Kiri

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Õiguskantsleri Kantselei [email protected] Vastus ettepanekutele täitmisregistri kohta Lugupeetud õiguskantsler Õiguskantsler saatis Riigikogule ning justiits- ja digiministrile 01.07.2025 kirja nr 7-7/250081/2504808 pangasaladuse kaitse ja täitmisregistri kohta. Kirjas tegi õiguskantsler justiits- ja digiministrile ettepaneku 1) kehtestada esimesel võimalusel täitmisregistri põhimäärus ning 2) reguleerida põhimääruses järelevalve täitmisregistri kasutamise üle sellisel viisil, et oleks võimalik kontrollida nii tehtud päringute arvu kui ka iga konkreetse päringu sisulist põhjendatust, mh seost konkreetse menetlusega, mille raames päring esitatakse. Järelevalve peaks õiguskantsleri hinnangul olema võimalik ka väljaspool registrit kasutavat asutust, st nt võiks ministeerium kontrollida muu hulgas seda, kuidas kasutavad registrit teised asutused. Kirjas palusite endale teada anda, kuidas kavatsetakse soovitusi täita. Justiits- ja digiminister kehtestas täitmisregistri põhimääruse 08.07.2025 määrusega nr 9. Seega on esimene ettepanek täidetud. Ministeerium peab vajalikuks rõhutada, et andmekogust ja andmetöötlusest rääkides on oluline eristada andmekogu vastutava töötleja ja isikuandmete vastutava töötleja mõisteid. Avaliku teabe seaduse (AvTS) mõistes vastutab andmekogu vastutav töötleja andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest1, aga mitte isikuandemete töötlemise seaduslikkuse eest isikuandmete kaitse üldmääruse (IKÜM) artikkel 5 lõige 1 punkti (a) ja lõige 2 alusel – selle eest saab vastutada ainult isikuandmete vastutav töötleja. Juhul, kui regulatsioon määratleb vaid andmekogu vastutava töötleja ning ei täpsusta otsesõnu, kes on isikuandmete vastutav töötleja, tuleb vastuse selle väljaselgitamiseks kohaldada IKÜM artikkel 4 punkti 7 (õiguskaitseasutuste osas direktiivi artikkel 3 punkti 8), mille kohaselt on isikuandmete vastutavaks töötlejaks asutus, kes määrab kindlaks lisaks vahenditele ka töötlemise eesmärgid. Eelviidatud isikuandmete kaitse üldmääruse kui ka direktiivi kohaselt võib isikuandmete vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses. Täitmisregistri osas on isikuandmete vastutav töötleja sätestatud põhimääruse § 9 lõikes 4. Kokkuvõttes on ministeerium täitmisregistri vastutav töötleja AvTS-i mõttes, kuid isikuandmete vastutavaks töötlejaks on asutus, kes oma ülesannete täitmiseks täitmisregistri kaudu päringuid teeb. Õiguskantsler tegi oma kirjas ettepanekuid ka selle kohta, kuidas põhimääruses reguleerida järelevalvet täitmisregistri kasutamise üle. Põhimääruse § 4 punkti 6 kohaselt teostab ministeerium järelevalvet selle üle, kas registriga päringute tegemiseks liidestunud kasutaja isikuandmete vastutava töötlejana on teostanud piisavat kontrolli andmete töötlemise õiguspärasuse üle, küsib selgitusi, teeb ettepanekuid puuduste kõrvaldamiseks ning otsustab juurdepääsuõiguse äravõtmise. Samuti kontrollib ministeerium põhimääruse § 4 punkti 3 kohaselt enne avaliku võimu kandja infosüsteemi registriga liidestamist selleks õigusliku aluse olemasolu ja asjakohasust. Õiguste andmisel ja

1 AvTS § 434 lõike 1 kohaselt korraldab andmekogu vastutav töötleja andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest.

eie 01.07.2025 * r 7-7/250081/2504808 *

Meie 21.10.2025 nr 10-2/5713

2

äravõtmisel lähtutakse kasutajale seadusega pandud konkreetsetest ülesannetest, arvestades seaduses sätestatud piiranguid (§ 9 lõige 1). Põhimääruse § 9 lõige 4 täpsustab selguse huvides, et registriga liidestatud avaliku võimu kandja on isikuandmete vastutav töötleja, kes vastutab andmete töötlemise õiguspärasuse ning kõikide turvanõuete täitmise eest, on kohustatud teostama selle üle piisavat kontrolli ning enne juurdepääsuõiguse ja päringute tegemise õiguse saamist esitama registri vastutavale töötlejale kinnituse asjakohaste meetmete rakendamise kohta. Küll aga ei ole põhimääruse kohaselt ministeeriumi ülesandeks kontrollida päringute sisulist põhjendatust, mh seost konkreetse menetlusega, mille raames päring esitatakse. Sellise kontrolli tegemine eeldaks sisulist tutvumist päringuid tegeva asutuse (näiteks Kaitsepolitseiameti või Politsei- ja Piirivalveameti) menetlusega ning hinnangu andmist sellele, kas vastava menetluse raames oli konkreetse päringu tegemine põhjendatud. Ei ole mõeldav, et ministeerium hakkaks päringute põhjendatuse hindamiseks kriminaalasjade menetlusi sisuliselt kontrollima. Samuti eeldaks selline kontroll sisulist tutvumist päringutes küsitud andmetega. Infovahetuskanali pakkumiseks ei ole päringutega küsitud andmetega sisuline tutvumine vajalik ega põhjendatud, mistõttu ei oleks see kooskõlas andmetöötluse eesmärgipärasuse ega minimaalsuse põhimõtetega. Põhimääruse § 9 lõige 6 näeb ette, et päringu tegija teeb krediidi- ja makseasutusele kättesaadavaks mh andmete kasutamise eesmärgi, viite päringu alusdokumendile või menetlusele ja päringu õigusliku aluse ning salvestab need andmed enda infosüsteemis. Seega on päringute tegemise õiguspärasus vajadusel kohtulikult kontrollitav. Samuti aitab päringute tegemise põhjendatust tagada see, et avaliku võimu kandja vastutab andmete töötlemise õiguspärasuse ning kõikide turvanõuete täitmise eest, on kohustatud teostama selle üle piisavat kontrolli ning enne juurdepääsuõiguse ja päringute tegemise õiguse saamist esitama registri vastutavale töötlejale kinnituse asjakohaste meetmete rakendamise kohta. Lisaks eelnevale on ministeerium ette valmistanud täitemenetluse seadustiku ning tsiviilkohtumenetluse seadustiku ja täitemenetluse seadustiku rakendamise seaduse muutmise seaduse eelnõu, millega kavandatavad muudatused suurendavad täitmisregistri kaudu tehtavate päringute läbipaistvust, võimaldades isikutel saada senisest parema ülevaate nende kohta tehtud päringutest. Selleks nähakse eelnõuga ette kohustus, et täitmisregistriga liituvad kasutajad peavad enne registriga liitumist liidestuma ka tehnilise lahendusega (nn andmejälgija), mis võimaldab kuvada isikule teavet tema kohta tehtud päringute kohta, ning tegema kättesaadavaks teabe tehtud päringute kohta. Inimestel on oma andmete kasutamist soovi korral lihtsam jälgida – vajalik teave on koondatud ühte kohta ja kättesaadav elektrooniliselt, mis suurendab läbipaistvust, aitab avastada ja vaidlustada ebaseaduslikke päringuid ning vähendab andmete väärkasutuse riski. Eelnõuga ajakohastatakse täitemenetluse seadustikus õigusselguse huvides ka andmekogude regulatsiooni, sätestades seaduse tasandil andmekogudes töödeldavate isikuandmete kategooriad, andmete säilitamise maksimaalse tähtaja ning volitusnormis selgemalt põhimääruse kehtestamise raamid. Eelnõu on hetkel juba Riigikogu menetluses. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Glen Roosaar 53293222 [email protected]