| Dokumendiregister | Rahandusministeerium |
| Viit | 1.1-10.1/2496-3 |
| Registreeritud | 19.06.2025 |
| Sünkroonitud | 20.06.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 ÜLDJUHTIMINE JA ÕIGUSALANE TEENINDAMINE |
| Sari | 1.1-10.1 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega (Arhiiviväärtuslik) |
| Toimik | 1.1-10.1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Artur Lundalin (Rahandusministeerium, Kantsleri vastutusvaldkond, Finants- ja maksupoliitika valdkond, Maksu- ja tollipoliitika osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Jürgen Ligi Rahandusministeerium [email protected]
Teie 28.05.2025 nr 1.1-10.1/2496-1 Meie 18.06.2025 nr 2.3-5/25/1728-2
Arvamus maksukohustuslaste registri põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse 7.
märtsi 2019. a määruse nr 21 „Maksukohustuslaste registri põhimäärus“ muutmise määruse
eelnõu.
Meil ei ole esitatud eelnõu osas tähelepanekuid, küll aga toome välja mõned peamised
tähelepanekud kehtiva põhimääruse osas.
1. Esmalt peame vajalikuks rõhutada, et igasugune isikuandmete töötlemine (sh säilitamine)
riivab põhiseaduse §-s 26 sätestatud õigust eraelu puutumatusele. Põhiseaduse § 11 järgi
tohib õigusi ja vabadusi piirata üksnes kooskõlas põhiseadusega. See aga tähendab, et
niisugune piirang peab olema kooskõlas põhiseaduse § 3 esimese lausega, mille kohaselt
teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seadusete alusel.
Selle põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused
langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes
vähemintensiivseid põhiõiguste piiranguid. Sealjuures peab seaduses sisalduv volitusnorm
olema täpne, selge ja vastavuses piirangu intensiivsusega. See aga tähendab, et ka kõik
andmekogu puudutavad olulised küsimused, milleks kindlasti on andmekogu pidamise
eesmärk, töödeldavate isikuandmete liigid, andmete säilitamise tähtajad (vähemalt
maksimaalne säilitustähtaeg), peavad olema reguleeritud seaduse tasandil. Kehtiv
maksukorralduse seaduses (MKS) olev volitusnorm kõiki andmekogu pidamist
puudutavaid olulisis küsimusi ei sisalda (nt puuduvad andmete säilitamise tähtajad).
Siinjuures juhime tähelepanu sellele, et maksukohustuslaste registri (MKR) põhimääruse
§ 63 lõige 4 näeb ette, et andmekogusse kogutud andmed hävitatakse nende säilitamise
tähtaja möödumisele järgneva kalendriaasta jooksul. Siinkohal on seaduse volitusnormis
andmete säilitamise maksimaalse tähtaja kehtestamisel oluline silmas pidada, et kui
andmete maksimaalne säilitustähtaeg on näiteks kolm kalendriaastat alates andmete
registrisse kandmisest ja need tuleb hävitada järgneva kalendriaasta jooksul, siis ei saa
volitusnormis olev andmete säilitamise maksimaalne tähtaeg olla kolm aastat. Andmete
hävitamata jätmine kohe pärast tähtaja saabumist tähendab nende edasist töötlemist, kuid
seda siis juba ilma õigusliku aluseta.
2. Samuti märgime, et AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses sätestada muu
hulgas andmekogusse andmete andjad. Andmekogude juhendis (lk 13–14) on toodud
loetelu andmekogu pidamise olulistest küsimustest, mida tuleks põhimäärusega
reguleerida. Üheks oluliseks küsimuseks on andmete allikad ehk millistest andmekogudest
või kelle käest (millistelt andmeandjatelt) andmeid saadakse. Seeläbi määratakse tegelikult
2 (3)
kindlaks ka see, millised on andmekogu unikaalsed põhiandmed. Nimelt keelab AvTS §
433 lõige 2 asutada ühtede ja samade andmete kogumiseks eraldi andmekogusid, mis
tähendab, et kui samu andmeid kogutakse juba mõnda teise andmekogusse põhiandmetena,
siis tuleks kasutada seal olevaid andmeid ja mitte neid isikutelt uuesti koguda.
MKR põhimääruse § 58 lõige 1 loetleb MKR andmeallikad, milleks muu hulgas on ka
teised riigi infosüsteemi kuuluvad andmekogud, ning kust sama paragrahvi lõike 2 järgi
laekuvad andmed ka MKR isikuandmeid sisaldavasse üldandmete andmestikku. Samas ei
nähtu põhimäärusest, millistest konkreetsetest andmekogudest MKR andmeid saab ning
milliseid andmeid. Selles osas vajab põhimäärus kindlasti täiendamist.
3. MKS § 17 lõike 3 järgi on MKR vastutavaks töötlejaks Maksu- ja Tolliamet. Andmekogu
volitatud töötlejaid puudutavad sama paragrahvi kaks lõiget – lõiked 31 ja 32, millest
esimese järgi on rahaliste kohustuste üle arvestuse pidamisel ja nende täitmise
korraldamisel andmekogu volitatud töötlejaks Riigi Tugiteenuste Keskus, kohus ja
prokuratuur ning teise lõike järgi määratakse registri volitatud töötlejad põhimääruses.
MKR põhimääruse § 72 lõike 2 järgi on registri volitatud töötlejaks asutus või isik, kellel
on seadusest tulenev alus andmetele juurdepääsuks ning kellega Maksu- ja Tolliamet on
sõlminud lepingu andmete töötlemiseks.
AvTS § 434 lõike 1 järgi on andmekogul vastutav töötleja (haldaja), kes korraldab
andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab andmekogu
haldamise seaduslikkuse ja andmekogu arendamise eest. Sama paragrahvi lõige 2 annab
andmekogu vastutavale töötlejale õiguse volitada edasi andmete töötlemist ja andmekogu
majutamist teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule
juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava
töötleja poolt ettenähtud ulatuses. Seega AvTS-st tulenevalt peab igal andmekogul olema
vastutav töötleja ehk haldaja, kes korraldab andmekogu kasutusele võtmist, teenuste ja
andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja andmekogu
arendamise eest.
Seoses andmekogu volitatud töötlejatega on inspektsioon andmekogude juhendis (lk 13)
selgitanud, et andmekogu volitatud töötleja võib olla nii vastutava töötleja kontrolli all
tegutsev andmekogu igapäevane haldaja kui ka teenuste osutaja (nt andmekogu majutaja
või arendaja). Et aga tööjaotus ja vastutus andmekogu töötlejate vahel oleks selge, on
mõistlik vastavalt tegelikule tööjaotusele kirjeldada, kes mida teeb (nt kes haldab
kasutajaõigusi, kes vastab päringutele, kes andmekogu arendab ja rahastab jne).
MKR vastutava ja volitatud töötleja tööjaotus on toodud põhimääruse §-s 73, mille lõige 2
loetleb volitatud töötleja ülesanded, milleks muu hulgas on andmekogu hooldamine ja
majutamine, intsidentide käsitlemine ja lahendamine, andmete säilitamise korraldamine ja
varukoopiate tegemine ehk kokkuvõtvalt võiks öelda, et tegemist on pigem andmekogu
majutaja ülesannetega. Ilmselt ei täida aga neid ülesandeid MKS §-s 17 loetletud muud
volitatud töötlejad – Riigi Tugiteenuste Keskus, kohus ja prokuratuur, mistõttu ei ole
tegelikult ka selge, millist osa need volitatud töötlejad andmekogu pidamisel on kohustatud
täitma.
Küll aga võivad eelnimetatud asutused koos andmekogu vastutava töötlejaga olla
isikuandmete töötlemisel kaasvastutavad töötlejad. Andmekaitse Inspektsioon on
varasemalt andmekogudega seoses juhtinud tähelepanu sellel, et andmekogude puhul tuleb
eristada isikuandmete töötlemise vastutavat ja volitatud töötlejat ning andmekogu
vastutavat töötlejat ja volitatud töötlejat, sh nende rollidega seotud kohustusi. Kui
andmekogu vastutava töötleja ülesanded on seotud andmekogu pidamisega, siis IKÜM
näeb isikuandmete (kaas)vastavale töötlejale ette mitmeid kohustusi just seoses
3 (3)
isikuandmete töötlemisega. IKÜM artikkel 28 lõige 1 näeb ette, et kui kaks või enam
vastutavat töötlejat määravad ühiselt (või on seda nende eest teinud ametlikult juba
seadusandja) kindlaks isikuandmete töötlemise eesmärgid ja vahendid, siis on nad
isikuandmete töötlemisel kaasvastutavad töötlejad.
Kaasvastutavate töötlejate vastutuse määramisel isikuandmete töötlemisel tuleb eelkõige
arvesse võtta andmesubjektide õiguste kasutamist ja teabe andmise kohustusi. Lisaks peaks
vastutuse jaotus hõlmama muid vastutava töötleja kohustusi, näiteks seoses üldiste
andmekaitsepõhimõtete, õigusliku aluse, turvameetmete, andmetega seotud rikkumisest
teatamise kohustuse, andmekaitse mõjuhinnangute, volitatud töötlejate kasutamise,
kolmandate riikide andmete edastamise ning andmesubjektide ja järelevalveasutusega
suhtlemisega. Kuigi IKÜM kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku
vormi ei täpsusta, soovitab Euroopa Andmekaitsenõukogu õiguskindluse huvides ning
läbipaistvuse ja vastutuse tagamiseks sellise kokkuleppe sõlmida siduva dokumendina,
näiteks lepingu või muu liidu või liikmesriigi õiguse kohase õiguslikult siduva aktina,
millele vastutavad töötlejad on allutatud.
Eelnevaga seoses tuleks andmekogu põhimääruses välja tuua vastutava ja volitatud töötleja
ülesanded ja kohustused seoses andmekogu pidamisega ning määrata rollid ning tuua välja
kohustused, mis puudutavad andmekogus isikuandmete töötlemist.
Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Terje Enula
627 4144
|
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Jürgen Ligi Rahandusministeerium [email protected]
Teie 28.05.2025 nr 1.1-10.1/2496-1 Meie 18.06.2025 nr 2.3-5/25/1728-2
Arvamus maksukohustuslaste registri põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks Vabariigi Valitsuse 7.
märtsi 2019. a määruse nr 21 „Maksukohustuslaste registri põhimäärus“ muutmise määruse
eelnõu.
Meil ei ole esitatud eelnõu osas tähelepanekuid, küll aga toome välja mõned peamised
tähelepanekud kehtiva põhimääruse osas.
1. Esmalt peame vajalikuks rõhutada, et igasugune isikuandmete töötlemine (sh säilitamine)
riivab põhiseaduse §-s 26 sätestatud õigust eraelu puutumatusele. Põhiseaduse § 11 järgi
tohib õigusi ja vabadusi piirata üksnes kooskõlas põhiseadusega. See aga tähendab, et
niisugune piirang peab olema kooskõlas põhiseaduse § 3 esimese lausega, mille kohaselt
teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seadusete alusel.
Selle põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused
langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes
vähemintensiivseid põhiõiguste piiranguid. Sealjuures peab seaduses sisalduv volitusnorm
olema täpne, selge ja vastavuses piirangu intensiivsusega. See aga tähendab, et ka kõik
andmekogu puudutavad olulised küsimused, milleks kindlasti on andmekogu pidamise
eesmärk, töödeldavate isikuandmete liigid, andmete säilitamise tähtajad (vähemalt
maksimaalne säilitustähtaeg), peavad olema reguleeritud seaduse tasandil. Kehtiv
maksukorralduse seaduses (MKS) olev volitusnorm kõiki andmekogu pidamist
puudutavaid olulisis küsimusi ei sisalda (nt puuduvad andmete säilitamise tähtajad).
Siinjuures juhime tähelepanu sellele, et maksukohustuslaste registri (MKR) põhimääruse
§ 63 lõige 4 näeb ette, et andmekogusse kogutud andmed hävitatakse nende säilitamise
tähtaja möödumisele järgneva kalendriaasta jooksul. Siinkohal on seaduse volitusnormis
andmete säilitamise maksimaalse tähtaja kehtestamisel oluline silmas pidada, et kui
andmete maksimaalne säilitustähtaeg on näiteks kolm kalendriaastat alates andmete
registrisse kandmisest ja need tuleb hävitada järgneva kalendriaasta jooksul, siis ei saa
volitusnormis olev andmete säilitamise maksimaalne tähtaeg olla kolm aastat. Andmete
hävitamata jätmine kohe pärast tähtaja saabumist tähendab nende edasist töötlemist, kuid
seda siis juba ilma õigusliku aluseta.
2. Samuti märgime, et AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses sätestada muu
hulgas andmekogusse andmete andjad. Andmekogude juhendis (lk 13–14) on toodud
loetelu andmekogu pidamise olulistest küsimustest, mida tuleks põhimäärusega
reguleerida. Üheks oluliseks küsimuseks on andmete allikad ehk millistest andmekogudest
või kelle käest (millistelt andmeandjatelt) andmeid saadakse. Seeläbi määratakse tegelikult
2 (3)
kindlaks ka see, millised on andmekogu unikaalsed põhiandmed. Nimelt keelab AvTS §
433 lõige 2 asutada ühtede ja samade andmete kogumiseks eraldi andmekogusid, mis
tähendab, et kui samu andmeid kogutakse juba mõnda teise andmekogusse põhiandmetena,
siis tuleks kasutada seal olevaid andmeid ja mitte neid isikutelt uuesti koguda.
MKR põhimääruse § 58 lõige 1 loetleb MKR andmeallikad, milleks muu hulgas on ka
teised riigi infosüsteemi kuuluvad andmekogud, ning kust sama paragrahvi lõike 2 järgi
laekuvad andmed ka MKR isikuandmeid sisaldavasse üldandmete andmestikku. Samas ei
nähtu põhimäärusest, millistest konkreetsetest andmekogudest MKR andmeid saab ning
milliseid andmeid. Selles osas vajab põhimäärus kindlasti täiendamist.
3. MKS § 17 lõike 3 järgi on MKR vastutavaks töötlejaks Maksu- ja Tolliamet. Andmekogu
volitatud töötlejaid puudutavad sama paragrahvi kaks lõiget – lõiked 31 ja 32, millest
esimese järgi on rahaliste kohustuste üle arvestuse pidamisel ja nende täitmise
korraldamisel andmekogu volitatud töötlejaks Riigi Tugiteenuste Keskus, kohus ja
prokuratuur ning teise lõike järgi määratakse registri volitatud töötlejad põhimääruses.
MKR põhimääruse § 72 lõike 2 järgi on registri volitatud töötlejaks asutus või isik, kellel
on seadusest tulenev alus andmetele juurdepääsuks ning kellega Maksu- ja Tolliamet on
sõlminud lepingu andmete töötlemiseks.
AvTS § 434 lõike 1 järgi on andmekogul vastutav töötleja (haldaja), kes korraldab
andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab andmekogu
haldamise seaduslikkuse ja andmekogu arendamise eest. Sama paragrahvi lõige 2 annab
andmekogu vastutavale töötlejale õiguse volitada edasi andmete töötlemist ja andmekogu
majutamist teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule
juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava
töötleja poolt ettenähtud ulatuses. Seega AvTS-st tulenevalt peab igal andmekogul olema
vastutav töötleja ehk haldaja, kes korraldab andmekogu kasutusele võtmist, teenuste ja
andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja andmekogu
arendamise eest.
Seoses andmekogu volitatud töötlejatega on inspektsioon andmekogude juhendis (lk 13)
selgitanud, et andmekogu volitatud töötleja võib olla nii vastutava töötleja kontrolli all
tegutsev andmekogu igapäevane haldaja kui ka teenuste osutaja (nt andmekogu majutaja
või arendaja). Et aga tööjaotus ja vastutus andmekogu töötlejate vahel oleks selge, on
mõistlik vastavalt tegelikule tööjaotusele kirjeldada, kes mida teeb (nt kes haldab
kasutajaõigusi, kes vastab päringutele, kes andmekogu arendab ja rahastab jne).
MKR vastutava ja volitatud töötleja tööjaotus on toodud põhimääruse §-s 73, mille lõige 2
loetleb volitatud töötleja ülesanded, milleks muu hulgas on andmekogu hooldamine ja
majutamine, intsidentide käsitlemine ja lahendamine, andmete säilitamise korraldamine ja
varukoopiate tegemine ehk kokkuvõtvalt võiks öelda, et tegemist on pigem andmekogu
majutaja ülesannetega. Ilmselt ei täida aga neid ülesandeid MKS §-s 17 loetletud muud
volitatud töötlejad – Riigi Tugiteenuste Keskus, kohus ja prokuratuur, mistõttu ei ole
tegelikult ka selge, millist osa need volitatud töötlejad andmekogu pidamisel on kohustatud
täitma.
Küll aga võivad eelnimetatud asutused koos andmekogu vastutava töötlejaga olla
isikuandmete töötlemisel kaasvastutavad töötlejad. Andmekaitse Inspektsioon on
varasemalt andmekogudega seoses juhtinud tähelepanu sellel, et andmekogude puhul tuleb
eristada isikuandmete töötlemise vastutavat ja volitatud töötlejat ning andmekogu
vastutavat töötlejat ja volitatud töötlejat, sh nende rollidega seotud kohustusi. Kui
andmekogu vastutava töötleja ülesanded on seotud andmekogu pidamisega, siis IKÜM
näeb isikuandmete (kaas)vastavale töötlejale ette mitmeid kohustusi just seoses
3 (3)
isikuandmete töötlemisega. IKÜM artikkel 28 lõige 1 näeb ette, et kui kaks või enam
vastutavat töötlejat määravad ühiselt (või on seda nende eest teinud ametlikult juba
seadusandja) kindlaks isikuandmete töötlemise eesmärgid ja vahendid, siis on nad
isikuandmete töötlemisel kaasvastutavad töötlejad.
Kaasvastutavate töötlejate vastutuse määramisel isikuandmete töötlemisel tuleb eelkõige
arvesse võtta andmesubjektide õiguste kasutamist ja teabe andmise kohustusi. Lisaks peaks
vastutuse jaotus hõlmama muid vastutava töötleja kohustusi, näiteks seoses üldiste
andmekaitsepõhimõtete, õigusliku aluse, turvameetmete, andmetega seotud rikkumisest
teatamise kohustuse, andmekaitse mõjuhinnangute, volitatud töötlejate kasutamise,
kolmandate riikide andmete edastamise ning andmesubjektide ja järelevalveasutusega
suhtlemisega. Kuigi IKÜM kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku
vormi ei täpsusta, soovitab Euroopa Andmekaitsenõukogu õiguskindluse huvides ning
läbipaistvuse ja vastutuse tagamiseks sellise kokkuleppe sõlmida siduva dokumendina,
näiteks lepingu või muu liidu või liikmesriigi õiguse kohase õiguslikult siduva aktina,
millele vastutavad töötlejad on allutatud.
Eelnevaga seoses tuleks andmekogu põhimääruses välja tuua vastutava ja volitatud töötleja
ülesanded ja kohustused seoses andmekogu pidamisega ning määrata rollid ning tuua välja
kohustused, mis puudutavad andmekogus isikuandmete töötlemist.
Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Terje Enula
627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Arvamuse avaldamine Vabariigi Valitsuse 7. märtsi 2019. a määruse nr 21 „Maksukohustuslaste registri põhimäärus“ muutmise eelnõule | 11.06.2025 | 1 | 1.1-10.1/2496-2 | Sissetulev kiri | ram | Riigi Infosüsteemi Amet |
| Vabariigi Valitsuse 7. märtsi 2019. a määruse nr 21 „Maksukohustuslaste registri põhimäärus“ muutmine | 28.05.2025 | 15 | 1.1-10.1/2496-1 | Õigusakti eelnõu | ram |