ei tohiks ka lõhkuda toimivat isikuandmete andmehaldusmudelit poliitilise agenda survel.
Euroopa Liidu tugevus on inimõiguste ja vabaduste kaitse.
Järgnevalt on esitatud Eesti Andmekaitse Liidu tagasiside isikuandmete kaitse üldmääruse muutmise
ettepanekule:
Euroopa Komisjoni poolt esitatud ettepanek: „IKÜMi vaatest puudutab määruse artiklit 30, milles on
sätestatud, et iga vastutav töötleja ja volitatud töötleja peab pidama töötlemistoimingute registrit ning
millist teavet see register peaks sisaldama. Samuti on artiklis toodud tingimused, millal seda kohustust
täitma ei pea. Komisjoni ettepaneku eesmärk on laiendada kõnealuse artikli kohast erandi
kohaldamisala, muutes andmete töötlemise toimingute registreerimise kohustuslikuks üksnes juhul,
kui töötlemistoimingud kujutavad endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
vabadustele. Selle erandi kasutamine osutuks võimalikuks organisatsioonidele, kus on vähem kui 750
töötajat.“
- Eesti Andmekaitse Liidu poolt peame vajalikuks välja tuua, et isikuandmete töötlemise
toimingute registreerimine on saanud osaks tänapäevaste digiteenuste jm äriprotsesside
kaardistamisest. Tänapäeval on normaalne, et ettevõtjad teavad/peavad teadma, mis
andmed (vara) neil on, mida selle varaga tehakse, mis alusel ja kuidas on see vara kaitstud.
Isikuandmete töötlemise toimingute register on siin olnud oluline ja tänuväärne abivahend
ettevõtetele, et mh tagada infoturve ning täita nt ISO 27001 jm standardite nõudeid.
Ettevõtte töötajate arv ei ole määrav, oluline on info/andmete kaitse. Lisaks on Euroopa
Liidu põhiõiguste hartas sätestatud eraelu ja perekonnaelu ning isikuandmete kaitse
tagamise kohustused. Isikuandmete töötlemise toimingute registreerimiskohustus on
esmane ja oluline kohustus, mis tegelikkuses tagab just nende põhiõiguste hartas esitatud
õiguste realiseerimist ja kaitset reaalses elus.
Artikkel 7
Era- ja perekonnaelu austamine
„Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu, kodu ja edastatavate
sõnumite saladust.“
Artikkel 8
Isikuandmete kaitse
„1. Igaühel on õigus oma isikuandmete kaitsele.
2. Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja
asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on
õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.3. Nende
sätete täitmist kontrollib sõltumatu asutus.“
- Komisjoni ettepanek loob olukorra, kus iga ettevõte peab viima läbi nüüd isikuandmete
töötlemise toimingute registri pidamise asemel andmekaitsealaseid mõjuhinnanguid.
Andmekaitsealane mõjuhinnang on see riskihalduse vahend, mille alusel saab selgeks, kas
tegemist on kõrge riskiga andmetöötlustoiminguga. Kas töötlemistoimingud kujutavad
endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele? Nendele
küsimustele vastamine nõuab eraldi hindamist, sest vastus küsimustele sõltub alati
konkreetsest kontekstist (nt mis andmeliigid, ulatuses, kus andmed asuvad jne). Seetõttu
on muudatus arusaamatu, sest isikuandmete töötlemistoimingute ja riskide haldus
muutub mahukamaks ja keerulisemaks praktikas ning andmetöötlejate vastutus nö
laieneb, sest igaks-juhuks on vaja nüüd täiendavalt hinnata ohte ja riske, et tõendada enda
hindamise kohustuste täitmist.
- Kui kaob ära isikuandmete töötlemisetoimingute registri pidamise kohustus ettevõtetel,
kus on vähem kui 750 töötajat, siis kuidas saavad need ettevõtted üldse täita oma
kohustust ja hinnata, kas neil on kõrge riskiga andmetöötlused – kui nad ei tea, mis
andmetöötlusprotsessid neil üldse on? See tähendab seda, et selleks, et ettevõte saaks
oma kohustust täita, peab ta ikkagi pidama isikuandmete töötlemise toimingute registrit,
sest muidu ei ole ettevõttel infot, millised on need kõrge riskiga
äriprotsessid/andmetöötlustoimingud, mida ettevõte läbi viib ja mille osas on registri
pidamine siis kohustuslik. Ehk tegelikkuses lisaks eelpool väljatoodud lisa mõjuhinnangu
läbiviimise vajadusele, ei kao tegelikkuses registri pidamise vajadus ettevõtetel.
Kokkuvõtvalt oleme seisukohal, et Euroopa Komisjoni ettepanek ei arvesta reaalseid olusid
andmehalduses ja ettevõtete halduskoormus hoopis kasvab, sest lisaks isikuandmete
töötlemistoimingute registrile on nüüd tarvis vaja veel tõendada riskide hindamise läbiviimist füüsiliste
isikute õigustele ja vabadustele ning ettevõtete dokumentatsioon ja halduskulud hoopis kasvavad.
Oleme valmis kõiki eeltoodud punkte Eesti Andmekaitse liidu poolt täiendavalt selgitama.
Lugupidamisega
Marit Saaretalu
Eesti Andmekaitse Liit
Juhatuse liige
Justiits- ja Digiministeerium Eesti Andmekaitse Liit
Teie: 28.05.2025 nr 10-4/4625-1
Meie: 06.06.2025
Lp Kristi Värk
Täname Justiits- ja Digiministeeriumit Eesti Andmekaitse Liidu kaasamise eest. Esitame siinkohal meie
tagasiside isikuandmete kaitse üldmääruse muutmise ettepanekule.
Eesti Andmekaitse Liit peab kõige olulisemaks, et Euroopa Komisjon arvestab isikuandmete kaitse
üldmääruse algse mõttega1 ehk muudatustega peab olema tagatud füüsiliste isikute andmete ja eraelu
kaitse. Digitaalmaailma ohud ei ole võrreldes 2016. a vähenenud füüsilistele isikutele, vastupidi.
Seejuures ei tohiks ka lõhkuda toimivat isikuandmete andmehaldusmudelit poliitilise agenda survel.
Euroopa Liidu tugevus on inimõiguste ja vabaduste kaitse.
Järgnevalt on esitatud Eesti Andmekaitse Liidu tagasiside isikuandmete kaitse üldmääruse muutmise
ettepanekule:
Euroopa Komisjoni poolt esitatud ettepanek: „IKÜMi vaatest puudutab määruse artiklit 30, milles on
sätestatud, et iga vastutav töötleja ja volitatud töötleja peab pidama töötlemistoimingute registrit ning
millist teavet see register peaks sisaldama. Samuti on artiklis toodud tingimused, millal seda kohustust
täitma ei pea. Komisjoni ettepaneku eesmärk on laiendada kõnealuse artikli kohast erandi
kohaldamisala, muutes andmete töötlemise toimingute registreerimise kohustuslikuks üksnes juhul,
kui töötlemistoimingud kujutavad endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
vabadustele. Selle erandi kasutamine osutuks võimalikuks organisatsioonidele, kus on vähem kui 750
töötajat.“
- Eesti Andmekaitse Liidu poolt peame vajalikuks välja tuua, et isikuandmete töötlemise
toimingute registreerimine on saanud osaks tänapäevaste digiteenuste jm äriprotsesside
kaardistamisest. Tänapäeval on normaalne, et ettevõtjad teavad/peavad teadma, mis
andmed (vara) neil on, mida selle varaga tehakse, mis alusel ja kuidas on see vara kaitstud.
Isikuandmete töötlemise toimingute register on siin olnud oluline ja tänuväärne abivahend
ettevõtetele, et mh tagada infoturve ning täita nt ISO 27001 jm standardite nõudeid.
Ettevõtte töötajate arv ei ole määrav, oluline on info/andmete kaitse. Lisaks on Euroopa
Liidu põhiõiguste hartas sätestatud eraelu ja perekonnaelu ning isikuandmete kaitse
tagamise kohustused. Isikuandmete töötlemise toimingute registreerimiskohustus on
esmane ja oluline kohustus, mis tegelikkuses tagab just nende põhiõiguste hartas esitatud
õiguste realiseerimist ja kaitset reaalses elus.
Artikkel 7
Era- ja perekonnaelu austamine
„Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu, kodu ja edastatavate
sõnumite saladust.“
Artikkel 8
Isikuandmete kaitse
„1. Igaühel on õigus oma isikuandmete kaitsele.
2. Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja
asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Igaühel on
õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.3. Nende
sätete täitmist kontrollib sõltumatu asutus.“
- Komisjoni ettepanek loob olukorra, kus iga ettevõte peab viima läbi nüüd isikuandmete
töötlemise toimingute registri pidamise asemel andmekaitsealaseid mõjuhinnanguid.
Andmekaitsealane mõjuhinnang on see riskihalduse vahend, mille alusel saab selgeks, kas
tegemist on kõrge riskiga andmetöötlustoiminguga. Kas töötlemistoimingud kujutavad
endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele? Nendele
küsimustele vastamine nõuab eraldi hindamist, sest vastus küsimustele sõltub alati
konkreetsest kontekstist (nt mis andmeliigid, ulatuses, kus andmed asuvad jne). Seetõttu
on muudatus arusaamatu, sest isikuandmete töötlemistoimingute ja riskide haldus
muutub mahukamaks ja keerulisemaks praktikas ning andmetöötlejate vastutus nö
laieneb, sest igaks-juhuks on vaja nüüd täiendavalt hinnata ohte ja riske, et tõendada enda
hindamise kohustuste täitmist.
- Kui kaob ära isikuandmete töötlemisetoimingute registri pidamise kohustus ettevõtetel,
kus on vähem kui 750 töötajat, siis kuidas saavad need ettevõtted üldse täita oma
kohustust ja hinnata, kas neil on kõrge riskiga andmetöötlused – kui nad ei tea, mis
andmetöötlusprotsessid neil üldse on? See tähendab seda, et selleks, et ettevõte saaks
oma kohustust täita, peab ta ikkagi pidama isikuandmete töötlemise toimingute registrit,
sest muidu ei ole ettevõttel infot, millised on need kõrge riskiga
äriprotsessid/andmetöötlustoimingud, mida ettevõte läbi viib ja mille osas on registri
pidamine siis kohustuslik. Ehk tegelikkuses lisaks eelpool väljatoodud lisa mõjuhinnangu
läbiviimise vajadusele, ei kao tegelikkuses registri pidamise vajadus ettevõtetel.
Kokkuvõtvalt oleme seisukohal, et Euroopa Komisjoni ettepanek ei arvesta reaalseid olusid
andmehalduses ja ettevõtete halduskoormus hoopis kasvab, sest lisaks isikuandmete
töötlemistoimingute registrile on nüüd tarvis vaja veel tõendada riskide hindamise läbiviimist füüsiliste
isikute õigustele ja vabadustele ning ettevõtete dokumentatsioon ja halduskulud hoopis kasvavad.
Oleme valmis kõiki eeltoodud punkte Eesti Andmekaitse liidu poolt täiendavalt selgitama.
Lugupidamisega
Marit Saaretalu
Eesti Andmekaitse Liit
Juhatuse liige
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|