Dokumendiregister | Andmekaitse Inspektsioon |
Viit | 2.3-5/25/1781-2 |
Registreeritud | 06.06.2025 |
Sünkroonitud | 09.06.2025 |
Liik | Väljaminev kiri |
Funktsioon | 2.3 Õigusalane korraldamine |
Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
Toimik | 2.3-5/2025 |
Juurdepääsupiirang | Avalik |
Juurdepääsupiirang | |
Adressaat | Välisministeerium |
Saabumis/saatmisviis | Välisministeerium |
Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Perit Soininen Välisministeerium [email protected]
Teie 13.05.2025 nr 15.1-2/3225 Meie 06.06.2025 nr 2.3-5/25/1781-2
Arvamus eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks välisministri 23. mai
2016. a määruse nr 3 „Välisriikide ja rahvusvaheliste organisatsioonide esinduste, rahvusvaheliste
organisatsioonide ja rahvusvahelise kokkuleppega loodud institutsioonide ning nende
isikkoosseisu andmekogu põhimäärus“ muutmise määruse eelnõu.
Meil esitatud eelnõu osas järgmised tähelepanekud.
1. Eelnõu § 1 punktiga 1 muudetakse välisriikide ja rahvusvaheliste organisatsioonide
esinduste, rahvusvaheliste organisatsioonide ja rahvusvahelise kokkuleppega loodud
institutsioonide ning nende isikkoosseisu andmekogu (edaspidi VEIS) kehtiva
põhimääruse preambulis viidet volitusnormile, viidates lisaks välissuhtlemisseaduse
(VäSS) § 9 lõike 14 punktis 3 toodud alusele ka isikut tõendavate dokumentide seaduse
(ITDS) § 153 lõikele 1. Seletuskirjas antud selgituste järgi on viitamine ITDS sättele
vajalik, kuna andmekogu üks osa on diplomaatilise isikutunnistuse andmekogu.
Samas ITDS § 153 lõige 1 viitab diplomaatilise passi ja diplomaatilise isikutunnistuse
andmekogule, mille põhimääruse kehtestab valdkonna eest vastutava ministrina
välisminister. Välisministri 7. augustil 2017. a vastu võetud määrus nr 6
„Konsulaarametniku ametitoimingute ja diplomaatiliste passide andmekogu pidamise
kord“ reguleerib aga andmekogu CONSUL pidamist. Sealjuures nähtub andmekogusse
kantavate andmete koosseisust, et sinna kantakse andmed nii diplomaatilise passi kui
diplomaatilise isikutunnistuse kohta. Seega on tegemist eraldiseisva andmekoguga, mis ei
ole VEIS osaks. Sealjuures näeb CONSUL põhimääruse § 37, mis reguleerib
andmekogudevahelist andmevahetust, ette diplomaatilise isikutunnistuse kasutaja
andmete edastamist VEIS. Seega jääb selgusetuks viitamine ITDS-le. Lisaks märgime, et
kui CONSUL-st toimub andmete edastamist VEIS, siis on CONSUL puhul pigem tegemist
VEIS-le andmeandjaga.
AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses muu hulgas sätestada andmete
allikad ehk millistest andmekogudest või millistelt andmeandjatelt andmeid saadakse.
Läbi selle määratakse ka kindlaks, millised on mingi andmekogu unikaalsed põhiandmed.
Nimelt näeb AvTS § 436 lõige 2 ette, et andmete töötlemisel, mida kogub põhiandmetena
teine riigi infosüsteemi kuuluv andmekogu, tuleb aluseks võtta vastava teise andmekogu
põhiandmed. Seega, kui CONSUL sisaldab andmeid, mida edastatakse VEIS, siis tuleks
VEIS põhimäärusesse lisada andmeandjana CONSUL ning tuua välja edastatav
andmekoosseis.
2 (3)
2. Eelnõu § 1 punktiga 16 muudetakse põhimääruse § 11, mis reguleerib andmekogusse
kantud andmete säilitamist. Muudatuse järgi kuuluvad alalisele säilitamisele muu hulgas
esinduse töötaja (sh perekonnaliikme) perekonnanimi ja eesnimi, mille puhul on tegemist
isikuandmetega.
Samas ei näe VäSS § 113 ette isikuandmete alalist säilitamist. Nimetatud paragrahvi lõike
5 järgi säilitatakse andmekogusse kantud isikuandmeid (milleks on ka esinduse töötaja ja
tema perekonnaliikme perekonnanimi ja eesnimi) kuni 20 aastat arvates andmekogusse
kandmisest ning pärast säilitustähtaja möödumist antakse andmed arhiiviseaduse alusel
avalikku arhiivi või hävitatakse.
VäSS muutmise ja sellega seonduvalt teiste seaduste muutmise seadus 385 SE
seletuskirjas on selgitatud, et kuna isikuandmete töötlemine on põhiõiguste riive, on see
toodud seaduse tasandile. Sätetes, mis puudutavad andmekogusid, milles töödeldakse
isikuandmeid, on nimetatud töödeldavate isikuandmete kategooriad ja volitusnorm
täitevvõimule andmete täpsema koosseisu määramiseks andmekogu põhimääruses.
Andmekogude puhul, kus töödeldakse isikuandmeid, on seaduse tasandil kehtestatud ka
andmete maksimaalne säilitustähtaeg. Seega ei näe seadusandja isikuandmete
säilitamiseks ette pikemat säilitustähtaega kui 20 aastat, mille saabumisel tuleb andmed
anda kas avalikku arhiivi või hävitada.
3. Lisaks nähtub põhimääruse § 4 lõikest 2, et andmekogu koosseisu kuuluvad digitaalsed
registrikaardid ja alusdokumentide toimikud. Põhimääruse § 11 lõike 4 järgi säilitatakse
andmekogusse kantud andmete alusdokumente vastavalt vastutava töötleja asjaajamises
kehtestatud säilitamistähtajani, mille lõppemise järel antakse need kas avalikku arhiivi või
otsustatakse nende hävitamine. Ilmselt puudub vajadus säilitada andmekogusse kantud
andmete alusdokumente kauem, kui andmekogusse kantud andmeid. Samas ei selgu
põhimäärusest, kui kaua tegelikult isikuandmeid sisaldavaid alusdokumente, mis on
andmekogu osaks, tohib säilitada.
4. Põhimääruse § 11 lõike 1 järgi arhiveeritakse esinduse töötaja, tema perekonnaliikme ja
koduabilise ning aukonsuli andmed akrediteeringu ja muude toimingute lõppemisel ning
neid andmeid säilitatakse arhiivis seitse aastat. Sama paragrahvi lõike 3 järgi
aktiveeritakse arhiveeritud andmed, kui isik akrediteeritakse uuesti Eestisse. Samas ei ole
selge, kas andmete aktiveerimine tähendab andmete andmekogusse kandmist, millest
hakkab kulgema andmetele uus säilitamise tähtaeg või jätkub säilitustähtaja kulgemine
andmete esmasest kandmisest andmekogusse.1
5. Andmete logimist reguleerib kehtiva põhimääruse § 10, mille lõike 2 järgi säilitatakse
logisid andmekogus vähemalt kolm aastat, kuid mitte kauem kui neli aastat kande
tegemisest arvates. Siinjuures peame vajalikuks selgitada, et logid sisaldavad
isikuandmeid, mistõttu tuleb nende säilitamiseks määrata konkreetne tähtaeg. Ilmselgelt
ei anna selliselt sõnastatud tähtaeg andmekogu vastutavale töötlejale selget teavet selle
kohta, kui kaua tohib logisid säilitada. Palume andmekogusse kantud andmete säilitamise tähtajad kindlasti üle vaadata.
1 Näiteks, kui isik on olnud akrediteeritud 10 aastat. Akrediteeringu lõppemisel kantakse tema andmed arhiivi, kus
neid tuleb säilitada seitse aastat (kokku 17 aastat). Kuuendal aastal aga akrediteeritakse isik uuesti ning tema
andmed aktiveeritakse. Seega on tema andmeid andmekogusse kandmisest alates säilitatud kokku 16 aastat. VäSS-st
tulenevalt on isikuandmete maksimaalne säilitamise tähtaeg aga 20 aastat, mis tähendab, et neli aastat pärast
akrediteerimist tuleks isiku andmed kas arhiveerida või hävitada.
3 (3)
6. Lisaks juhime tähelepanu sellele, et kehtiva põhimääruse § 15 lõike 1 kohaselt teostab
andmekogu pidamise üle järelevalvet Riigi Infosüsteemide Keskus. AvTS § 45 lõike 1
punkti 3 kohaselt teostab teabevaldajate üle riiklikku ja haldusjärelevalvet nende poolt
andmekogude asutamisel, kasutuselevõtmisel, pidamisel, ümberkorraldamisel ja
lõpetamisel Andmekaitse Inspektsioon. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Terje Enula
627 4144
Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
---|