| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-5/25/1799-2 |
| Registreeritud | 25.06.2025 |
| Sünkroonitud | 26.06.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-5 Arvamused andmekogude põhimääruste eelnõude kohta |
| Toimik | 2.3-5/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Kultuuriministeerium |
| Saabumis/saatmisviis | Kultuuriministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Heidy Purga Kultuuriministeerium [email protected]
Teie 03.06.2025 nr 1-11/612-1 Meie 25.06.2025 nr 2.3-5/25/1799-2
Arvamus rahvakultuuri andmekogu põhimääruse eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks kultuuriministri määruse
„Rahvakultuuri andmekogu põhimäärus“ eelnõu.
Meil on esitatud eelnõu osas järgmised tähelepanekud.
1. Eelnõu § 2 loetleb andmekogu eesmärgid, milleks punktide 1, 2 ja 4 järgi on andmete
kogumine ja töötlemine, mis kordab muinsuskaitseseaduse (MuKS) § 791 lõikes 2
sätestatud andmekogu asutamise eesmärke. Selgitame, et andmekogu eesmärgiks ei saa
olla andmetöötlus või andmete kogumine iseenesest, v.a juhul, kui seadusest tulenev
ülesanne ongi andmete kogumine. Andmekogu asutamise eesmärk peab juba volitusnormis
olema piisavalt konkreetne ning andma vastuse küsimusele, millisel eesmärgil, milliste
ülesannete täitmiseks andmekogu luuakse. Soovitame edaspidi MuKS muutmisel vaadata
üle ka andmekogu eesmärk ning sõnastada volitusnorm selliselt, et oleks aru saada, millisel
eesmärgil ning milliste ülesannete täitmiseks on rahvakultuuri andmekogu loodud.
2. Eelnõu § 3 lõigete 1 ja 3 järgi on andmekogu vastutavaks töötlejaks Kultuuriministeerium
(KuM) ning volitatud töötlejateks Eesti Rahvakultuuri Keskus (ERK) ning Eesti Laulu- ja
Tantsupeo Sihtasutus (ELT SA). Seletuskirja järgi ELT SA oma põhikirja kohaselt
korraldab laulu- ja tantsupeol osalevate kollektiivide registreerimise, koostab vastava
registri ja peab osalejate kohta arvestust. ERK põhimääruse § 3 järgi on ERK
põhiülesandeks muu hulgas rahvakultuuri püsimisele ja arengule kaasaaitamine, mille
täitmiseks haldab rahvakultuuri valdkondlikku andmebaasi. Seega võib isikuandmete
töötlemisel olla mõlema puhul tegemist kaasvastutavate töötlejatega.
Andmekaitse Inspektsioon on varasemalt andmekogudega seoses juhtinud tähelepanu
sellel, et andmekogude puhul tuleb eristada isikuandmete töötlemise vastutavat ja volitatud
töötlejat ning andmekogu vastutavat ja volitatud töötlejat, sh nende rollidega seotud
kohustusi. Kui andmekogu vastutava töötleja ülesanded on seotud andmekogu pidamisega,
siis IKÜM näeb isikuandmete vastavale töötlejale ette mitmeid kohustusi just seoses
isikuandmete töötlemisega. IKÜM artikkel 28 lõige 1 näeb ette, et kui kaks või enam
vastutavat töötlejat määravad ühiselt (või on seda nende eest teinud ametlikult juba
seadusandja) kindlaks isikuandmete töötlemise eesmärgid ja vahendid, siis on nad
isikuandmete töötlemisel kaasvastutavad töötlejad. Kaasvastutavate töötlejate vastutuse
määramisel isikuandmete töötlemisel tuleb eelkõige arvesse võtta andmesubjektide õiguste
kasutamist ja teabe andmise kohustusi. Lisaks peaks vastutuse jaotus hõlmama muid
vastutava töötleja kohustusi, näiteks seoses üldiste andmekaitsepõhimõtete, õigusliku
aluse, turvameetmete, andmetega seotud rikkumisest teatamise kohustuse, andmekaitse
mõjuhinnangute, volitatud töötlejate kasutamise, kolmandate riikide andmete edastamise
ning andmesubjektide ja järelevalveasutusega suhtlemisega. Kuigi IKÜM kaasvastutavate
töötlejate vahelise kokkuleppe õiguslikku vormi ei täpsusta, soovitab Euroopa
2 (2)
Andmekaitsenõukogu õiguskindluse huvides ning läbipaistvuse ja vastutuse tagamiseks
sellise kokkuleppe sõlmida siduva dokumendina, näiteks lepingu või muu liidu või
liikmesriigi õiguse kohase õiguslikult siduva aktina, millele vastutavad töötlejad on
allutatud. Antud juhul saab selleks olla andmekogu põhimäärus.
Eelnevaga seoses tuleks lisaks andmekogu pidamisega seotud vastutava ja volitatud
töötleja ülesannetele ja kohustustele välja tuua ka kõigi kolme kaasvastutava töötleja
(KuM, ELT SA, ERK) kohustused, mis puudutavad andmekogus isikuandmete töötlemist.
3. Põhimääruse § 8 lõike 2 järgi on andmekogusse kantavate andmete loetelu toodud
põhimääruse lisas 1, mille punktist 1.2.9 ja 2.4.6 nähtuvalt kantakse andmekogusse ka
kollektiivide juhendajate kutsekvalifikatsiooni andmed ning punkti 2.8 järgi kollektiivi
saatja andmed. Samas ei näe MuKS § 791 lõige 6 ette eelnimetatud andmete kogumist.
Märgime, et kui volitusnormis loetletud isikuandmete kategooriad ei näe eelnimetatud
isikuandmete kogumist ette, siis puudub ka alus nende isikuandmete töötlemiseks, sh
pärimiseks.
4. Eelnõu § 11 lõike 2 järgi toimub andmevahetus teiste andmekogudega infosüsteemide
andmevahetuskihi kaudu. Märgime, et avaliku teabe seaduse § 439 lõike 5 kohaselt peabki
andmevahetus riigi infosüsteemi kuuluvate andmekogudega ja riigi infosüsteemi kuuluvate
andmekogude vahel toimuma läbi riigi infosüsteemi andmevahetuskihi.
5. Eelnõu § 14 lõige 2 näeb ette laulu- ja tantsupeol osalejate ning laulu- ja tantsupeo
korraldustoimkonna liikme isikuandmete anonüümimist ühe aasta jooksul pärast laulu- ja
tantsupeo toimumist. Samas ei nähtu seletuskirjast, mida osalejate ja korraldustoimkonna
liikmete isikuandmete anonüümseks muutmine täpsemalt tähendab, milline on
anonüümimise protsess. Selgitame, et andmed on anonüümsed üksnes siis, kui need on
muudetud anonüümseks sellisel viisil, et üksikisikut ei ole või ei ole enam võimalik
tuvastada, sealjuures peab anonüümseks muutmine olema pöördumatu.
6. Põhimääruse § 19 lõike 1 järgi logitakse andmete andmekogusse kandmine, muutmine ja
päringute tegemine piiratud juurdepääsuga andmete kohta. Siinjuures juhime tähelepanu
sellele, et logida tuleks ka isikuandmete kustutamine, mis on samuti isikuandmetega
tehtavaks toiminguks.
Samuti nähtub eelnimetatud sättest, et kasutaja tuvastatakse andmekogusse sisselogimisel
ID-kaardi, mobiil-ID või Smart-ID abil ning logis säilitatakse kande või päringu sisu,
kuupäev ja kellaaeg. Samas näeb põhimääruse § 17 lõige 6 ette, et olukorras, kus isikul ei
ole võimalik end eelnimetatud viisil autentida, saab isik volitatud töötleja loal
kasutajakonto, mille kaudu on võimalik logida andmekogusse. Selgusetuks aga jääb, kas
ka kasutajakonto kaudu tehtavad toimingud logitakse sarnaselt ID-kaardi, mobiil-ID või
Smart-ID abil end autentinud kasutajatega. Lisaks ei ole selge, kas lisaks kande või päringu
sisule ja ajale sisaldab logi ka kande või päringu tegija andmeid. Palume eelnõu ja
seletuskirja selles osas täiendada. Lugupidamisega (allkirjastatud digitaalselt) Virve Lans valdkonnajuht peadirektori ülesannetes Terje Enula
627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|