Arvamuse avaldamine eelnõule

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Sotsiaalministeerium [email protected]

Teie 10.07.2025 nr 1.2-2/62-1 Meie 16.07.2025 nr 2.3-4/25/2225-2

Arvamuse avaldamine eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks sotsiaalhoolekande

seaduse, sotsiaalseadustiku üldosa seaduse ja väärtpaberite registri pidamise seaduse muutmise

seaduse eelnõu. Alljärgnevalt esitame oma tähelepanekud ja märkused.

1. Sotsiaalkaitse infosüsteemi (SKAIS) põhimääruse § 1 lg 2 loetleb andmekogu eesmärgi,

milleks on sotsiaalkindlustusameti (SKA) seadusest tulenevate avalike ülesannete täitmine,

andes edasi lahtise loetelu tegevustest, milleks p-i 4 järgi on ka EL sotsiaalkindlustust

koordineerivatest õigusaktidest tulenevate ülesannete täitmine. SÜS § 38 lg-s 1 on samuti

andmekogu eesmärgiks märgitud SKA seadusest tulenevate avalike ülesannete täitmine

ning edasi on esitatud lahtine loetelu, mis aga andmekogu eesmärgina eelnimetatud p-s 4

toodut ei kajasta. Seega on madalama taseme õigusaktiga laiendatud seaduse volitusnormis

toodud eesmärki.

Seaduse volitusnormis on märgitud, et andmekogu pidamise eesmärgiks on „seadusest

tulenevate avalike ülesannete täitmine“. Andmekogu asutamise eesmärk peab

volitusnormis olema piisavalt konkreetne ning andma vastuse küsimusele, millisel

eesmärgil ja milliste ülesannete täitmiseks andmekogu luuakse. Ilmselt on soovitud jätta

see seaduses võimalikuks lahtiseks, et see kataks ära ükskõik millise SKA ülesande. Samas

on küsitav, kuivõrd on see kooskõlas IKÜM-ist tuleneva läbipaistvuse põhimõttega. Seega

soovitame volitusnormi sõnastuse üle vaadata ja sõnastada selliselt, et volitusnorm annaks

selge vastuse küsimusele, millisel eesmärgil ja milliste konkreetsete ülesannete täitmiseks

andmekogu luuakse.

2. Lisaks märkasime, et SÜS §-ga 391 on antud Sotsiaalministeeriumi ja Majandus- ja

Kommunikatsiooniministeeriumi ametnikele õigus töödelda SKAIS andmeid poliitika

kujundamiseks isikut otseselt tuvastatavate andmeteta (ehk eemaldatakse isikukood, nimi

ja kontaktid). Sätte sõnastusest võib aru saada selliselt, et on soovitud sätestada poliitika

kujundamise eesmärgil andmete töötlemise õiguslik alus SÜS-is ja minna sellega mööda

AKI-ga kooskõlastamise kohustusest. Nimelt näeb IKS § 6 lg 5 ette AKI-ga

kooskõlastamise nõude, kui tegemist on riigivõimu poolt tehtavate analüüside ja

uuringutega, v.a juhul, kui poliitika kujundamiseks tehtava uuringu eesmärgid ja

isikuandmete töötlemise ulatus tulenevad õigusaktist. Praegune SÜS § 391 on aga liiga lai

ja ei sisalda endas ei uuringu eesmärki ega ka isikuandmete töötlemise ulatust. Poliitika

kujundamine uuringu eesmärgina kindlasti ei sobi.

3. Muudetakse EVKS § 7 lg-t 33, millega antakse SKA-le õigus saada pensionikonto ja selle

omaniku andmeid pensioni suuruse arvutamiseks, isikute nõustamiseks ja pensionide

2 (3)

statistika tegemiseks. Selgusetuks aga jääb, mida tähendab õigus saada andmeid statistika

tegemiseks – milliseid andmeid ja mille jaoks konkreetselt. Seletuskirjas selle kohta midagi

ei ole. Lisaks on EVKS § 13 lg 1 järgi pensioniregister riigi infosüsteemi kuuluv

andmekogu kogumispensionide seaduses sätestatud kohustuslike ja vabatahtlike

pensionifondide osakute ning nendega tehtavate toimingute registreerimiseks. Seega ei näe

andmekogu eesmärk üldse ettegi, et andmeid kasutatakse statistika tegemiseks.

4. Kuna käsil on SKAIS andmekogu põhimääruse muutmine, mis annab võimaluse muuta ka

kehtivat põhimäärust selgemaks ja konkreetsemaks, siis esitame ka kehtiva põhimääruse

osas oma tähelepanekud:

a) Põhimäärusest nähtuvalt on andmekogu volitatud töötlejateks TEHIK ja MTA.

Põhimääruse § 6 lg 1 p-i 8 ning lg 2 järgi täidavad mõlemad volitatud töötlejad EL

määruses nr 883/2004 ja selle rakendusmääruses nr 987/2009 sätestatud ülesandeid. Samas

ei selgu põhimäärusest, milliseid ülesandeid on kumbki asutus seoses sellega kohustatud

andmekogus täitma. Lisaks, kui nende ülesannete täitmise raames toimub ka isikuandmete

töötlemine, siis vajab täpsustamist ka see, kas TEHIK, MTA ja SKA on isikuandmete

töötlemisel kaasvastutavad töötlejad.

AKI on varasemalt andmekogudega seoses juhtinud tähelepanu sellel, et andmekogude puhul tuleb

eristada isikuandmete töötlemise vastutavat töötlejat ja andmekogu vastutavat töötlejat, sh

rollidega seotud kohustusi. Kui andmekogu vastutava töötleja ülesanded on seotud andmekogu

pidamisega, siis IKÜM näeb isikuandmete vastavale töötlejale ette mitmeid kohustusi just seoses

isikuandmete töötlemisega.

IKÜM art 26 lg 1 näeb ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt (või on seda

nende eest teinud ametlikult juba seadusandja) kindlaks isikuandmete töötlemise eesmärgid ja

vahendid, siis on nad kaasvastutavad töötlejad. Kaasvastutavate töötlejate vastutuse määramisel

isikuandmete töötlemisel tuleb eelkõige arvesse võtta andmesubjektide õiguste kasutamist ja teabe

andmise kohustusi. Lisaks peaks vastutuse jaotus hõlmama muid vastutava töötleja kohustusi,

näiteks seoses üldiste andmekaitsepõhimõtete, õigusliku aluse, turvameetmete, andmetega seotud

rikkumisest teatamise kohustuse, andmekaitse mõjuhinnangute, volitatud töötlejate kasutamise,

kolmandate riikide andmete edastamise ning andmesubjektide ja järelevalveasutusega

suhtlemisega. Kuigi IKÜM kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku vormi ei

täpsusta, soovitab Euroopa Andmekaitsenõukogu õiguskindluse huvides ning läbipaistvuse ja

vastutuse tagamiseks sellise kokkuleppe sõlmida siduva dokumendina, näiteks lepingu või muu

liidu või liikmesriigi õiguse kohase õiguslikult siduva aktina, millele vastutavad töötlejad on

allutatud. Antud juhul saaks selleks olla andmekogu põhimäärus.

b) Põhimääruse § 7 lg 2 järgi esitatakse põhimääruse §-des 8–151 nimetatud

andmekoosseisud ja §-s 17 nimetatud kohustuslike andmeandjate andmekoosseisud riigi

infosüsteemi haldussüsteemis.

AvTS § 435 lg 1 järgi sätestatakse andmekogu põhimääruses andmekogu pidamise kord, sh

andmekogu vastutav töötleja (haldaja) ja vajadusel volitatud töötleja, andmekogusse kogutavate

andmete koosseis, andmeandjad ja vajadusel muud andmekogu pidamisega seotud korralduslikud

küsimused. Andmekogude juhendi p-s 3.2 oleme toonud loetelu andmekogu pidamise olulistest

küsimustest, mida põhimäärusega reguleeritakse. Sealjuures on p-s 9 märgitud, et põhimääruses

tuuakse välja andmete allikad ehk millistest andmekogudest või kelle käest (millistelt

andmeandjatelt) andmeid saadakse. Seeläbi määratakse tegelikult ka kindlaks, millised on

andmekogu unikaalsed põhiandmed. Nimelt keelab AvTS § 433 lg 2 asutada ühtede ja samade

andmete kogumiseks eraldi andmekogusid, mis tähendab, et kui samu andmeid kogutakse juba

mõnda teise andmekogusse põhiandmetena, siis tuleks kasutada seal olevaid andmeid, mitte neid

isikutelt uuesti koguda.

3 (3)

Lisaks oleme juhendi p-s 3.3 märkinud, et andmekogusse kogutavate andmete täielik loetelu ei

pea olema seaduses, kuid põhimäärus peab sisaldama ammendavat loetelu antud andmekogusse

kogutavatest andmetest. Seejuures peab loetelust ka selguma, kelle kohta (s.t andmesubjektide

kategooriad) neid andmeid kogutakse. Kui andmete koosseis on väga mahukas, võib loetelu

esitada põhimääruse lisana. Antud juhul ei nähtu andmekogu põhimäärusest, milliseid andmeid

andmekogusse koguda tohib ning millised andmed on saadud teistest andmekogudest. Viide riigi

infosüsteemi haldussüsteemis olevale andmekoossisu tabelile ei ole kooskõlas AvTS-st tuleneva

nõudega, mistõttu palume andmekogu põhimäärust andmekogusse kogutavate andmete osas

täiendada. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Andres Kudrjavtsev

[email protected]

627 4109

Terje Enula

[email protected]

627 4144