Majandus- ja tööstusministri määruse „Nimemärgise täpsustatud nõuded ning registreerimise taotlemise, registreerimise, registreeringu kehtivusaja pikendamise, muutmise ja kehtetuks tunnistamise ning registreerimisest keeldumise kord“ eelnõu kooskõlastamine

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Majandus- ja Kommunikatsiooniministeerium [email protected] Majandus- ja tööstusministri määruse „Nimemärgise täpsustatud nõuded ning registreerimise taotlemise, registreerimise, registreeringu kehtivusaja pikendamise, muutmise ja kehtetuks tunnistamise ning registreerimisest keeldumise kord“ eelnõu kooskõlastamine Austatud minister Majandus- ja Kommunikatsiooniministeerium edastas Justiits- ja Digiministeeriumile kooskõlastamiseks majandus- ja tööstusministri määruse „Nimemärgise täpsustatud nõuded ning registreerimise taotlemise, registreerimise, registreeringu kehtivusaja pikendamise, muutmise ja kehtetuks tunnistamise ning registreerimisest keeldumise kord“ eelnõu1 (eelnõu). Justiits- ja Digiministeerium kooskõlastab eelnõu järgmiste märkustega arvestamisel.

1. Eelnõu §-s 1 sätestatakse nimemärgise registreerimise, registreeringu muutmise, kehtivusaja pikendamise ja kehtetuks tunnistamise taotluses esitatavad andmed. Esitatavate andmete loetelus on ka isikuandmed. Eelnõu kohane määrus kehtestatakse väärismetalltoodete seaduse2 (VMTS) § 12 lõike 3 alusel. VMTS § 12 lõike 1 kohaselt registreeritakse nimemärgis valmistaja või sissevedaja taotluse alusel seadme ohutuse seaduse §-s 12 nimetatud Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemis. Seadme ohutuse seaduse3 (SeOS) § 12 sätestab mainitud infosüsteemi regulatsiooni. Seega eelnõu kehtestamisel hakatakse infosüsteemis töötlema ka isikuandmeid. Isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist käsitatakse eraelu puutumatuse riivena (Eesti Vabariigi põhiseaduse4 (PS) § 26)). PS § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega. See tähendab, et niisugune piirang peab olema kooskõlas ka PS § 3 esimese lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Sättes väljendatud üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes vähem intensiivseid põhiõiguste piiranguid ning sealjuures peab seaduses sisalduv volitusnorm olema täpne, selge ja vastavuses piirangu intensiivsusega. Seda põhimõtet tuleb järgida ka isikuandmete töötlemisel. See tähendab, et isikuandmete töötlemine peab olema reguleeritud seadusega. Määrusega võib seaduse norme täpsustada, kuid seda üksnes selge ja täpse ulatusega volitusnormi alusel. Mida intensiivsem on põhiõiguste piirang, seda

1 Eelnõude infosüsteemi toimiku number 25-0832 2 RT I, 30.04.2024, 14 3 RT I, 30.04.2024, 12 4 RT I, 11.04.2025, 2

Teie 23.07.2025 nr 2-2/2774-1, MKM/25- 0832/-1K

Meie 11.08.2025 nr 8-2/6269

2

üksikasjalikumad peavad olema täitevvõimu tegutsemise aluseks olev volitusnorm ja menetlusnormid. Seega ei sobi isikuandmete töötlemise seaduslikuks aluseks üldine volitusnorm, mis jätab kõik peamised küsimused täitevvõimu reguleerida. Eelkõige peab seaduse tasandil määratlema isikuandmete töötlemise olukorrad ja eesmärgid, töödeldavate isikuandmete koosseisu vähemalt isikuandmete kategooriate täpsusega (viimast võib seaduse volitusnormi alusel määrusega täpsustada) ning töödeldavate isikuandmete säilitamise tähtajad. Samuti peab isikuandmete töötlemine vastama isikuandmete kaitse üldmääruse5 (IKÜM) artiklis 5 sätestatud andmetöötluse põhimõtetele. Eelnevast tulenevalt palume täpsustada SeOS §-s 12 sätestatud andmekogu regulatsiooni selliselt, et see vastaks seadusereservatsiooni põhimõttele. Samuti palume täpsustada SeOS § 12 lõikes 2 sisalduvat põhimääruse kehtestamise volitusnormi selliselt, et volitusnormist tuleneksid volituse piirid. Seaduse tasandil peab olema kindlaks määratud andmekogu pidamise eesmärk, andmekogusse kantavate isikuandmete koosseis, andmekogu vastutav töötleja (vajadusel kaasvastutavad töötlejad), andmete säilitamise maksimaalne tähtaeg (seda saab põhimääruses täpsustada, aga mitte pikendada) ning andmekogu põhimääruse volitusnormi raamid. Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi puhul on seaduses ette nähtud andmekogu pidamise eesmärk ja vastutav töötleja, seega tuleks seaduses sätestada veel isikuandmete koosseis, andmete säilitamise maksimaalne tähtaeg ning põhimääruse volitusnormi piirid. Justiits- ja Digiministeerium palub esitatud märkuste pinnalt SeOS-st täiendada. Andmekogu põhimääruse volitusnormis palume täpsustada seaduses selle ulatuse täiendades kas SEOS § 12 lõike 5 sõnastust või täiendades SeOS § 12 lõikega 21 järgmises sõnastuses:

„(21) Andmekogu põhimääruses sätestatakse registri pidamise kord, sealhulgas: 1) andmeandjad ja nendelt saadavad andmed; 2) täpsem andmekoosseis; 3) vastutava töötleja ja volitatud töötleja ülesanded; 4) andmetele juurdepääsu ja andmete väljastamise kord; 5) andmete säilitamise täpsemad tähtajad; 6) muud andmekogu pidamisega seotud korralduslikud küsimused.“.

2. SeOS § 12 lõike 2 kohaselt andmekogu asutab ja selle põhimääruse kehtestab valdkonna eest vastutav minister määrusega. SeOS § 12 lõige 2 sõnastus ei ole õiguslikult korrektne, sest andmekogu asutatakse seadusega, mitte määrusega. Teisisõnu on seaduse tasandil andmekogu regulatsiooni kehtestamisega andmekogu asutatud, seega ei ole võimalik selle asutamist enam edasi ministrile delegeerida. Palume SeOS § 12 lõikest 2 jätta välja sõnad „asutab ja selle“.

3. SeOS § 12 lõikes 4 on sätestatud andmed, mis kantakse andmekogusse. Samas seadusest ei selgu, milliseid isikuandmeid andmekogus töödeldakse ja kui kaua neid säilitatakse. Palume täiendada SeOS § 12 lõigetega 51 ja 52 järgmises sõnastuses:

„(51) Andmekogus töödeldakse järgmisi isikuandmeid: 1) ….; 2)…… (52) Isikuandmeid säilitatakse kõige kauem x aastat ….arvates.“; Punktiloetelus tuleks loetleda isikuandmed isikuandmete kategooria täpsusega, näiteks isiku üldandmed, esindusõigusega seotud andmed vmt. Muudatuste tegemisel palume arvestada sellega, et seaduses tuleb sätestada andmete maksimaalne võimalik säilitamise tähtaeg. Konkreetsete andmekategooriate lõikes saab tähtaegu põhimääruses täpsustada. Juhime tähelepanu, et andmed tuleb kohe pärast

5 Euroopa Parlamendi ja Nõukogu määrus 2016/679/EL, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)

3

säilitustähtaja lõppu kustutada. Juhul, kui soovitakse andmeid kustutada kogumis, tuleb põhimääruses sätestada, et teatud liiki andmeid säilitakse vähemalt x aeg ning pärast seda kustutakse andmed hiljemalt x aja jooksul. Eelnimetatud säilitamisaeg kokku peab jääma seaduses sätestatud maksimaalse säilitusaja raamidesse.

4. Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi põhimääruse6 § 8 lõike 2 kohaselt on andmekogus töödeldavad andmed seadme auditi, kontrolli ja isiku kompetentsust tõendava tunnistuse kohta avalikud. Avaliku teabe seaduse7 (AvTS) § 3 kohaselt on avalik teave (edaspidi teave) mis tahes viisil ja mis tahes teabekandjale jäädvustatud ja dokumenteeritud teave, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites. Nimetatud teabele juurdepääsu võib piirata seaduses sätestatud korras. Seega lähtub AvTS eeldusest, et kõik teave, mida riik töötleb oma ülesannete täitmisel, on avalik, välja arvatud juhul, kui teabe suhtes on kehtestatud juurdepääsupiirang.

Teabe asutusesiseseks tunnistamise alused ehk juurdepääsupiirangud, on sätestatud AvTS §-s 35. Juurdepääsupiirangud ei kohaldu automaatselt, vaid teabevaldajal on kohustus iga kord kaaluda, kas piirangut teabe suhtes kohaldada või mitte (välja arvatud mõned üksikud nii-öelda absoluutsed juurdepääsupiirangud).

Justiits- ja Digiministeeriumi seisukoht on, et AvTS-is sätestatud juurdepääsupiirangud peaksid katma üldjuhul kõik võimalikud juhud, millal võib olla õigustatud andmetele juurdepääsu piirata. Kuigi AvTS § 35 lg 1 p 19 võimaldab eriseadustes juurdepääsupiiranguid kehtestada, siis seda saab teha üksnes põhjendatud juhtudel (muu hulgas tuleb hinnata, kas AvTS § 35 alused ei ole piisavad). Samas ka eriseadustes juurdepääsupiirangute ettenägemisel peab teabevaldajale jääma kaalutlusõigus, see tähendab, et andmed ei ole automaatselt juurdepääsupiiranguga, vaid teabevaldaja langetab iga kord eraldi otsustuse, kas andmetele seada juurdepääsupiirang. Arvestada tuleb sellega, et ka asutusesiseseks kasutamiseks tunnistatud teavet saab teabenõude korras välja nõuda ning teabevaldaja peab hindama, milline osa on juurdepääsupiiranguga ning milline mitte (AvTS § 38 lg 2). AvTS § 438 lõike 1 kohaselt peavad andmekogus töödeldavad andmed olema avalikult kättesaadavad, kui neile ei ole seadusega või selle alusel kehtestatud juurdepääsupiirangut. Andmekaitse Inspektsiooni andmekogude juhendis8 on kirjas (lk 12): „AvTS võimaldab teabele, sh andmekogudele, juurdepääsupiirangu seada kas AvTS § 35 alustel või eriseaduse alusel. Seega peabki eriseaduses vajadusel sätestama erinormina AvTS-ist andmete juurdepääsupiirangu. Juurdepääsupiirangu norm peab olema konkreetne ja selge ning sellest peab selguma, miks juurdepääsupiirang kehtestatakse.“. Eriseaduses andmekogu andmetele absoluutse juurdepääsupiirangu kehtestamisel tuleb lähtuda sellest, et selline juurdepääsupiirang on lubatud kehtestada üksnes olukorras, kui on teada, et kõik andmekogus olevad andmed on juurdepääsupiiranguga. See tähendab, et seadusandja peab eriseaduses absoluutse juurdepääsupiirangu kehtestamisel tegema andmekogus sisalduva kogu teabe suhtes kaalutlusotsuse, hinnates ühelt poolt avalikku huvi nende andmete avalikustamise suhtes ning teiselt poolt selle teabe asutusesiseseks kasutamiseks tunnistamisega kaitstavat huvi. Näiteks on üheks selliseks absoluutseteks juurdepääsupiiranguks AvTS-is ette nähtud § 35 lg 1 punkt 5, mis näeb kohustuslikuna ette, et kaitseväe valdusse sõjalise valmisoleku tõstmisel ja mobilisatsiooni korral üleantava riigivara kohta käiva teabe peab teabevaldaja tunnistama asutusesiseseks kasutamiseks ilma, et tal oleks sealjuures antud võimalus kaaluda sellise piirangu põhjendatust. Samas on valdavalt AvTS § 35 lõikes 1 loetletud juurdepääsupiirangute puhul seadusandja pannud teabevaldajale siiski kohustuse juurdepääsupiirangu vajalikkust hinnata. Näiteks AvTS § 35 lg 1 p 7, mille kohaselt tuleb AK teabeks tunnistada teave, mille avalikuks tulek ohustaks (see tähendab teabevaldaja peab igal juhul hindama, kas ohustab või ei ohusta) muinsuskaitse all olevat objekti või muuseumikogusse kuuluvat museaali.

6 RT I, 05.01.2024, 15 7 RT I, 05.07.2025, 2 8 Andmekogude juhend | Andmekaitse Inspektsioon

4

2020. aasta 1. detsembril jõustus ametlikele dokumentidele juurdepääsu Euroopa Nõukogu konventsioon (Tromsø konventsioon)9, mille Eesti ratifitseeris 201610. aastal. 2024. aastal antud hinnangus11 Eesti õigusaktide kooskõlale nimetatud konventsiooniga on välja toodud, et absoluutsed seadusega ette nähtud erandid teabe avalikkusest peavad olema minimaalsed. Lisaks on Eesti eelnevalt nimetatud hindamise raames antud selgitustes viidanud, et isegi kui sellised absoluutsed erandid teabe avalikustamisest on kehtestatud, siis on seadusandja selle kehtestamise raames hinnanud juba, kas erandiga kaitstud huvi kaalub igal juhul üle avaliku huvi nimetatud teabe vastu.

Tromsø konventsiooni rakendamine eeldab, et eriseaduses sätestatav täiendav juurdepääsupiirang peab jääma Tromsø konventsiooni artikliga 3 antud raamidesse. Konventsiooni artikkel 3 annab ammendava loetelu põhjustest, millest tulenevalt võib piirata ametlikele dokumentidele juurdepääsu ning liikmesriigil ei ole õigust seda loetelu laiendada.

Eelnevast tulenevalt on Justiits- ja Digiministeerium seisukohal, et eriseaduses saab täiendava juurdepääsupiirangu ette näha üksnes juhul, kui AvTS sellekohast alust ei leidu. Eriseaduses sätestatud juurdepääsupiirangu normist peab nähtuma selgelt piirangu kehtestamise eesmärk ehk millist huvi avaliku huvi vastu kaalutakse. Seletuskirjas tuleb välja tuua, millise Tromsø konventsiooni artiklis 3 sätestatud aluse alla kavandatav juurdepääsupiirang mahub ja millise mõttekäigu tulemusel sellise järelduseni jõutud on.

Käesoleval juhul ei ole SeOS-es ette nähtud juurdepääsupiirangut, seega on kogu andmekogus sisalduv teave avalik, välja arvatud osas, milles on võimalik AvTS § 35 loetletud juurdepääsupiirangute alustest lähtuvalt teave asutusesiseseks kasutamiseks tunnistada. On kaheldav, et kogu teave peale seadme auditi, kontrolli ja isiku kompetentsust tõendava tunnistuse kohta, mis andmekogus sisaldub, on kaetud mõne AvTS §-s 35 sätestatud piirangualusega.

Lisaks eeltoodule tuleb olukorras, kus soovitakse avalikustada andmeid, mis kuuluvad mõne AvTS-is sätestatud juurdepääsupiirangu alla ja mis peaksid olema AvTS § 35 lõike 1 alusel asutusesiseseks kasutamiseks mõeldud teave, sätestada seaduses õiguslik alus andmete avaldamiseks. IKÜM kohaselt peab igasuguseks isikuandmete töötlemiseks olema õiguslik alus. Seega tuleb seaduses sätestada, milliseid isikuandmeid ja mis eesmärgil avalikustatakse. Hetkel kehtiv SeOS vastavat regulatsiooni ei sisalda, mis tähendab, et teavet isiku nime ja tema kompetentsust tõendava tunnistuse kohta ei ole võimalik avalikustada. Juhul kui vastava teabe avalikustamine on vajalik (nagu võib järeldada andmekogu põhimäärusest) tuleb selleks seaduses sätestada eraldi alus. Justiits- ja Digiministeerium palub esitatud märkuste pinnalt seadust täiendada.

5. Eelnõu seletuskirjas (lk 3) on öeldud, et määruse rakendamisega ei kaasne riigieelarvele

otseseid tulusid ega kulusid. Samas on seletuskirjas märgitud, et Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemis on valmimas vajalikud arendused. Justiits- ja Digiministeerium palub seletuskirjas selgitada, kas mainitud arendusega kaasnevad lisakulud või tehakse see olemasolevate Tarbijakaitse ja Tehnilise Järelevalve Ameti järelevalve infosüsteemi arendus- ja hoolduskulude raames.

Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister

9 Council of Europe Convention on Access to Official Documents (CETS No. 205) 10 Ametlikele dokumentidele juurdepääsu Euroopa Nõukogu konventsioon, RT II, 16.09.2020, 1. 11 Estonia - The Council of Europe Convention on Access to Official Documents (CETS No. 205)

5

Maria Sults 5886 2946 [email protected] Helen Uustalu Alar Teras