| Dokumendiregister | Kultuuriministeerium |
| Viit | 1-11/563-23 |
| Registreeritud | 20.06.2025 |
| Sünkroonitud | 23.06.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 1 Ministeeriumi ja valitsemisala tegevuse planeerimine ja juhtimine |
| Sari | 1-11 Ministeeriumi poolt ettevalmistatud seaduseelnõud ja memorandumid |
| Toimik | 1-11/2025 Ministeeriumi poolt ettevalmistatud seaduseelnõudega seotud dokumendid |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Külli Siim (KULTUURIMINISTEERIUM, Õigus- ja haldusosakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Kultuuriministeerium [email protected]
Teie 15.05.2025 nr 1-11/563-1 Meie 20.06.2025 nr 2.3-4/25/1559-2
Arvamuse avaldamine eelnõule (Rahvaraamatukogu seadus) Täname, et saatsite Andmekaitse Inspektsioonile (AKI) arvamuse avaldamiseks
rahvaraamatukogu seaduse (RaRS) eelnõu. Meil on edastatud eelnõu osas järgmised
tähelepanekud.
AKI arvates tuleb eelnõu isikuandmete töötlemise osas hoolikalt üle vaadata ja täpsustada nii
seaduse regulatsiooni kui ka seletuskirja. Vajadusel on AKI valmis andma allpool esitatud
märkuste osas täiendavaid selgitusi ka kohtumisel.
1. RaRS-i isikuandmete töötlemise regulatsioon 1.1. Lugeja vs külastaja
Eelnõu § 16 lõike 1 kohaselt saab raamatukogu teenuseid kasutada igaüks, va RaRS § 21 lõigetes
6 ja 7 nimetatud juhtudel (kui lugejalt on ära võetud väljaannete ja esemete kojulaenutamise õigus
või lugejale või külastajale on kehtestatud ajutine keeld rahvaraamatukokku siseneda). Sellest võib
järeldada, et kõiki raamatukogu teenuseid saab kasutada iga isik, sõltumata sellest, kas ta on
registreeritud kasutaja (lugeja) või mitte (külastaja). Seejuures näeb eelnõu § 15 ette erisuse
raamatukogu lugeja ja külastaja vahel. Seletuskirjas on täpsustatud, et lugeja saab kasutada
selliseid rahvaraamatukogu teenuseid, mis eeldavad isiku tuvastamist (näiteks kojulaenutus) ning
külastaja saab kasutada rahvaraamatukogu isikustamata teenuseid (näiteks väljaannete kohapeal
kasutamine). Ehk sisuliselt on registreerimata külastaja saadavate teenuste maht piiratud, mida aga
seadusest välja lugeda ei ole võimalik. Seletuskirjal ei ole õigust loovat funktsiooni, mistõttu ei
saa sellega seaduse sätetes määratud õigusi kitsendada.
Lugeja ja külastaja eristamine on oluline mitte ainult kasutatavate teenuste määratlemisel, vaid ka
isikuandmete töötlemisel. Nagu on eespool toodud, kasutab külastaja isikustamata teenuseid ehk
kui isik ei soovi isikustatud teenust, ei pea ta ennast tuvastama. Eelnõu § 18 lõige 1 ühtlasi sätestab,
et rahvaraamatukogu teenuste osutamiseks töödeldakse ainult lugeja isikuandmeid, külastaja osas
tuleb isikuandmete töötlemine kõne alla vaid vastutuse kontekstis, st kui esineb eelnõu § 21 lõikes
7 viidatud olukord. Siinkohal on oluline märkida, et eelnõu § 21 lõige 7 näeb ette, et rikkumine
peab olema korduv, mis tähendab, et esmakordsel rikkumisel ei tekki õigust külastaja isikut
tuvastada. Selgusetuks seega jääb, kuidas siis tuvastada korduvrikkumist, arvestades, et
esmarikkumise fikseerimine ei ole võimalik, kuna rikkujat ei tohi tuvastada.
2 (8)
Isegi juhul, kui seadus näeks ette isiku tuvastamist esmarikkumisel, jääb siiski arusaamatuks,
kuidas reaalelus tagada eelnõu § 21 lõikes 7 ettenähtud külastamise õiguse piiramist, arvestades,
et üldjuhul ei tohi külastaja isikuandmeid töödelda. Selleks, et tuvastada, et tegemist on
külastamise piiranguga inimesega, peaks kõiki külastajaid tuvastama, milleks aga seaduses
õiguslikku alust ei ole, mh ei tundu kõikide külastajate õiguste riive proportsionaalne, lähtuvalt
kasust, mida potentsiaalselt toob kaasa eelnõu § 27 lõikes 7 ettenähtud sanktsiooni rakendamine.
Seletuskirjas on öeldud, et erinevalt lugeja andmetest ei hakata külastaja isikuandmeid töötlema
eelnõuga asutatavas raamatukogude andmekogus. Kuna vajadus külastaja isikuandmete töötlemise
järele on eeldatavasti väga harv, ei ole mõistlik nende töötlemiseks andmekogusse eraldi lahendust
luua ning kõnealuseid andmeid töödeldakse asjaomase rahvaraamatukogu
dokumendihaldussüsteemis või mujal vastavalt selle rahvaraamatukogu suhtes kohalduvatele
teabehalduse korraldust reguleerivatele aktidele ja juhenditele. Seejuures tekib küsimus, kas ja
kuidas on reguleeritud külastajate isikuandmete säilitamine. Märgime, et isikuandmete säilitamise
tähtaeg peab olema sätestatud seaduses ka siis, kui andmeid ei koguta andmekogusse.
Ühtlasi, vaadates raamatukogude andmekogu põhimääruse kavandi § 2 lõiget 2, selgub, et
külastaja isikuandmete töötlemine on üks andmekogu pidamise eesmärk. Jääb arusaamatuks, kas
ja millistel juhtudel külastaja isikuandmed kantakse andmekogusse.
1.2. Eriliigilised isikuandmed
Eelnõu § 18 lõige 3 näeb ette, et puudega isikule avalike teenuste osutamiseks võib
rahvaraamatukogu töödelda andmeid isiku puude liigi ja kestuse kohta, sh küsida tõendeid. AKI
märgib, et sätte sõnastuse pinnalt jääb arusaamatuks, mida peetakse silmas avalike teenuste all.
Kui tegemist on rahvaraamatukogu teenustega, siis nii peab ka sättes ütlema.
Seletuskiri ei seleta lahti nimetatud sätte eesmärki, vaid ainult viitab kehtivale regulatsioonile.
Kehtiv regulatsioon lisati seadusesse isikuandmete kaitse seaduse rakendamise seaduse eelnõuga,
mille seletuskirja kohaselt on täiendavalt seaduse tasandile toodud võimalus küsida isiku
terviseandmeid puudega isikule raamatukogu teenuse osutamiseks. Rahvaraamatukogu seaduse §
15 lõike 6 kohaselt korraldab raamatukogu elanikele, kes terviseseisundi tõttu ei ole võimelised
raamatukogu külastama, nende soovil tasuta koduteeninduse. Terviseandmete küsimine võimaldab
seda sätet realiseerida, raamatukogu peab veenduma, et isikul on tulenevalt puudest õigus
eriteenuseid saada. Tegemist on puhtalt koduteenuse osutamisega (koduteeninduse vajadus).
Samas eelnõu § 18 lõige 2 punkti 6 kohta on seletuskirjas selgitatud, et rahvaraamatukogu ei küsi
selle teenuse osutamiseks konkreetseid terviseandmeid (st mis põhjusel koduteenindust täpselt
vajatakse), kuid koduteeninduse vajaduse kohta tehakse lugeja andmete juurde märge.
Seletuskirjas on öeldud, et kuna koduteenindust pakutakse just tervislikust seisundist tulenevalt,
tähendab ka taolise märke olemasolu vähemalt kaudselt isiku terviseandmete töötlemist. Ehk
sellest võib järeldada, et rahvaraamatukogu ei küsi tõendeid konkreetse puue kohta, vaid lähtub
koduteenuse vajaduse määramisel puhtalt isiku enda ütlustest. Seega jääb arusaamatuks ja
küsitavaks eelnõu § 18 lõikes 3 nimetatud terviseandmete kogumise eesmärk.
Eelnõu § 18 lõige 2 ei näe ette eestkoste kohta andmete töötlemist. Kuidas tuvastatakse, et
3 (8)
inimesele on eestkoste määratud? Kas isik peab esitama eestkoste määramist tõendava
kohtuotsuse? Eestkoste määramise fakt võib iseenesest viidata isiku terviseprobleemidele, seega
võib olla tegemist eriliigiliste andmetega.
1.3. Isikuandmete kontrollimine
Eelnõu § 17 lõige 5 punkt 1 sätestab, et lugejalt võib nõuda väljaande või eseme kojulaenutamisel
tagatist kuni selle hinna kümnekordses suuruses, kui tema rahvastikuregistrisse kantud elukoht ei
ole Eestis. Lugeja elukoha andmete saamine rahvastikuregistrist ei ole aga eelnõuga ette nähtud.
Andmekogu põhimääruse järgi lugeja andmed kannab andmekogusse lugeja ise e-kataloogi
veebiliidese kaudu või tema taotlusel raamatukogu töötaja otse andmekogusse. Andmevahetust
reguleerivas põhimääruse kavandi §-s 25 ei ole samuti ette nähtud, et rahvastikuregister peaks
isiku registreeritud elukoha andmeid edastama. Seega on selgusetu, kuidas ja mille alusel toimub
eelnõu § 17 lõike 5 punktis 1 nimetatud tingimuse (mis eeldab päringut rahvastikuregistrisse)
kontrollimine.
Eelnõu § 18 lõike 5 kohaselt lugeja andmete õigsust kontrollitakse kord aastas rahvaraamatukogu
külastusel. Samas lugeja andmed kustutatakse kolme aasta pärast juhul, kui isik ei külasta
raamatukogu. Seega võib isik käia raamatukogus korra kolme aasta jooksul. Kuidas siis sellisel
juhul toimib andmete õigsuse kontroll?
Omaette küsimus on seadusliku esindaja andmete kontrollimine. Kui alaealine käib raamatukogus
ise, kas siis tema esindaja andmed kontrollitakse alaealise ütluste järgi (alaealine ei pruugi vanema
kontaktid peast teadma) või jäävad esindaja andmed kontrollimata?
1.4. Kontaktandmete kasutamise eesmärgid
Eelnõu § 19 lõige 1 annab rahvaraamatukogule õiguse edastada lugejale tema esitatud
postiaadressile, telefoninumbrile või elektronposti aadressile meeldetuletusi ja muud lugejat
puudutavat teavet, sealhulgas rahulolu- ja tagasisideküsitlusi. Seletuskirjas on selle kohta öeldud,
et eraldi on nimetatud rahulolu- ja tagasisideküsitlusi, et oleks selge, et ka nende edastamine on
kõnealuse õigusega hõlmatud ega eelda lugejalt nõusoleku küsimist. Selliste küsitluste
perioodiline korraldamine on vajalik lugejate kaasamiseks rahvaraamatukogu teenuste
arendamisesse ja teenuste kõrge kvaliteedi tagamiseks. Rahvaraamatukogu õigusega taoliste
küsitluste kohta teavet edastada ei kaasne lugeja kohustust küsitlustes osaleda.
Juhul, kui isiku kontaktandmete kasutamise eesmärgiks on isikute täiendav teavitamine ja
küsitluste korraldamine, peab sellise õiguse kehtestamine olema põhjalikult kaalutud ja vajalik.
AKI leiab, et eelnõus ei ole sellist vajadust veenvalt põhjendatud. Juhul, kui isikutega eelnimetatud
eesmärkidel ühenduse võtmine siiski kehtestada, on see võimalik ainult juhul, kui isik on andnud
selleks nõusoleku ning ka siis peab isikule jääma võimalus nõusolek igal ajal tagasi võtta. Palume
eelnõu vastavalt muuta.
1.5. Lugeja andmete kustutamine
Vastavalt eelnõu § 18 lõikele 6 isikuandmeid ei kustutata, kui lugejal on rahvaraamatukogu ees
täitmata kohustusi. Nimetatud juhul säilitatakse isikuandmeid kuni kohustuste täitmiseni.
Eelnõuga on ette nähtud aegumine 10. aasta jooksul, andmete kustutamist reguleeriv säte aga lubab
4 (8)
säilitada andmeid põhimõtteliselt igavesti (võlgnevus ei pruugi olla kunagi tasutud), mis ei ole
IKÜMi kohaselt aktsepteeritav.
Sama paragrahvi lõige 7 näeb ette, et seadusliku esindaja andmed kustutatakse lugeja isikuandmete
kustutamisel või esindusõiguse lõppemisel. Seejuures jääb arusaamatuks, kas nt juhul, kui
alaealisel lugejal on tekkinud võlgnevus, mis ei ole tema täisealiseks saamise hetkel tasutud, siis
jätkatakse ka seadusliku esindaja andmete säilitamist kuni lõikes 6 nimetatud tähtaja saabumiseni
või määravaks on esindusõiguse kadumine sõltumata võlgnevuse olemasolust. Seejuures eelnõu
21 § lõike 11 kohaselt vastutab viivituse eest seaduslik esindaja, mis on mh kooskõlas üldise
võlaõigusliku vastutuse ja tsiviilõiguse regulatsiooniga. Seega on selgusetu, kuidas toimub nii
alaealise kui esindaja andmete säilitamine juhul, kui esineb eelnõu § 18 lõikes 6 sätestatud olukord
(arvestades, et alaealine lugeja ise võlgnevuse eest ei vastuta, ei ole eelnõu loogika järgi justnagu
alust tema andmete säilitamiseks).
1.6. Automaatne haldusmenetlus
Eelnõu § 22 lubab seaduses ettenähtud haldusmenetluse läbi viia infosüsteemi vahendusel
elektrooniliselt, ilma ametniku või töötaja vahetu sekkumiseta (automaatne haldusmenetlus).
Lõikes 2 on sätestatud, et automaatses haldusmenetluses antud haldusaktis ei märgita haldusorgani
juhi või tema volitatud isiku nime ja allkirja, kuid selles märgitakse, et tegemist on automaatse
haldusaktiga, ning haldusorgani kontaktandmed. Lõikes 3 on öeldud, et automaatses
haldusmenetluses sooritatud toimingu juures on selgitus, et tegemist on automaatse toiminguga, ja
teave vahetu isikliku kontakti õiguse kohta kohaliku omavalitsuse üksuse või rahvaraamatukogu
ametniku või töötajaga.
AKI arvates ei taga selline regulatsioon andmesubjektile piisavat kaitset. IKÜM põhjenduspunktis
71 on selgitatud, et igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid,
mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule
kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast
sellist hindamist, ning õigust seda otsust vaidlustada. Selline meede ei tohiks puudutada last.
Lisaks on põhjenduspunktis 71 märgitud, et automatiseeritud otsuste tegemine ja profiilianalüüs
konkreetsete isikuandmete liikide põhjal peaks olema lubatud ainult eritingimustel. AKI hinnangul
vajab automaatse haldusmenetluse regulatsioon täiendamist. Sätte peaks ette nägema paremat
andmesubjekti õiguste kaitset, sh peab seaduse tasandil olema sätestatud, et automatiseerituid
otsuseid ei tohi vastu võtta alaealiste suhtes. Lisaks peab seadus kohustama andma
andmesubjektile konkreetsemat teavet, sh viidet konkreetsele isikule, kellega saab andmesubjekt
vajadusel otseselt ühendust võtta. Tagatud peab olema ka õigus väljendada oma seisukohta, õigus
saada selgitust otsuse kohta ning õigust seda otsust vaidlustada.
2. Andmekogu põhimääruse regulatsioon
2.1. Andmekogu eesmärgid
Rahvaraamatukogu seaduse eelnõu (eelnõu) § 29 näeb ette Eesti Rahvusraamatukogu seaduse
(ERRS) muutmise. Muudatuste punktiga 16 täiendatakse seadust andmekogu puudutava 1.1
peatükiga (§-d 7³–7⁷).
ERRS § 7³ lõige 2 sätestab andmekogu pidamise eesmärgi, milleks vastavalt punktile 5 on ka
5 (8)
riikliku statistika tegemine. Samas jääb selgusetuks, mida on silmas peetud riikliku statistika
tegemise all. Üldjuhul peetakse riikliku statistika all silmas riikliku statistika seaduses (RStS)
sätestatut ehk tegemist on kvantitatiivse, kvalitatiivse, kokkuvõtliku ja üldistava teabega, mis
iseloomustab massnähtust vaatlusaluses kogumis ja mis saadakse riikliku statistika programmi või
programmivälise statistikatöö raames andmete statistilise töötlemise tulemusena. RStS § 6 järgi
on riikliku statistika tegijateks Statistikaamet ja Eesti Pank. Ilmselt on siiski silmas peetud
statistikat, mis on vajalik raamatukogude tegevuse korraldamiseks. Palume eelnõu selles osas
täpsustada.
Andmekogu eesmärk on sätestatud ka eelnõule lisatud andmekogu põhimääruse kavandi §-s 2,
mis on aga laiem, kui seaduse volitusnormis toodud eesmärk. Näiteks on põhimääruses ühe
eesmärgina toodud lugejatele ja külastajatele teenuste osutamine, kuid volitusnorm sellist
eesmärki ei kajasta. Andmekaitse Inspektsioon on andmekogude juhendis selgitanud, et
andmekogu eesmärk peab olema seaduses selgelt sätestatud, kuna see on volitusnormi tuum.
Vajalik on, et volitusnorm annaks vastuse küsimusele, millisel konkreetsel eesmärgil ja milliste
ülesannete täitmiseks andmekogu asutatakse. AvTS § 43¹ lõike 1 ja § 43³ lõike 1 järgi on
andmekogu riigi, kohaliku omavalitsuse, avalikõigusliku juriidilise isiku või muu avalikke
ülesandeid täitva isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse
seaduse või selle alusel antud õigusaktiga ja selles sätestatud ülesannete täitmiseks. Seega peab
andmekogu asutamise aluseks olevast seadusest ehk seaduse volitusnormist tulenema andmekogu
loomise konkreetne eesmärk ehk avalik ülesanne, mille täitmiseks andmekogu luuakse ning seda
ei tohiks muuta madalama taseme õigusaktiga.
2.2. Andmekogu põhimääruse struktuur
Eelnõule lisatud põhimääruse kavandi ülevaatamisel hakkas silma, et andmekogu põhimäärus
erineb oma ülesehituselt ja struktuurilt paljude teiste andmekogude põhimäärustest ning ei ole
seetõttu ka niivõrd selge ja üheselt arusaadav kui võiks.
Kogemusele tuginedes võib märkida, et enamike andmekogude põhimäärused järgivad enam-
vähem väljakujunenud struktuuri, mis algab üldsätetega, kus käsitletakse andmekogu asutamist,
eesmärki ja määratletakse selle nimetus, samuti tuuakse selgelt välja vastutav ja volitatud töötleja
ning loeteluna mõlema ülesanded eraldi. Seejärel järgmise peatükina käsitletakse andmekogu
ülesehitust ja andmete tähendust, kus tuuakse eraldi paragrahvidena välja andmekogu ülesehitus,
andmete kaitse ehk millist turvaklassi kohaldatakse jms ning andmete õigluslik tähendus (kas on
õigust loov vms). Sellele järgneb peatükk andmeandjatest ja andmete esitamisest ning andmete
koosseisust, töötlemisest ja logimisest, kus saab juba konkreetselt välja tuua, kes on andmekogusse
andmete esitajad, milliseid andmeid ja mis koosseisus nad seda teevad, kuidas nad seda teevad,
kes ja millistel alustel ning tingimustel andmeid andmekogust saavad (kellele ja kuidas andmed
väljastatakse ning ligipääsud). Samuti kuidas toimub andmete andmekogusse kandmine,
muutmine ja parandamine, logimine ning kui on mingid juurdepääsu erisused, siis käsitletakse
neid (nt ligipääs isikustatud andmetele). Lisaks reguleeritakse põhimääruses seda, kuidas andmeid
säilitatakse, arhiveeritakse ja kustutatakse. Viimaks aga antakse ülevaade, kuidas toimub
andmekogu üle järelevalve, selle rahastamine ja lõpetamine.
Mõistagi sõltub täpne struktuur ja detailsus konkreetse andmekogu iseloomust ja keerukusest, ent
üldjoontes võib ülesehitust sellisena kirjeldada. Esitatud määruse eelnõus on küll eelpool
nimetatud aspektid enam-vähem käsitletud, kuid nagu märgitud, siis ei ole seda tehtud selge
6 (8)
ülesehituse ja struktuuriga, sealjuures puudub põhimääruses ammendav ja selge loetelu
andmekogusse kogutavatest andmetest. Paljude andmekogude põhimääruste puhul n-ö tavaks
saanud struktuur võimaldaks kiiremat ja selgemat ülevaadet saada, mis andmekoguga on tegu,
miks seda vaja on, milliseid andmeid sinna kogutakse, kes neid esitavad ning kes andmekogust
andmeid saavad. Andmekogu põhimääruse eesmärk ongi just luua selgust ja läbipaistvust. Palume
kaaluda andekogu põhimääruse struktuuri selgemaks ning jälgitavamaks muutmist.
2.3. Andmekogu vastutav töötleja
ERRS §-ga 7⁴ määratakse andmekogu vastutav töötleja. Sätte tekstist aga nähtub, et määratakse
andmekogu kaasvastutavad töötlejad. Seletuskirjas on märgitud, et säte puudutab raamatukogude
andmekogu vastutavat töötlejat ja täiendavalt on selgitatud, et andmekogul on kaks kaasvastutavat
töötlejat – Kultuuriministeerium (KuM) ja Rahvusraamatukogu (RaRa) ning kaasvastutavate
töötlejate vastutusvaldkonnad määratakse kindlaks andmekogu põhimääruses.
Esmalt peame vajalikuks selgitada, et andmekogudega seonduvat reguleerib avaliku teabe seadus
(AvTS). AvTS § 43⁴ lõike 1 järgi on andmekogul vastutav töötleja (haldaja), kes korraldab
andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab andmekogu
haldamise seaduslikkuse ja andmekogu arendamise eest. Sama paragrahvi lõige 2 annab
andmekogu vastutavale töötlejale õiguse volitada edasi andmete töötlemist ja andmekogu
majutamist teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule juriidilisele
isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja poolt
ettenähtud ulatuses. Seega AvTS-st tulenevalt peab igal andmekogul olema vastutav töötleja ehk
haldaja, kes korraldab andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab
andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest. Iseenesest ei ole välistatud,
et andmekogul võib olla mitu vastutavat töötlejat, kes täidavad andmekogu pidamisel erinevaid
ülesandeid, kuid seda eeldusel, et iga vastutav töötleja ka tegelikult vastutava töötleja funktsioone
täidab. Seega, et andmekogu pidamisel oleks tööjaotus ja vastutus andmekogu töötlejate vahel
selge, tuleks põhimääruses ülesandeid kirjeldadagi vastavalt tegelikule tööjaotusele ehk
põhimäärusest peab nähtuma nii vastutavate töötlejate omavaheline kui ka andmekogu vastutava
ja volitatud töötleja vaheline tööjaotus.
Siinjuures tuleb aga lahus hoida AvTS-st tuleneva andmekogu vastutava töötleja roll ja
andmekogus olevate isikuandmete töötlemisel isikuandmete kaitse üldmäärusest (IKÜM) tulenev
vastutava töötleja roll. Kuna AvTS ei tunne andmekogude pidamise osas sellist mõistet nagu
kaasvastutav töötleja, siis jääbki selgusetuks, millist rolli kaasvastava töötleja puhul antud juhul
silmas on peetud. AKI on varasemalt andmekogudega seoses juhtinud tähelepanu sellel, et
andmekogude puhul tuleb eristada isikuandmete töötlemise vastutavat töötlejat ja andmekogu
vastutavat töötlejat, sh rollidega seotud kohustusi. Kui andmekogu vastutava töötleja ülesanded on
seotud andmekogu pidamisega, siis IKÜM näeb isikuandmete vastavale töötlejale ette mitmeid
kohustusi just seoses isikuandmete töötlemisega.
IKÜM artikli 26 lõige 1 näeb ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt (või
on seda nende eest teinud ametlikult juba seadusandja) kindlaks isikuandmete töötlemise
eesmärgid ja vahendid, siis on nad kaasvastutavad töötlejad. Kaasvastutavate töötlejate vastutuse
määramisel isikuandmete töötlemisel tuleb eelkõige arvesse võtta andmesubjektide õiguste
kasutamist ja teabe andmise kohustusi. Lisaks peaks vastutuse jaotus hõlmama muid vastutava
töötleja kohustusi, näiteks seoses üldiste andmekaitsepõhimõtete, õigusliku aluse, turvameetmete,
7 (8)
andmetega seotud rikkumisest teatamise kohustuse, andmekaitse mõjuhinnangute, volitatud
töötlejate kasutamise, kolmandate riikide andmete edastamise ning andmesubjektide ja
järelevalveasutusega suhtlemisega. Kuigi IKÜM kaasvastutavate töötlejate vahelise kokkuleppe
õiguslikku vormi ei täpsusta, soovitab Euroopa Andmekaitsenõukogu õiguskindluse huvides ning
läbipaistvuse ja vastutuse tagamiseks sellise kokkuleppe sõlmida siduva dokumendina, näiteks
lepingu või muu liidu või liikmesriigi õiguse kohase õiguslikult siduva aktina, millele vastutavad
töötlejad on allutatud. Antud juhul saaks selleks olla andmekogu põhimäärus.
Eelnõule lisatud põhimääruse kavandi § 4 reguleerib KuM ja RaRa ülesandeid. Põhimäärusest
nähtuvalt on KuM ülesanded peamiselt seotud andmekogu pidamise reguleerimise, eesmärkide ja
pidamise viiside määratlemise, finantseerimise, arenduste prioriteetide kinnitamise, andmekogu
regulatsioonidega seotud vaidluste ja kaebuste lahendamise ning järelevalvega. RaRa andmekogu
vastutava töötlejana juhib aga andmekogu pidamist ja korraldab arendamist, vastutab andmekogu
pidamise eest õigusaktides sätestatud nõuete järgi, määrab andmekogu volitatud töötleja, sh sõlmib
andmekogu pidamisega seotud lepinguid (sh arenduslepinguid), määrab andmekogu turvanõuded
jne. Lisaks täidab ka IKÜM-st tulenevaid isikuandmete vastutava töötleja kohustusi. Seega võib
kokkvõtvalt märkida, et tegelikult täidab RaRa nii andmekogu vastutava töötleja kui ka IKÜM-st
tuleneva isikuandmete vastutava töötleja ülesandeid, erinevalt KuM-st, mis tegelikult
põhimäärusest tulenevalt andmekogu vastutava töötleja funktsiooni ei täida. Seega jääb ka
selgusetuks KuM lisamine põhimäärusesse (kaas)vastutava töötlejana. Pigem on põhimääruse
järgi ministeeriumi rolliks andmekogu pidamise reguleerimine õigusloomega ja andmekogu
pidamise finantseerimine ning seda saab ministeerium enda haldusalas oleva andmekogu puhul
teha niigi, sh teha järelevalvet teenistusliku järelevalve kaudu.
2.4. Isikuandmete säilitamine
Andmete säilitamist reguleerib põhimääruse kavandi § 24, mille lõike 2 järgi säilitatakse
andmekoguga liitunud muu raamatukogu lugejate isikustatud andmeid vastavalt raamatukogu
tegevust reguleerivates õigusaktides sätestatud tähtaegadele. Selgusetuks jääb, kui kaua
andmekogu vastutav töötleja tohib tegelikult lugejate andmeid andmekogus säilitada. Märgime, et
andmete säilitamise tähtajad tuleb ise selgelt kindlaks määrata, lähtudes andmete säilitamise
eesmärgist. Viitamine ei taga seda, et andmekogus tõepoolest ka järgitakse neid tähtaegu, lisaks
võib tähtaegades orienteerumine olla andmekogu pidajale endale keeruline, rääkimata lugejatest,
kellele peab olema selge kaua nende isikuandmeid säilitatakse. Seetõttu oleks õige andmekogus
olevate andmete säilitamise konkreetsed tähtajad reguleerida põhimääruses, arvestades sealjuures
andmekogu volitusnormis kehtestatud tähtaegadega.
2.5. Andmevahetus
Põhimääruse kavandi § 25 reguleerib andmevahetust teiste andmekogudega. Nimetatud
paragrahvi lõige 1 annab andmekogule õiguse teha andmekogusse kantavate andmete saamiseks
ja kontrollimiseks päringuid ning saada andmeid andmekogudest. Tegemist on mitteregulatiivse
ja sisutühja normiga. Õigus teistelt isikutelt ja asutustelt andmeid saada ei saa tuleneda andmekogu
põhimäärusest, vaid seaduse normidest, mis asutuste tegevusele kohalduvad.
Lisaks märgime, et kogu § 25 mõte jääb arusaamatuks. AvTS § 43⁵ lõike 1 järgi sätestatakse
andmekogu põhimääruses andmekogu pidamise kord, sh andmekogu vastutav töötleja (haldaja) ja
vajadusel volitatud töötleja, andmekogusse kogutavate andmete koosseis, andmeandjad ja
8 (8)
vajadusel muud andmekogu pidamisega seotud korralduslikud küsimused. Andmekogude juhendi
punktis 3.2 on toodud välja loetelu andmekogu pidamise olulistest küsimustest, mida
põhimäärusega reguleeritakse. Sealjuures on punktis 9 märgitud, et põhimääruses tuuakse välja
andmete allikad ehk millistest andmekogudest või kelle käest (millistelt andmeandjatelt) andmeid
saadakse. Seeläbi määratakse tegelikult ka kindlaks, millised on andmekogu unikaalsed
põhiandmed. Nimelt keelab AvTS § 43³ lõige 2 asutada ühtede ja samade andmete kogumiseks
eraldi andmekogusid, mis tähendab, et kui samu andmeid kogutakse juba mõnda teise
andmekogusse põhiandmetena, siis tuleks kasutada seal olevaid andmeid, mitte neid isikutelt
uuesti koguda. Antud juhul jääb arusaamatuks näiteks lõike 9 loetletu.
Lisaks nähtub esitatust, et andmekogu alamandmekoguks on Eesti rahvusbibliograafia
alamandmekogu, kuid põhimääruse kavandi § 5, kus on toodud andmekogu ülesehitus, sellist
alamandmekogu raamatukogu andmekogu alamandmekoguna välja toodud ei ole. Kui tegemist on
raamatukogu andmekogu ühe osaga, siis tuleks see selliselt põhimääruses ka välja tuua koos
sätetega, mis seda alamandmekogu pidamist puudutavad.
3. Rahvaraamatukogu töökorralduse eeskiri
Rahvaraamatukogu töökorralduse eeskirja kavandi § 12 lõike 7 kohaselt raamatukogu võib lugeja
nõusolekul küsida lugejateeninduseks täiendavaid isikuandmeid. Arusaamatu on, mis andmed ja
mis eesmärgil võib raamatukogu koguda isiku nõusoleku alusel. Reeglina, kui isikuandmete
töötlemise õiguslik alus tuleb juba õigusaktist, milleks eelnõu välja töötatakse, on eksitav väita, et
isikult võetakse nõusolek tema andmete töötlemiseks. Seadus ei saa kohustada andmesubjekti
andma nõusolekut oma andmete töötlemiseks. Kui tegemist on vabatahtliku andmete esitamisega,
mis ei ole otseselt vajalik asutuse seadusega pandud avalike ülesannete täitmiseks, siis see õigus
asutusel igal ajal olemas ja seda ei pea eraldi õigusaktiga sätestama. Arvestada seejuures tuleb
kõikide nõusoleku andmise ja tagasivõtmise tingimustega (IKÜM art 7). AKI peab vajalikuks
rõhutada, et avalike ülesannete täitmiseks vajalike töödeldavate isikuandmete koosseis peab
tulenema seadusest ning seda ei tohi määrusega laiendada. RaRS-is on lugeja ja tema esindaja
kohta kogutavate isikuandmete loetelu toodud §-s 18.
Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Irina Meldjuk
627 4108
Terje Enula
627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|