Arvamus eelnõule

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Lp Igor Taro Siseministeerium [email protected]

Teie 18.08.2025 nr 1-6/3227-1 Meie 02.09.2025 nr 2.3-4/25/2686-2

Arvamus taktikalise juhtimise andmekogu

põhimääruse muutmise eelnõule

Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks siseministri määruse

„Siseministri 25. septembri 2018. aasta määruse nr 22 „Politsei taktikalise juhtimise andmekogu

põhimäärus“ muutmine“ eelnõu.

Meil on eelnõu osas järgmised tähelepanekud.

1. Eelnõu § 1 punktiga 4 täiendatakse põhimääruse § 7 lõikes 2 toodud andmeandjate loetelu

nende andmete kategooriatega, mida politsei taktikalise juhtimise andmekogu (KILP)

teistest andmekogudest saab. Muudatustest nähtuvalt vahetab KILP andmeid 17 erineva

andmekoguga, kuid jätkuvalt jääb selgusetuks, kas ja millises ulatuses andmeandjatelt

saadud andmeid KILP-i salvestatakse.

AvTS § 435 lõike 1 järgi tuleb andmekogu põhimääruses muu hulgas sätestada nii

andmeandjad kui ka andmekogusse kogutavate andmete koosseis. See tähendab, et

põhimäärus peab sisaldama ammendavat loetelu andmekogusse kogutavatest andmetest,

sh peab andma ülevaate sellest, millised nendest andmetest on saadud teistest

andmekogudest (on mõne teise andmekogu põhiandmeteks).

Oleme ka varasemalt antud arvamuses1 selgitanud, et põhimääruses tuleb välja tuua ka see,

millised andmekogu andmed saadakse teistest andmekogudest, kuna vastasel juhul ei ole

võimalik määrata, millised andmed on KILP-i unikaalsed põhiandmed ja millised andmed

on saadud teistest andmekogudest. Samuti ei ole võimalik kontrollida, kas edastatavad

andmed kajastuvad ka andmekoosseisus, sh hinnata, kas need andmed on üldse andmekogu

eesmärgi täitmiseks vajalikud. Palume eelnõu selles osas täiendada.

Lisaks juhime tähelepanu Interpoli andmebaasiga andmevahetust puudutavale sättele.2

Täiendusest nähtuvalt esitab Interpoli andmebaas KILP-i isikuandmeid ning varastatud või

kaotatud reisidokumendi andmed, varastatud sõiduki andmed. Märgime, et isikuandmete

kaitse üldmääruse (IKÜM) artikkel 4 punkti 1 järgi on isikuandmed igasugune teave

tuvastatud või tuvastatava füüsilise isiku kohta, mis tähendab, et kõik andmed, mille kaudu

on isik kas otseselt või kaudselt tuvastatav, liigituvad isikuandmeteks. Seega ei anna

eelnõus toodud viisil sõnastatud säte teavet selle kohta, milliseid konkreetseid

isikuandmeid tegelikult Interpoli andmebaasist andmekogusse edastatakse. Palume säte

sõnastada selliselt, et oleks selge, milliseid isikuandmeid Interpoli andmebaasist

andmekogusse edastatakse.

1 Andmekaitse Inspektsiooni avalik dokumendiregister 2 Põhimääruse § 7 lõige 2 punkt 1

2 (3)

2. Ühtlasi peame vajalikuks veel kord juhtida tähelepanu politsei ja piirivalveseaduses

(PPVS) toodud volitusnormile. Nimelt on PPVS § 251 lõike 1 järgi andmekogu eesmärgiks

1) reageeriva ressursi planeerimine ja haldamine, 2) operatiivteadete ja -sündmuste

registreerimine, taktikalise juhtimise ja lahendamise korraldamine ning 3) rahvusvahelise

koostööga seotud operatiivinformatsiooni haldamine. Samas näeb põhimääruse § 1 lõige 3

aga ette andmekogu andmete kasutamist ka sündmuste ennetamisel, avastamisel ja

analüüsimisel ning statistilistel eesmärkidel. Nagu varasemalt oleme selgitanud, siis

põhiseadusest tulenevalt peab põhiõigusi puudutavates küsimustes kõik olulised otsused

langetama seadusandja, mis tähendab, et ka kõik andmekogu puudutavad olulised

küsimused, milleks kindlasti on andmekogu pidamise eesmärk, töödeldavate isikuandmete

liigid, andmete säilitamise tähtajad, peavad olema reguleeritud seaduse tasandil.

Sealjuures, mida intensiivsemalt isiku põhiõigusi riivatakse (nt mida tundlikumad on

andmed), seda täpsem peab olema selleks riiveks alust andev regulatsioon.

Põhimääruse muutmise eelmisel kooskõlastamisel antud selgitustes on leitud, et ei oleks

sisult õige sätestada seaduse tasandil, et KILP-i asutamise eesmärk on statistika

koostamine. Seni on lähtutud eeldusest, et tegu on andmekogu pidamisega seotud

korraldusliku küsimusega, mitte andmekogu asutamise eesmärgi laiendamisega. Sellise

lähenemisega ei saa nõustuda olukorras, kus seadusandja volitab vastutavat ministrit

asutama andmekogu volitusnormis loetletud ülesannete täitmiseks, kuid põhimäärusega on

asutud andmekogusse kogutud andmete kasutamise eesmärki laiendama selliselt, et

andmekogu andmeid tohib kasutada ka muudel eesmärkidel, kui on volitusnormis

loetletud. Siinjuures peame täiendavalt vajalikuks selgitada, et kui aruannete koostamiseks

ja statistika tegemiseks peetakse vajalikuks luua andmekogu juurde nt andmeladu, siis

tuleb ka andmeladu puudutav läbipaistvuse tagamiseks põhimääruses välja tuua.

Samuti ei nähtu volitusnormist, millist liiki isikuandmeid PPVS § 251 lõikes 2 loetletud

juhtudel töödeldakse. Nimelt on seaduse tasandil KILP-is töödeldavate andmete koosseis

kehtestatud sellise üldistusastmega, millest ei ole võimalik aru saada, milliseid

isikuandmeid andmekogus tegelikult töödeldakse. Oleme oma varasemas arvamuses3

seoses KILP-iga märkinud järgmist: Juba aastaid tagasi on AKI POLISe regulatsiooni osas

tähelepanu juhtinud, et nii ulatuslik isikuandmete töötlemine peab seaduse tasandil olema

selgemalt reguleeritud. Nüüd ei tohiks korrata sama viga, et andmekogu funktsionaalsuste

ülekandumisel POLISest KILPi reguleeritakse KILP seaduse tasandil sama ebamääraselt,

nagu POLIS.

Seega soovitame edaspidi PPVS muutmisel vaadata üle andmekogu eesmärk ning

sõnastada volitusnorm selliselt, et oleks aru saada, millistel eesmärkidel tohib andmekogu

andmeid kasutada ning millist liiki isikuandmeid ja kelle kohta andmekogusse kogutakse.

3. Kehtiva põhimääruse § 2 järgi on andmekogu vastutavaks töötlejaks Politsei- ja

Piirivalveamet ning volitatud töötlejateks Maksu- ja Tolliamet, julgeolekuasutus,

Kaitsevägi ning andmekogu arendamisel ja majutamisel SMIT4.

AvTS § 43⁴ lõike 1 järgi on andmekogul vastutav töötleja (haldaja), kes korraldab

andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab andmekogu

haldamise seaduslikkuse ja andmekogu arendamise eest. Sama paragrahvi lõige 2 annab

andmekogu vastutavale töötlejale õiguse volitada edasi andmete töötlemist ja andmekogu

majutamist teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule

juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava

töötleja poolt ettenähtud ulatuses.

Põhimäärusest nähtuvalt täidab andmekogu arendamise ja majutamisega seotud ülesandeid

SMIT, kuid selgusetuks jääb, milline on ülejäänud volitatud töötlejate roll andmekogu

pidamisel.

3 30.08.2021 nr 1.2.- 4/21/2290 4 Siseministeeriumi infotehnoloogia- ja arenduskeskus

3 (3)

Andmekogude juhendi punktis 3.2 on välja toodud loetelu andmekogu pidamise olulistest

küsimustest, mida tuleks põhimäärusega reguleerida. Selleks tuleks põhimääruses muu

hulgas välja tuua volitatud töötleja ja tema roll ning kohustuste jaotus andmekogu

vastutava ja volitatud töötleja vahel. Juhendis on selgitatud: et tööjaotus ja vastutus

andmekogu töötlejate vahel oleks selge, on mõistlik vastavalt tegelikule tööjaotusele

kirjeldada, kes mida teeb. Näiteks kes haldab kasutajaõigusi, kes vastab päringutele, kes

andmekogu arendab ja rahastab jne.

Põhimääruse § 16 pealkirjast nähtuvalt peaks säte sisaldama volitatud töötleja ülesandeid.

Tegelikult aga ei nähtu nimetatud paragrahvist tegelik kohustuste jaotus vastutava ja

volitatud töötleja vahel – kõik (k.a vastutav töötleja) vastutavad isikuandmete

nõuetekohase töötlemise ja toimingute õiguspärasuse eest, tagavad andmekogu

nõuetekohase pidamise ning rakendavad vajalikke turbemeetmeid. Säte ei anna aga vastust

küsimusele, milliseid ülesandeid on volitatud töötlejad andmekogu pidamisel, s.o andmete

töötlemisel kohustatud täitma. Põhimäärusest nähtuvalt on juurdepääsude haldamine,

andmete väljastamine ja ebaõigete andmete parandamine vastutava töötleja ülesandeks.

Küll aga võib põhimääruse § 8 lõikest 2 tulenevalt eeldada, et volitatud töötlejate

ülesandeks on andmete andmekogusse kandmine, kuid selgusetuks jääb, milliseid

andmekogu andmeid volitatud töötlejad on kohustatud andmekogusse kandma ning milline

on seoses kandmisega nende vastutus.

Lisaks selgitame, et kui andmekogu volitatud töötlejad kannavad andmekogusse

isikuandmeid seoses õigusaktidest tulenevate ülesannete täitmisega, siis võib tegemist olla

IKÜM mõistes isikuandmete kaasvastutavate töötlejatega, kelle vastutusvaldkonnad

isikuandmete töötlemisel tuleb samuti põhimääruses kindlaks määrata.

IKÜM artikli 26 lõige 1 näeb ette, et kui kaks või enam vastutavat töötlejat määravad

ühiselt (või on seda nende eest teinud ametlikult juba seadusandja) kindlaks isikuandmete

töötlemise eesmärgid ja vahendid, siis on nad kaasvastutavad töötlejad.

Kaasvastutavate töötlejate vastutuse määramisel isikuandmete töötlemisel tuleb eelkõige

arvesse võtta andmesubjektide õiguste kasutamist ja teabe andmise kohustusi. Lisaks peaks

vastutuse jaotus hõlmama muid vastutava töötleja kohustusi, näiteks seoses üldiste

andmekaitsepõhimõtete, õigusliku aluse, turvameetmete, andmetega seotud rikkumisest

teatamise kohustuse, andmekaitse mõjuhinnangute, volitatud töötlejate kasutamise,

kolmandate riikide andmete edastamise ning andmesubjektide ja järelevalveasutusega

suhtlemisega. Kuigi IKÜM kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku

vormi ei täpsusta, soovitab Euroopa Andmekaitsenõukogu õiguskindluse huvides ning

läbipaistvuse ja vastutuse tagamiseks sellise kokkuleppe sõlmida siduva dokumendina,

näiteks lepingu või muu liidu või liikmesriigi õiguse kohase õiguslikult siduva aktina,

millele vastutavad töötlejad on allutatud ehk antud juhul andmekogu põhimäärusena.5

Lugupidamisega

(allkirjastatud digitaalselt)

Pille Lehis

peadirektor

Terje Enula

[email protected]

627 4144

5 Suunised 07/2020 vastutava töötleja ja volitatud töötleja mõistete kohta isikuandmete kaitse üldmääruses