Majandus- ja taristuministri 19. märtsi 2020. a määruse nr 5 „Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimäärus“ muutmise kooskõlastamine

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Majandus- ja Kommunikatsiooniministeerium [email protected] Majandus- ja taristuministri 19. märtsi 2020. a määruse nr 5 „Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimäärus“ muutmise kooskõlastamine Majandus- ja taristuministri 19. märtsi 2020.a määruse nr 5 „Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimäärus“ muutmise eelnõu kooskõlastamine Austatud minister Majandus- ja Kommunikatsiooniministeerium on esitanud Justiits- ja Digiministeeriumile kooskõlastamiseks majandus- ja taristuministri 19. märtsi 2020.a määruse nr 5 „Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimäärus“ muutmise eelnõu1 (eelnõu). Justiits- ja Digiministeerium kooskõlastab eelnõu järgmiste märkustega arvestamisel. Eelnõu kooskõla koalitsioonilepingu eesmärkidega

1. Koalitsioonilepingust tulenevalt on üheks eesmärgiks koondada ettevõtet kirjeldavad andmed e-Äriregistrisse ettevõtja andmekaardile2. Justiits- ja Digiministeerium palub lisada eelnõusse säte, mille kohaselt on nimemärgiste avalikuks kasutajaliideseks e-Äriregister. Samuti palume arvestada tehnilisi lahendusi luues sellega, et märgise loojal või sissetoojal oleks võimalik nimemärgist taotleda e-Äriregistri vahendusel.

Halduskoormuse hindamine

2. 25.05.2025 jõustus hea õigusloome ja normitehnika eeskirja3 (HÕNTE) muudatus, millega kehtestati halduskoormuse tasakaalustamise reegel (HÕNTE § 1 lg 41). Reegli kohaselt tuleb halduskoormust suurendava nõudega kavandada ka halduskoormust vähendav muudatus. Halduskoormuse tasakaalustamise reegli rakendamise juhis on kättesaadav Justiits- ja Digiministeeriumi veebilehel4.

1 Eelnõu toimiku number 25-0717 2 Koalitsioonilepe 2025-2027 (vt p 165 ja p 180) 3 RT I, 22.05.2025, 8 4 Halduskoormuse tasakaalustamise reegli rakendamise juhis

Teie 30.06.2025 nr 2-2/2498-1, MKM/25- 0717/-1K

Meie 07.07.2025 nr 8-2/5610

2

Eeltoodud HÕNTE muudatustest tulenevalt palume eelnõu seletuskirja sisukokkuvõttes välja tuua, kas eelnõuga kavandatud muudatuste tulemusel halduskoormus suureneb, väheneb või ei muutu, ja kui suureneb, siis mille võrra halduskoormust vähendatakse.

Andmete töötlemise regulatsiooniga seotud märkused

3. Eelnõuga reguleeritakse andmete avalikustamist ja säilitamist ning muudetakse Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi (TTJA infosüsteem) põhimääruse lisa. Nii kavandatud muudatuste jõustumisel kui ka hetkel kehtivas TTJA infosüsteemi põhimääruse5 lisas on sätestatud töödeldavate isikuandmete loetelu. Kuna TTJA infosüsteemis töödeldakse isikuandmeid, on tegemist eraelu puutumatuse (põhiseaduse6 (PS) § 26) riivega. PS § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega. See tähendab, et niisugune piirang peab olema kooskõlas ka PS § 3 esimese lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Sättes väljendatud üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes vähem intensiivseid põhiõiguste piiranguid ning sealjuures peab seaduses sisalduv volitusnorm olema täpne, selge ja vastavuses piirangu intensiivsusega. Seda põhimõtet tuleb järgida ka isikuandmete töötlemisel. See tähendab, et isikuandmete töötlemine peab olema reguleeritud seadusega. Määrusega võib seaduse norme täpsustada, kuid seda üksnes selge ja täpse ulatusega volitusnormi alusel. Mida intensiivsem on põhiõiguste piirang, seda üksikasjalikumad peavad olema täitevvõimu tegutsemise aluseks olev volitusnorm ja menetlusnormid. Seega ei sobi isikuandmete töötlemise seaduslikuks aluseks üldine volitusnorm, mis jätab kõik peamised küsimused täitevvõimu reguleerida. Eelkõige peab seaduse tasandil määratlema isikuandmete töötlemise olukorrad ja eesmärgid, töödeldavate isikuandmete koosseisu vähemalt isikuandmete kategooriate täpsusega (viimast võib seaduse volitusnormi alusel määrusega täpsustada) ning töödeldavate isikuandmete säilitamise tähtajad. Samuti peab isikuandmete töötlemine vastama isikuandmete kaitse üldmääruse7 (IKÜM) artiklis 5 sätestatud andmetöötluse põhimõtetele. Seega peab seaduse tasandil sätestama milliseid isikuandmeid TTJA infosüsteemis töödeldakse ja kui kaua neid säilitatakse.

Justiits- ja Digiministeerium on varasemalt teinud märkuse selle kohta, et kuna TTJA infosüsteemis töödeldakse isikuandmeid, siis on tarvis nende andmete säilitamise tähtajad sätestada seaduse tasandil8. Majandus- ja Kommunikatsiooniministeerium kahjuks esitatud märkustega arvestanud ei ole. Justiits- ja Digiministeerium jääb oma seisukoha juurde, et töödeldavate isikuandmete koosseisu ning säilitamise tähtaja sätestamine vaid määruse tasandil on vastuolus PS-ga, ning palub sätestada TTJA infosüsteemis töödeldavate isikuandmete kategooriad ja andmete säilitamise tähtajad seaduse tasandil.

4. EN § 1 punkti 3 kohaselt täiendatakse TTJA infosüsteemi põhimääruse § 8 lõikega 41. TTJA

infosüsteemi põhimääruse § 8 reguleerib juurdepääsu andmekogule ja andmekogusse kantud andmetele. Justiits- ja Digiministeerium juhib tähelepanu, et juhul kui § 8 lõikega 41 täiendamise eesmärgiks on isikuandmete avalikustamine, siis peavad avalikustavate isikuandmete kategooriad tulenema seadusest. Põhimääruse tasandil sellist andmetöötlust reguleerida ei ole õiguspärane.

Arvestama peab sellega, et kui avalikustatavad andmed hõlmavad ka isikuandmeid, siis, nagu käesoleva kirja punktis 3 on selgitatud, peab seadusereservatsiooni põhimõttest tulenevalt sätestama seaduse tasandil mis andmeid avalikustatakse ja mis eesmärgil.

5 RT I, 05.01.2024, 15 6 RT I, 15.05.2015, 2 7 Euroopa Parlamendi ja Nõukogu määrus 2016/679/EL, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel

ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) 8 Justiitsministeeriumi 06.07.2023 ja 20.10.2023 kiri nr 8-2/4272. Vt väärismetalltoodete seaduse, riigilõivuseaduse ja seadme ohutuse seaduse muutmise seaduse kooskõlastamine, Eelnõude infosüsteemi toimik nr 23-0774.

3

Selgitame, et avaliku teabe seaduse9 (AvTS) § 3 lõike 1 kohaselt hõlmab avalik teave kogu teavet, mis on mis tahes viisil ja mis tahes teabekandjale jäädvustatud ja dokumenteeritud ning mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites. AvTS § 3 lõike 2 kohaselt võib avalikule teabele juurdepääsu piirata seaduses sätestatud korras. AvTS § 35 lg 1 p 12 kohaselt on teabevaldaja kohustatud tunnistama asutusesiseseks kasutamiseks mõeldud teabeks teabe, mis sisaldab isikuandmeid, kui sellisele teabele juurdepääsu võimaldamine kahjustaks oluliselt andmesubjekti eraelu puutumatust. Kui soovitakse isikuandmeid avalikustada, siis peab seaduse tasandil sätestama eesmärgi, mis seda lubaks. IKÜM artikkel 5 punkti 1(b) kohaselt peab andmetöötlusel (mis hõlmab ka andmete avalikustamist) olema õiguspärane eesmärk. SeOS-es on küll sätestatud, millisel eesmärgil andmekogus andmeid töödeldakse, kuid seaduses puudub regulatsioon selle kohta, millisel eesmärgil ja milliseid isikuandmeid on lubatud avalikustada. Justiits- ja Digiministeerium palub sätestada seaduse tasandil töödeldavate isikuandmete kategooriad ning isikuandmete avalikustamise eesmärki.

5. Eelnõu § 1 punkti 5 kavandatud muudatuse kohaselt täiendatakse TTJA infosüsteemi

põhimäärise andmete säilitamist reguleerivat paragrahvi ning sätestatakse, et andmed nimemärgise kohta säilitatakse tähtajatult. Justiits- ja Digiministeerium kordab, et tulenevalt seadusereservatsiooni põhimõttes peavad andmete säilitamise tähtajad olema sätestatud seaduse tasandil. Kavandatud muudatusega seoses ei leidu eelnõu seletuskirjas veenvaid argumente, mis õigustaksid isikuandmete tähtajatult säilitamist registris, mis on kõigile avalik. Väärismetalltoodete seaduse10 (VMTS) § 201 lõike 1 kohaselt kehtib nimemärgise registreering kuni kümme aastat registreerimise kuupäevast arvates. VMTS § 201 lõige 2 võimaldab pikendada registreeringu kehtivusaega kuni kümne aasta kaupa.

Eelnõu seletuskirja kohaselt peaks saama väärismetalltoote tausta andmekogust kontrollida nii kehtivate kui kehtetute nimemärgiste osas. Lisaks selgitatakse seletuskirjas, et väärismetalltooted on ajas püsivad ning need leiavad kasutust pikemalt kui tegutseb väärismetalltoote valmistaja või sissevedaja. Nimemärgis näitab, milline valmistaja või sissevedaja on vastutav väärismetalltoote nõuetele vastavuse eest. Justiits- ja Digiministeeriumi hinnangul ei ole isikuandmete kaitse seisukohast aktsepteeritav olukord, kus nimemärgis enam ei kehti (näiteks valmistaja või sissevedaja on oma tegevuse lõpetanud), aga nendega seotud füüsiliste isikute andmeid säilitatakse andmekogus edasi tähtajatult. Isikuandmete säilitustähtaeg ei saa reeglina olla tähtajatu. Säilitamise piirangu põhimõtte kohaselt (IKÜM artikkel 5 punkti 1(e)) ei tohi isikuandmeid säilitada kauem kui see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse. Seega tähtajatu andmete säilitamine ei ole üldjuhul lubatud, sest riivab intensiivselt isiku õigust privaatsusele. Justiits- ja Digiministeerium teeb ettepaneku täiendada eelnõu normiga, et kustutada TTJA infosüsteemist isikuandmed kui nimemärgise registreering on lõppenud. Alternatiivsete lahendustena võib kaaluda isikuandmete anonüümimist või vajadusel isikuandmetele kindla säilitustähtaja määramist.

Märkus volitusnormi ulatuse kohta

6. Justiits- ja Digiministeeriumi hinnangul on TTJA infosüsteemi põhimääruse aluseks olev seadme ohutuse seadusest11 (SeOS) tulenev volitusnorm (SeOS § 12) puudulik. Nii nagu on märgitud käesoleva kirja punktis 3 peab määruse volitusnormist selgelt ja piiritletult tulenema, millised küsimused on seadusandja jätnud määruse tasemel reguleerimiseks.

9 RT I, 30.12.2024, 5 10 RT I, 30.04.2024, 14 11 RT I, 30.04.2024, 12

4

SeOS § 12 ei sisalda isikuandmete töötlemisega seotud regulatsiooni (näiteks on seaduses sätestatud ainult andmestikud, aga mitte töödeldavate isikuandmete kategooriad).Seetõttu ei ole võimalik anda ka selgelt piiritletud volitust isikuandmete töötlemisega seotud küsimuste reguleerimiseks määruse tasandil. SeOS § 12 lõikes 5 sätestatu on vastuolus seadusreservatsiooni põhimõttega ning seda ei saa pidada volitusnormi piiritlemise sätteks, sest viidatud sätte alusel on isikuandmete töötlemisega seotud olulised küsimused jäetud täies ulatuses täitevvõimu lahendada (andmete koosseis, juurdepääsu tingimused).

SeOS § 12 lõike 2 sõnastus on väär, sest andmekogu asutatakse seadusega, mitte määrusega. Teisisõnu on seaduse tasandil andmekogu regulatsiooni kehtestamisega andmekogu asutatud, seega ei ole võimalik selle asutamist enam edasi ministrile delegeerida.

Justiits- ja Digiministeerium teeb ettepaneku sõnastada SeOS § 12 lõige 2 ümber ning selgelt piiritleda volitusnormi näiteks selliselt: „(2) Andmekogu põhimääruse kehtestab valdkonna eest vastutav minister määrusega, milles sätestatakse andmekogu pidamise kord, sealhulgas: 1) andmekogu ülesehitus; 2) andmete täpsem koosseis; 3) andmeandjad ja nendelt saadavad andmed; 4) andmete esitamise kord; 5) andmetele juurdepääsu ja andmete väljastamise kord; 6) andmete säilitamise täpsemad tähtajad; 7) vastutava töötleja ja volitatud töötleja ülesanded; 8) muud andmekogu pidamisega seotud korralduslikud küsimused.“

Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Maria Sults JM5886 2946 [email protected] Evar Sõmer Kristel Niidas Stina Avvo