| Dokumendiregister | Majandus- ja Kommunikatsiooniministeerium |
| Viit | 2-2/2498-4 |
| Registreeritud | 07.07.2025 |
| Sünkroonitud | 08.07.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 2 Õigusloome ja -nõustamine |
| Sari | 2-2 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega |
| Toimik | 2-2/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Maanus Urb (Majandus- ja Kommunikatsiooniministeerium, Kantsleri valdkond, Majanduse ja innovatsiooni valdkond, Ettevõtluskeskkonna ja tööstuse osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Erkki Keldo Majandus- ja Kommunikatsiooniministeerium [email protected]
Teie 30.06.2025 nr 2-2/2498-1 Meie 07.07.2025 nr 2.3-4/25/2101-2
Arvamus Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks majandus- ja taristuministri 19. märtsi 2020. a määruse nr 5 „Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimäärus“ muutmise eelnõu.
Meil puuduvad esitatud eelnõu osas tähelepanekud. Küll aga peame vajalikuks esitada järgmised
tähelepanekud kehtiva põhimääruse osas.
1. Seadme ohutuse seaduse (SeOS) § 12 lõike 1 järgi on Tarbijakaitse ja Tehnilise Järelevalve
Ameti järelevalve infosüsteemi (JVIS) pidamise eesmärgiks muu hulgas ka lubade ja
tunnistuste väljastamine ning seadmete ja nendega seotud protsesside ohutuse tagamine.
Samas ei nähtu aga JVIS põhimääruse § 3 lõikest 1 andmekogu pidamine eelnimetatud
eesmärkidel. Palume selles osas andmekogu põhimäärust täiendada.
2. Kehtiva põhimääruse § 3 lõike 3 järgi peetakse andmekogu EL isikuandmete kaitse
üldmääruse (IKÜM) nõuete kohaselt ning arvestades Tarbijakaitse ja Tehnilise Järelevalve
Ametile seadusega pandud ülesandeid. Selgusetuks jääb, mida on sättega silmas peetud.
IKÜM reguleerib isikuandmete töötlemist, kuid andmekogusid puudutavat normib avaliku
teabe seaduse (AvTS) 51. peatükk.
3. Põhimääruse § 3 lõike 4 järgi kasutatakse andmekogu pidamisel automatiseeritud
andmetöötlust ja andmeid säilitataks elektroonselt. Tegemist on sisutu sättega. Infosüsteem
on defineeritud küberturvalisuse seaduses ning selle järgi kujutabki infosüsteem endast
digitaalset andmete töötlust.
4. Põhimääruse § 5 järgi on andmekogus töödeldavatel andmetel seaduses sätestatud juhul
õiguslik tähendus, muul juhul on andmekogus töödeldavatel andmetel informatiivne ja
statistiline tähendus. Kuigi AvTS seda nõuab, siis on sellised sätted sisutühjad. Ilmselgelt
asutus lähtub oma töös andmekogusse kantud andmetest, vastasel juhul oleks andmekogu
pidamine mõttetu. Seetõttu on kohatu põhimääruses märkida, et andmetel on vaid
informatiivne ja statistiline tähendus. Eristada tuleks vaid neid juhte, kus andmekogu
andmetel on seadusest tulenevalt kolmandate isikute suhtes konstitutiivne tähendus.
5. Kehtiva põhimääruse § 6 lõike 11 järgi esitatakse andmekogusse andmeid veebipõhise
kasutajaliidese kaudu või infosüsteemide andmevahetuskihi kaudu teistest
andmekogudest. Andmekogu põhimäärusest ei nähtu, et toimuks andmevahetust teiste
andmekogudega. Samas aga säilitatakse näiteks põhimääruse § 9 lõike 1 punkti 4 järgi
2 (2)
tunnistuse, millel puudub kehtivusaeg, andmeid tunnistuse omaja eluea jooksul, mis
tähendab, et vastavalt sama paragrahvi lõikele 2 tuleb pärast tunnistuse omaja surma
tunnistuse andmed koheselt kustutada. Selgusetuks jääb aga, millistest allikatest saadud
andmetele tuginedes toimub andmete kustutamine. Sama puudutab ka põhimääruse § 9
lõike 1 punktis 6 toodud loa andmete säilitamist.
Selgitame, et AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses sätestada muu hulgas
andmekogusse andmete andjad. Andmekogude juhendis (lk 13–14) on toodud loetelu
andmekogu pidamise olulistest küsimustest, mida tuleks põhimäärusega reguleerida.
Üheks oluliseks küsimuseks on ka andmete allikad ehk millistest andmekogudest või kelle
käest (millistelt andmeandjatelt) milliseid andmeid saadakse. Seeläbi määratakse tegelikult
kindlaks ka see, millised on andmekogu unikaalsed põhiandmed. Nimelt keelab AvTS §
433 lõige 2 asutada ühtede ja samade andmete kogumiseks eraldi andmekogusid, mis
tähendab, et kui samu andmeid kogutakse juba mõnda teise andmekogusse põhiandmetena,
siis tuleks kasutada seal olevaid andmeid ja mitte neid isikutelt uuesti koguda. Ilmselt vajab
JVIS põhimäärus selles osas täiendamist.
6. Lisaks peame vajalikuks rõhutada, et igasugune isikuandmete töötlemine (sh säilitamine)
riivab põhiseaduse §-s 26 sätestatud õigust eraelu puutumatusele. Põhiseaduse § 11 järgi
tohib õigusi ja vabadusi piirata üksnes kooskõlas põhiseadusega, mis tähendab, et
niisugune piirang peab olema kooskõlas põhiseaduse § 3 esimese lausega, mille kohaselt
teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seadusete alusel.
Selle põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused
langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes
vähemintensiivseid põhiõiguste piiranguid. Sealjuures peab seaduses sisalduv volitusnorm
olema täpne, selge ja vastavuses piirangu intensiivsusega. See aga tähendab, et ka kõik
andmekogu puudutavad olulised küsimused, milleks kindlasti on andmekogu pidamise
eesmärk, töödeldavate isikuandmete liigid, andmete säilitamise tähtajad (vähemalt
maksimaalne säilitustähtaeg), peavad olema reguleeritud seaduse tasandil.
Kehtiv SeOS-s olev volitusnorm kõiki andmekogu pidamist puudutavaid olulisis küsimusi
ei sisalda – näiteks puuduvad erinevatesse andmestikesse kogutavate isikuandmete
kategooriad ning isikuandmete säilitamise tähtajad, mistõttu soovitame edaspidi SeOS
muutmisel vaadata üle ka andmekogu puudutav volitusnorm. Siinkohal selgitame, et
seaduse volitusnormis andmete säilitamise maksimaalse tähtaja kehtestamisel on oluline
silmas pidada, et kui andmete maksimaalne säilitustähtaeg on näiteks kolm kalendriaastat,
siis tuleb andmed tähtaja möödumisel koheselt (mitte esimesel võimalusel, vaid järgmisel
päeval) kustutada. Andmete hävitamata jätmine kohe pärast tähtaja saabumist tähendab
nende edasist töötlemist, kuid seda siis juba ilma õigusliku aluseta. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Terje Enula
627 4144
|
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Erkki Keldo Majandus- ja Kommunikatsiooniministeerium [email protected]
Teie 30.06.2025 nr 2-2/2498-1 Meie 07.07.2025 nr 2.3-4/25/2101-2
Arvamus Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimääruse muutmise eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks majandus- ja taristuministri 19. märtsi 2020. a määruse nr 5 „Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimäärus“ muutmise eelnõu.
Meil puuduvad esitatud eelnõu osas tähelepanekud. Küll aga peame vajalikuks esitada järgmised
tähelepanekud kehtiva põhimääruse osas.
1. Seadme ohutuse seaduse (SeOS) § 12 lõike 1 järgi on Tarbijakaitse ja Tehnilise Järelevalve
Ameti järelevalve infosüsteemi (JVIS) pidamise eesmärgiks muu hulgas ka lubade ja
tunnistuste väljastamine ning seadmete ja nendega seotud protsesside ohutuse tagamine.
Samas ei nähtu aga JVIS põhimääruse § 3 lõikest 1 andmekogu pidamine eelnimetatud
eesmärkidel. Palume selles osas andmekogu põhimäärust täiendada.
2. Kehtiva põhimääruse § 3 lõike 3 järgi peetakse andmekogu EL isikuandmete kaitse
üldmääruse (IKÜM) nõuete kohaselt ning arvestades Tarbijakaitse ja Tehnilise Järelevalve
Ametile seadusega pandud ülesandeid. Selgusetuks jääb, mida on sättega silmas peetud.
IKÜM reguleerib isikuandmete töötlemist, kuid andmekogusid puudutavat normib avaliku
teabe seaduse (AvTS) 51. peatükk.
3. Põhimääruse § 3 lõike 4 järgi kasutatakse andmekogu pidamisel automatiseeritud
andmetöötlust ja andmeid säilitataks elektroonselt. Tegemist on sisutu sättega. Infosüsteem
on defineeritud küberturvalisuse seaduses ning selle järgi kujutabki infosüsteem endast
digitaalset andmete töötlust.
4. Põhimääruse § 5 järgi on andmekogus töödeldavatel andmetel seaduses sätestatud juhul
õiguslik tähendus, muul juhul on andmekogus töödeldavatel andmetel informatiivne ja
statistiline tähendus. Kuigi AvTS seda nõuab, siis on sellised sätted sisutühjad. Ilmselgelt
asutus lähtub oma töös andmekogusse kantud andmetest, vastasel juhul oleks andmekogu
pidamine mõttetu. Seetõttu on kohatu põhimääruses märkida, et andmetel on vaid
informatiivne ja statistiline tähendus. Eristada tuleks vaid neid juhte, kus andmekogu
andmetel on seadusest tulenevalt kolmandate isikute suhtes konstitutiivne tähendus.
5. Kehtiva põhimääruse § 6 lõike 11 järgi esitatakse andmekogusse andmeid veebipõhise
kasutajaliidese kaudu või infosüsteemide andmevahetuskihi kaudu teistest
andmekogudest. Andmekogu põhimäärusest ei nähtu, et toimuks andmevahetust teiste
andmekogudega. Samas aga säilitatakse näiteks põhimääruse § 9 lõike 1 punkti 4 järgi
2 (2)
tunnistuse, millel puudub kehtivusaeg, andmeid tunnistuse omaja eluea jooksul, mis
tähendab, et vastavalt sama paragrahvi lõikele 2 tuleb pärast tunnistuse omaja surma
tunnistuse andmed koheselt kustutada. Selgusetuks jääb aga, millistest allikatest saadud
andmetele tuginedes toimub andmete kustutamine. Sama puudutab ka põhimääruse § 9
lõike 1 punktis 6 toodud loa andmete säilitamist.
Selgitame, et AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses sätestada muu hulgas
andmekogusse andmete andjad. Andmekogude juhendis (lk 13–14) on toodud loetelu
andmekogu pidamise olulistest küsimustest, mida tuleks põhimäärusega reguleerida.
Üheks oluliseks küsimuseks on ka andmete allikad ehk millistest andmekogudest või kelle
käest (millistelt andmeandjatelt) milliseid andmeid saadakse. Seeläbi määratakse tegelikult
kindlaks ka see, millised on andmekogu unikaalsed põhiandmed. Nimelt keelab AvTS §
433 lõige 2 asutada ühtede ja samade andmete kogumiseks eraldi andmekogusid, mis
tähendab, et kui samu andmeid kogutakse juba mõnda teise andmekogusse põhiandmetena,
siis tuleks kasutada seal olevaid andmeid ja mitte neid isikutelt uuesti koguda. Ilmselt vajab
JVIS põhimäärus selles osas täiendamist.
6. Lisaks peame vajalikuks rõhutada, et igasugune isikuandmete töötlemine (sh säilitamine)
riivab põhiseaduse §-s 26 sätestatud õigust eraelu puutumatusele. Põhiseaduse § 11 järgi
tohib õigusi ja vabadusi piirata üksnes kooskõlas põhiseadusega, mis tähendab, et
niisugune piirang peab olema kooskõlas põhiseaduse § 3 esimese lausega, mille kohaselt
teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seadusete alusel.
Selle põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused
langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes
vähemintensiivseid põhiõiguste piiranguid. Sealjuures peab seaduses sisalduv volitusnorm
olema täpne, selge ja vastavuses piirangu intensiivsusega. See aga tähendab, et ka kõik
andmekogu puudutavad olulised küsimused, milleks kindlasti on andmekogu pidamise
eesmärk, töödeldavate isikuandmete liigid, andmete säilitamise tähtajad (vähemalt
maksimaalne säilitustähtaeg), peavad olema reguleeritud seaduse tasandil.
Kehtiv SeOS-s olev volitusnorm kõiki andmekogu pidamist puudutavaid olulisis küsimusi
ei sisalda – näiteks puuduvad erinevatesse andmestikesse kogutavate isikuandmete
kategooriad ning isikuandmete säilitamise tähtajad, mistõttu soovitame edaspidi SeOS
muutmisel vaadata üle ka andmekogu puudutav volitusnorm. Siinkohal selgitame, et
seaduse volitusnormis andmete säilitamise maksimaalse tähtaja kehtestamisel on oluline
silmas pidada, et kui andmete maksimaalne säilitustähtaeg on näiteks kolm kalendriaastat,
siis tuleb andmed tähtaja möödumisel koheselt (mitte esimesel võimalusel, vaid järgmisel
päeval) kustutada. Andmete hävitamata jätmine kohe pärast tähtaja saabumist tähendab
nende edasist töötlemist, kuid seda siis juba ilma õigusliku aluseta. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Terje Enula
627 4144
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Kiri | 04.07.2025 | 3 | 2-2/2498-3 | Sissetulev kiri | mkm | Tarbijakaitse ja Tehnilise Järelevalve Amet |
| Kiri | 30.06.2025 | 1 | 2-2/2498-1 | Väljaminev kiri | mkm | Justiits- ja Digiministeerium, Andmekaitse Inspektsioon, Tarbijakaitse ja Tehnilise Järelevalve Amet, AS Metrosert, MTÜ Kulla- ja Kellaliit , Eesti Metallikunstnike Liit |
| Kiri | 30.06.2025 | 1 | 2-2/2498-2 | Sissetulev kiri | mkm | Eesti Metallikunstnike Liit |