Isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõuga muudetakse isikuandmete kaitse seaduse § 6, mis käsitleb olukordi, kus isikuandmeid kasutatakse teadusuuringutes, ajaloouuringutes või riikliku statistika koostamisel. Alates 2018. aastast kehtib Euroopa Liidus isikuandmete kaitse üldmäärus (IKÜM)1, mis näeb ette, kuidas isikuandmeid tohib töödelda. Kuigi see määrus kehtib otse kõigis Euroopa Liidu riikides, on liikmesriikidel lubatud mõnes valdkonnas täpsustada, kuidas andmeid töödelda. Eestis on seda tehtud isikuandmete kaitse seadusega (IKS). IKS § 6 on just see osa seadusest, mis näeb ette, millal ja kuidas tohib isikuandmeid inimese nõusolekuta kasutada teadus- ja ajaloouuringu ning statistika vajadusteks.
Viimase viie aasta jooksul on selgunud, et kehtiv seadus ei ole piisavalt selge ja piirab liialt seda, kes tohib andmeid kasutada. Näiteks praegu tohib avalik sektor uuringuid teha ainult siis, kui need on seotud poliitika kujundamisega. See ei võimalda aga asutustel teha analüüse näiteks teenuste arendamiseks. Uuringuid ja analüüse peaks saama teha ka muudel eesmärkidel kui poliitika kujundamine.
Muudatusega nähakse ette selgemad reeglid ja kaitsemeetmed – eelnõuga täpsustatakse, millised tingimused peavad olema täidetud, et andmeid saaks kasutada uuringutes, tagades samas isikute põhiõiguste parema kaitse. Muudatusega luuakse võimalus kiiremaks andmetöötluseks, kasutades eelnõus sätestatud tingimustele vastavat andmetöötlussüsteemi. Muudatused puudutavad eelkõige neid, kes teevad uuringuid ja analüüse (nt riigiasutused, teadusasutused, ettevõtjad), aga ka andmekogude vastutavaid töötlejaid ning neid isikuid ja asutusi, kes plaanivad andmetöötlussüsteemi pakkuma hakata.
Kavandatavate muudatuste tulemusel väheneb ettevõtjatel ja ülikoolidel halduskoormus rakendus- ja teadusuuringute tegemisel. Senisest selgemaks ja teatud juhtudel lihtsamaks muutub isikuandmete töötlemine andmesubjekti nõusolekuta – eelkõige olukordades, kus töödelda soovitakse eriliiki isikuandmeid, mille töötlemiseks on kehtiva korra kohaselt alati vaja eetikakomitee hinnangut. Edaspidi piisab nõutud kaitsemeetmete rakendamisest. Eelduslikult väheneb ka eetikakomiteede halduskoormus.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi õiguspoliitika osakonna andmekaitseõiguse talituse nõunik Kristel Niidas (
[email protected], 5305 5220).
Eelnõu normitehnilise kontrolli on teinud Justiits- ja Digiministeeriumi õiguspoliitika osakonna õigusloome korralduse talituse nõunik Katariina Kärsten (
[email protected]) ja eelnõu on keeleliselt toimetanud sama talituse toimetaja Mari Koik (
[email protected]).
1.3. Märkused
Eelnõu kohaselt muudetakse järgmisi seadusi:
• isikuandmete kaitse seadus (IKS) avaldamismärkega RT I, 12.07.2025, 14;
• teadus- ja arendustegevuse ning innovatsiooni korralduse seadus (TAIKS) avaldamismärkega RT I, 12.07.2025, 1.
Eelnõu ei ole otseselt seotud teiste menetluses olevate eelnõudega ega Euroopa Liidu õiguse rakendamisega. Eelnõu on seotud Vabariigi Valitsuse tegevusprogrammis2 seatud eesmärgiga, tegevusprogrammi punkt 402 (isikuandmete kaitse seaduse muutmine, et täpsustada teadus- ja poliitika kujundamise uuringute ning tehnoloogia arenduse eesmärgil isikuandmete töötlemise tingimus). Eelnõu vastuvõtmiseks on vajalik Riigikogu poolthäälteenamus.
2. Seaduse eesmärk
Eelnõu eesmärk on tagada õigusselgus, kes ja millistel tingimustel võivad andmesubjekti nõusolekuta töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. On oluline, et kõigile osapooltele, kellel on vaja isikuandmeid nimetatud eesmärgil töödelda, kohalduksid võrdsed õigused ja kohustused, olgu selleks ülikool, üliõpilane, riigiasutus, kohalik omavalitsus (KOV) või ettevõtja, kes soovib teha teadusuuringut või innovatsiooni avalikes huvides. Samuti on eelnõu eesmärk täpsustada kaitsemeetmeid, mida tuleb andmetöötlusel rakendada, et oleks tagatud andmesubjektide õiguste kaitse. Eelnõu eesmärk on ka luua lahendus, mis võimaldab kiiremaid protsesse nii klassikalises teaduses kui ka riigisektoris ja innovatsioonis, juhul kui andmetöötluseks kasutatakse eelnõus ette nähtud tingimustele ja nõuetele vastavat andmetöötlussüsteemi. Eelnõuga nähakse ette enne andmetöötlussüsteemi kasutuselevõttu tehtav Andmekaitse Inspektsiooni (AKI) kontroll, selgitamaks välja, kas süsteem vastab seaduses sätestatud tingimustele. Samuti nähakse ette kohustus AKI-t uuringust teavitada, et oleks selge ülevaade, kes milliste andmetega ja millisel eesmärgil uuringuid teeb. Samuti nähakse eelnõuga ette, et teatud juhtudel, kui uuringu eesmärki ei ole võimalik muul viisil saavutada kui nii, et töödeldakse isikustatud andmeid, peab uuringu tegija enne uuringuga alustamist läbima seadusega või selle alusel moodustatud valdkondliku eetikakomitee. Varem on olnud ebaselgust, kelle poole peaks uuringu tegija pöörduma, kas eetikakomitee või AKI või mõlema. Muudatusega luuakse selgus, et tuleb pöörduda eetikakomiteesse. Võrreldes varasemaga on täpsustatud, et eetikakomitee peab olema moodustatud seadusega või selle alusel, kuna kehtiva seaduse kohaselt võiks eetikakomitee luua põhimõtteliselt igaüks.
Eelnõuga muudetakse IKS § 6, mis on õiguslikuks aluseks isikuandmete töötlemisel, kui seda on vaja teha teadus- või ajaloouuringu või riikliku statistika vajadusteks. 25. maist 2018 sätestab isikuandmete kaitse õiguse otsekohalduv Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (IKÜM)2, mis tingis vajaduse sel hetkel kehtinud riigisisene õigus üle vaadata. Kuigi IKÜM-i puhul on tegemist Euroopa Liidu otsekohalduva õigusaktiga, on teatud küsimustes jäetud liikmesriikidele kaalutlusõigus riigisisese õigusaktiga täpsustada IKÜM-is sätestatud isikuandmete töötlemisega seotud küsimusi. IKS-iga loodi üldised raamid isikuandmete töötlemisele küsimustes, mis IKÜM-iga on jäetud liikmesriigi otsustada. Tegemist on erandiga, mis tuleneb IKÜM-i artiklist 89. IKS § 6 põhineb ka IKÜM-i artikli 6 lõike 1 punktil e, mille kohaselt on liikmesriigil võimalik õigusaktiga täpsustada avalikes huvides oleva ülesande täitmise aluseid. Teadus- ja ajaloouuringud ning statistika on avalikes huvides olevad ülesanded.
IKS-i uue tervikteksti jõustumisest on möödas üle viie aasta ning selle aja jooksul on selgunud mitu probleemi IKS § 6 tõlgendamisel ja rakendamisel. Eelnõuga täiendatakse IKS § 6 täiendavate kaitsemeetmetega. Sätestatakse täpsemad tingimused, millele andmetöötlus peab vastama, et oleksid täidetud IKÜM-i nõuded ja andmesubjekti õigused oleksid kaitstud. Selleks, et andmeid oleks võimalik teadustöös kasutada, nähakse ette, millised kaitsemeetmed on piisavad, et võimaldada andmesubjekti nõusolekuta isikuandmete töötlemist teadusuuringutes. Kehtiv IKS kitsendab ülemäära asutuste ringi, kellel on lubatud analüüse ja uuringuid teha. Kehtiva seaduse kohaselt loetakse teadusuuringuks täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. On leitud, et ei ole otstarbekas asutuste uuringute tegemise õigust siduda üksnes poliitika kujundamisega, asutustel on vaja analüüse ja uuringuid teha ka muul otstarbel, nt teenuste arendamiseks jne. Eelnõuga luuakse selged raamid, millised asutused võivad IKS § 6 alusel analüüse ja uuringuid teha.
Riigikantselei tellitud NJORD Advokaadibüroo analüüsis3 on käsitletud probleemi, et asutustel ei ole võimalik teha kiireid andmepõhiseid otsuseid. Muudatus ühtlustab kõikide uuringute tegemise tingimused. Uue lahendusena uuringu kiiremaks tegemiseks luuakse muudatusega võimalus andmeid töödelda eelnõus ettenähtud tingimustele vastavas andmetöötlussüsteemis. Luuakse võimalus uuringuid kiiremini teha, samas nähakse ette lisatingimused ja kaitsemeetmed.
Muudatused mõjutavad eelkõige uuringu tegijaid – andmekogude vastutavaid töötlejaid. Muudatused on vajalikud, et kaasajastada ja ühtlustada uuringu tegemise andmetöötluse tingimusi ning sätestada täiendavad kaitsemeetmed, et andmesubjektide põhiõigused oleksid paremini kaitstud.
Muudatuste kohta on koostatud seaduseelnõu väljatöötamise kavatsus (VTK)3. VTK kohta märkuste esitajad on kirjas seletuskirja 10. osas. VTK-s pakuti välja kaks lahendust: esiteks, et erinevatele uuringu tegijatele kehtivad erinevad tingimused; teiseks, et kõigi uuringu tegijate suhtes võiks kehtida samasugune regulatsioon. Selleks, et regulatsioon oleks selge, üheselt arusaadav ja võrdne kõigile osapooltele, on eelnõus valitud lahendus, et kõik uuringu tegijate suhtes kehtivad tingimused on ühtlustatud. VTK kajastas tol hetkel veel jõustumata regulatsiooni (mis praegu on jõustunud), mille kohaselt: kui uuringus töödeldakse isikuandmeid kujul, mis ei vasta seaduses sätestatud tingimustele, ning seda tehakse kaitsemeetmeid rakendamata, hindab n-ö tavalisi uuringuid eetikakomitee ja poliitika kujundamise uuringuid AKI. Erinevalt VTK lisas välja pakutud eelnõust allutatakse siinse eelnõuga kõik uuringud eetikakomitee hindamisele. Lisandub AKI teavitamise kohustus, kui andmetöötlus toimub seadusega sätestatud kaitsemeetmeid rakendades, ning AKI kontroll andmetöötlussüsteemi kasutuselevõtul. Siinses eelnõus ette nähtud tööjaotust toetab ka IKÜM-i loogika, mille kohaselt on AKI-l nõustamise ja järelevalve pädevus, kuid AKI ei anna lubasid andmetöötluseks.
3. Eelnõu sisu ja võrdlev analüüs
3.1. Eelnõu sisu
Eelnõu koosneb kahes paragrahvist, millest esimene sätestab IKS-i kavandatud muudatused ja teine TAIKS-i muudatuse.
§ 1. Isikuandmete kaitse seadus
IKS § 6
Lõige 1 sätestab, et isikuandmeid, sealhulgas eriliiki isikuandmeid, võib andmesubjekti nõusolekuta teadus-, ajaloo- või statistikauuringu (edaspidi uuring) eesmärgil töödelda, kasutades pseudonüümimist või muud samaväärset kaitset pakkuvat meedet.
Põhiseaduse (PS) § 26 teine lause sätestab eraelu käsitleva piiriklausli, mille kohaselt võib sekkuda perekonna- ja eraellu seaduses sätestatud juhtudel ja korras tervise, kõlbluse, avaliku korra või teiste inimeste õiguste ja vabaduste kaitseks, kuriteo tõkestamiseks või kurjategija tabamiseks. Paragrahvi 26 teises lauses on seega sätestatud kvalifitseeritud seadusereservatsioon, mis lubab eraelu riivata üksnes seaduse alusel ja § 26 teises lauses kindlaks määratud põhjustel. PS koosmõjus IKÜM art 6 lõike 1 punktiga e kannab mõtet, et isikuandmete töötlemine on võimalik seaduse alusel, kui see on vajalik avalikes huvides oleva ülesande või avaliku võimu teostamiseks. Teadus- ja ajaloouuringud ning statistika on avalikes huvides olevad ülesanded. Siinkohal ei muudeta juba kehtivat seadust ja sellest tulenevaid põhimõtteid, vaid tegemist on pigem sõnastusliku muudatusega.
IKS §-ga 6 on juba sätestatud õiguslik alus andmesubjekti nõusolekuta isikuandmete töötlemiseks teadus- ja ajaloouuringu ning statistika eesmärgil. Lõike 1 kohaselt nimetatakse teadus- ja ajaloouuringut ning statistika eesmärgil tehtavat uuringut edaspidi ühise nimetusega „uuring“. Samuti sätestatakse põhimõte, et eelkõige, kui asjaolud võimaldavad, tuleb enne uuringu tegemist andmed pseudonüümida või kasutada muud samaväärset kaitset pakkuvat meedet, mis on ka praegu kehtiv põhimõte. Sättest on välja jäetud sõna „riiklik“, sest säte kohaldub igasuguse, mitte ainult riikliku statistika kohta. Statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringuteks või statistika koostamiseks.
IKÜM-i põhjenduse 159 kohaselt tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada nii laialt, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks arvesse võtta EL-i toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum, rahvatervise valdkonnas peaks teadusuuringute eesmärk hõlmama avalikust huvist lähtuvalt tehtud uuringuid. Seega on IKÜM-iga loodud võimalikult lai tõlgendus.
Tuleb silmas pidada, et ka tehisaru arendamine on osa tehnoloogiaarendusest ning ka tehisaru andmetöötlusele kohaldub IKS § 6 juhul, kui tehisaru arendamisel soovitakse kasutada isikuandmeid. Tehisaru arendamist tuleb seega käsitleda ühe osana laiemast teadus- ja arendustegevusest, millele IKÜM annab selge õigusliku aluse – nii arendus-, treening-, valideerimis- kui ka testimisfaasis.
Loomulikult tuleb tehisaru arendada esmajärjekorras anonüümitud andmetega. Kui konkreetse tehisaru arendamiseks anonüümitud andmetest ei piisa, peab isikuandmete kasutamine vastama IKS §-s 6 sätestatud tingimustele. Tuleb alati silmas pidada, milliseid andmeid ja kellele tehisaru arendamiseks edastatakse. See tähendab, et igas tehisaru arenduse etapis tuleb hinnata, millised isikuandmed on vältimatult vajalikud, milline on nende roll mudeli treenimisel ja selle kvaliteedis ning kuidas tagatakse põhiõiguste kaitse kogu arendustsükli jooksul.
Arvestada tuleb kõikide IKÜM-is sätestatud andmetöötluse põhimõtetega, sh andmete minimaalsuse ja eesmärgipärasuse põhimõttega. Tehisaru arendamisel tuleb hinnata, milliseid isikuandmeid on tarvis konkreetse eesmärgi saavutamiseks töödelda. Andmetöötlus peab olema selline, et oleks tagatud isikute põhiõiguste kaitse.
On oluline rõhutada, et tehisaru ei ole asi iseeneses, selle arendamise eest vastutab alati asutus või isik, kes seda arendab, mh määrab andmetöötluse eesmärgid, otsustab, milliseid isikuandmeid arendamisel kasutatakse jne. Nii nagu iga uuringu puhul on ka tehisaru arendaja uuringu tegija ja isikuandmete vastutav töötleja IKÜM-i artikli 4 punkti 7 mõttes. Kui tehisaru arendamisel osaleb mitu isikut või asutust, kes ühiselt määravad, kuidas ja millisel eesmärgil andmeid töödeldakse, siis on nad kaasvastutavad töötlejad (IKÜM art 26). Kui asutus või isik soovib tehisaru arendada, aga tal ei ole selleks tehnilist kompetentsi, võib eesmärkide täitmiseks kasutada ka volitatud töötlejat (IKÜM art 4 p 8). Sellisel juhul töötleb tehisaru arendaja andmeid ainult vastavalt arenduse tellinud asutuse juhistele ja arendaja on volitatud töötleja. Seega tuleb tehisaru arendamisel alati läbi mõelda osapoolte rollid, kohustused ja vastutus ning seal kohalduvad IKS § 6 sätted nagu iga teise uuringu puhul.
Tehisaru arendamisega seotud teadus- ja arendustegevust hakkab tulevikus mõjutama ka Euroopa Liidu tehisintellekti määrus (TI määrus)4. TI määrus tugevdab tehisaru arendamise õiguspärast raamistikku, luues lisavõimaluse kasutada seaduslikult – kuid muudel eesmärkidel – kogutud isikuandmeid tehisaru arendamiseks, treenimiseks ja testimiseks regulatiivses katsekeskkonnas (TI määruses regulatiivliivakast). TI määruse artikli 3 punkti 55 kohaselt on tehisintellekti regulatiivne katsekeskkond pädeva asutuse loodud kontrollitud raamistik, mis pakub tehisintellektisüsteemide pakkujatele võimalust arendada, treenida, valideerida ja testida tehisaru regulatiivse järelevalve all. TI määruse artikli 59 kohaselt võib regulatiivses katsekeskkonnas töödelda muudel eesmärkidel seaduslikult kogutud isikuandmeid, kui tehisaru arendatakse avalikes huvides ja täidetud on muud nimetatud artiklis kirjeldatud nõuded. See loob Eestis olulise võimaluse edendada usaldusväärse ja õiguspärase tehisaru arendamist, vähendada õiguslikku ebakindlust ning võimaldada testida kõrge riskiga tehisarul põhinevad süsteeme kontrollitult reaalses keskkonnas. TI määruse artikli 57 lõike 1 kohaselt peab Eesti looma tehisintellekti regulatiivse katsekeskkonna hiljemalt 2. augustiks 2026. Liivakasti loomine on seega otseselt vajalik selleks, et soodustada innovatsiooni ning tagada teadus- ja arendustegevuse jätkusuutlik areng ning luua ettevõtjatele ja riigiasutustele turvaline raamistik innovatsiooniks ning turunõuetele vastavuse tagamiseks.
Samuti on IKÜM-ist tulenevat laia tõlgendust silmas pidades oluline, et teadusuuringuid tuleb mõista laiemalt kui üksnes teadusasutuste tehtavaid uuringuid. IKÜM ei piiritle isikute ringi, kes võiksid teadusuuringuid teha.
Lõige 2 sätestab, et uuringuks peetakse ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüse ja uuringuid, sealhulgas tehnoloogiaarendusi. Muudatusega laiendatakse uuringu tegijate ringi, kuna kehtiv seadus piirab üleliia isikute ringi, kes võiksid uuringuid teha. Samuti ei ole uuring edaspidi seotud üksnes poliitika kujundamise eesmärgiga, kuna asutustel on ka muudel, nt teenuste arendamise eesmärgil vaja uuringuid teha. Selle sätte eesmärk on anda uuringule laiem tähendus, mis hõlmab peale akadeemiliste ja teadusuuringute ka riigi ja omavalitsusüksuste ning nende allasutuste koostatud või tellitud analüüse, uuringuid ja tehnoloogiaarendusi. See tähendab, et kõik tegevused, mille käigus kogutakse, analüüsitakse ja tõlgendatakse andmeid avalike ülesannete täitmiseks, loetakse seaduse tähenduses uuringuks. Säte tagab, et riigi ja KOV-i asutuste tehtud analüüsid ja tehnoloogiaarendused alluvad samadele nõuetele ja regulatsioonidele nagu klassikalised uuringud. See aitab kaasa läbipaistvusele, kvaliteedile ja ühtsele õiguslikule käsitlusele kogu avalikus sektoris.
Lõige 3 sätestab täpsemad tingimused, millisel juhul peetakse pseudonüümimist või muud samaväärset kaitset pakkuvat meedet piisavaks, et andmesubjekti õigused oleks kaitstud. Kehtivas IKS-is andmete psedonüümimise tingimusi kindlaks määratud ei ole, seega võiks IKS § 6 kontekstis näiteks lihtsalt inimese nime asendada numbriga ja väita, et tegemist on pseudonüümitud andmetega. Tegelikkuses on pseudonüümimisel mitu tasandit ning isikut saab tuvastada ka muude andmete põhjal kui üksnes nimi ja isikukood. Euroopa Andmekaitsenõukogu on võtnud 2025. aasta 16. jaanuaril vastu pseudonüümimist käsitlevad suunised5, mis on praegu avalikul konsultatsioonil ja võivad seetõttu küll veel muutuda, kuid milles on selgitatud, et pseudonüümimine on kaitsemeede, mida vastutavad töötlejad saavad kohaldada, et täita andmekaitseõiguse nõudeid ja eelkõige tõendada vastavust andmekaitsepõhimõtetele kooskõlas IKÜM-i artikli 5 lõikega 2. Ühine arusaam pseudonüümimisest on, et see tähendab üksikisikute identifikaatorite asendamist pseudonüümidega. Isikuandmeid ei ole võimalik omistada konkreetsele andmesubjektile ilma lisateavet kasutamata. Selleks on vaja vaadata isikuandmete kõiki osi, mitte ainult varjunimesid. Samuti on öeldud, et andmete hulgast tuleb eemaldada otsesed tunnused, et neid andmeid ei omistataks üksikisikutele. Pseudonüümimist võib kooskõlas IKÜM-i artikli 32 lõikega 1 kasutada ühena mitmest meetmest, mis aitavad tagada andmetöötlustoimingu riskile vastava turvalisuse taseme. Seega tuleb silmas pidada, et pseudonüümimine pole ainus meede piisava andmekaitse taseme tagamiseks, vaid olemas on palju privaatsuskaitse tehnoloogiaid, mida andmetöötluses on võimalik kasutada.
2023. aastal valmis Majandus- ja Kommunikatsiooniministeeriumi tellimusel privaatsuskaitse tehnoloogiate kontseptsioon6, mis kirjeldab tehnoloogiaid ja pakub nende rakendamiseks e-riigis üldised mudelid. Kontseptsioonis on esile toodud, et privaatsuskaitse tehnoloogiate arendamise eesmärkidest on kõige suuremat tähelepanu pälvinud andmete seostamatus (isikustatavuse välistamine/vähendamine), kuna see toimib andmete väärkasutamise esmase kaitseliinina ja hõlmab rakenduslikus mõttes kõige küpsemaid tehnoloogiaid. Eesti Vabariigi digiühiskonna arengukava aastani 20307 näeb ühe põhimõttena ette inimeste põhiõiguste, sh privaatsuse kaitse. Arengukavas peetakse privaatsuskaitse tehnoloogiate rakendamist oluliseks andmepõhise riigivalitsemise ja andmete taaskasutuse saavutamisel. IKÜM-i artikkel 25 näeb isikuandmete töötlemisel ette lõimitud ja vaikimisi andmekaitse rakendamist.
Muudatusega sätestatakse, et pseudonüümimine või muu samaväärset kaitset tagav meede on piisav üksnes siis, kui on täidetud kõik neli järgmist tingimust:
1) enne isikuandmete üleandmist uuringu tegijale need pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid vastava päringu saanud andmekogus;
2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada;
3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut, kelle isikuandmeid, sh eriliiki isikuandmeid, töödeldi;
4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju.
Punktis 4 sätestatud tingimuse all on mõeldud konkreetset ja kohest mõju ühele andmesubjektile, mitte aga olukorda, kus andmetöötluse eesmärk on saada ülevaade nt teatud sihtgrupile kehtivatest kohustustest ja kujundada andmesubjekti kohustusi (nt poliitikameede avalik-õigusliku rahalise kohustuse, nt maksu, tasu, lõivu vms kehtestamiseks) – selline töötlemine ei ole keelatud. Ebasoodne mõju võib tekkida uuringule järgneda võivatest õigusaktide muudatustest, mis aga enne vastuvõtmist läbivad vajaliku kooskõlastuse ja heakskiitmise, uuringust endast ei teki andmesubjektile ebasoodsaid mõjusid.
Seega ei ole piisav üksnes nime asendamine pseudonüümiga, vaid kasutada tuleb ka lisameetmeid.
Lõike 4 kohaselt saab IKS § 6 lõike 3 punkti 1 tingimuse (enne isikuandmete üleandmist uuringu tegijale isikuandmed pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid vastava päringu saanud andmekogus) täita, kaasates Statistikaameti. Statistikaametile antakse õigus isikustatud andmeid töödelda selleks, et muuta need uuringu tegijale sisuliselt anonüümseteks andmeteks. See on alternatiivne lahendus juhuks, kui näiteks on vaja eri andmekogude andmed isikustatud kujul ühendada, aga puudub võimalus eri andmekogudes andmed nt sarnase metoodika järgi pseudonüümida.
Lõike 5 kohaselt ei pea olukorras, kus uuringus töödeldakse andmeid nii, et on täidetud lõikes 3 sätestatud tingimused, enne taotlema eetikakomitee hinnangut, vaid uuringu tegija teavitab AKI-t vastavast uuringust, uuringu eesmärkidest, töödeldavatest andmetest ja § 6 lõikes 3 sätestatud tingimuste täitmisest. Selline teavitamiskohustus on vajalik, et AKI saaks seirata, milliseid uuringuid millisel eesmärgil ja ulatuses tehakse, ning vajadusel järelevalvet teha. Samuti avaldatakse info tehtavatest uuringutest Eesti teabeväravas, et võimaldada ka avalikkusel tutvuda, milliseid uuringuid tehakse. Sätte eesmärk on tagada läbipaistvus, kuid samas saab avalikustamist pidada ka kaitsemeetmeks.
Lõige 6 annab võimaluse uuringu tegemiseks isikustatud andmetega. Teatud põhjendatud juhtudel ei ole uuringu eesmärgid saavutatavad, kui isikud ei ole tuvastatavad. Näiteks kui terviseuuringus soovitakse analüüsida haruldase haiguse levimust Eestis. Patsientide väikese arvu tõttu ei oleks võimalik täita lõikes 3 sätestatud tingimusi, kuna see muudaks võimatuks haiguse leviku mustrite tuvastamise, seega otsustab uuringu tegija, et vajalik on andmete töötlemine tuvastamist võimaldaval kujul. Uuringu tegija põhjendab, et tegemist on ülekaaluka avaliku huviga, kuna uuringu tulemused aitavad parandada raviteenuste kättesaadavust ja parandada rahva tervist.
Sellisel kujul on uuringu tegemine lubatud üksnes juhul, kui on täidetud kõik kolm järgmist tingimust:
1) pärast tuvastamist võimaldavate andmete eemaldamist ei oleks andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada;
2) uuringu tegija hinnangul on selleks ülekaalukas avalik huvi ja
3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi.
Lõige 7 sätestab kohustuse, et kui uuringut tehakse andmetega, mis on isiku tuvastamist võimaldaval kujul ehk ei ole täidetud kõik lõikes 3 sätestatud tingimused, tuleb enne uuringu tegemist pöörduda eetikakomitee poole, kes kontrollib lõikes 6 sätestatud tingimuste täitmist ja annab hinnangu uuringu eetilisusele. Muudatus toetub VTK tagasisidele, milles oli ülekaalukam toetus ettepanekule, et eetikakomitee oleks loodud seadusega või selle alusel antud õigusaktiga ja tema pädevus oleks selgelt määratud. Toetati suunda, kus Eestis oleks ühtne eetikakomiteede süsteem („ühe ukse poliitika“), mis koondab kõik valdkondlikud komiteed ühe juhtiva struktuuri alla.
Seega sätestatakse muudatusega, et eetikakomiteed ei või asutada ükskõik kes, vaid asjaomase valdkonna eetikakomitee moodustatakse seadusega või selle alusel. Kõnealuse sätte eesmärk on tagada, et isikuandmete, sealhulgas eriliiki isikuandmete töötlemine uuringu eesmärgil oleks läbipaistev ja eetiline ning vastaks seaduses sätestatud nõuetele ka juhul, kui andmeid töödeldakse § 6 lõike 6 alusel ehk erandkorras. Eetikakomitee ülesanne on hinnata nii andmekaitsealaseid kui ka eetilisi riske ning vajadusel nõuda täiendavaid kaitsemeetmeid või anda soovitusi uuringu tegemiseks.
Uuringu tegija on kohustatud teavitama AKI-t vastavalt lõikele 5. Teatada tuleb uuringu eesmärk, töödeldavad andmed ja rakendatavad kaitsemeetmed. AKI avaldab selle teabe Eesti teabeväravas, tagades seeläbi läbipaistvuse ja avalikkuse teavitamise. Kui uuringu käigus töödeldavaid isikuandmeid säilitatakse Rahvusarhiivis, on eetikakomitee õigused Rahvusarhiivil. See tähendab, et Rahvusarhiiv täidab eetikakomitee ülesandeid, kontrollides tingimuste täitmist ja vajadusel andes hinnangu uuringu eetilisusele.
Lõige 8 jätab sarnaselt TAIKS § 26 alusel loodud eetikakomiteele võimaluse jätta teatud juhtudel eetikakomiteele esitatud taotlus läbi vaatamata. Seda juhul, kui eetikakomitee leiab, et taotluses kirjeldatud uuringu andmekaitsealased ja eetilised riskid on nii väikesed, et taotluse sisuline hindamine eetikakomitees ei ole vajalik. Sätte eesmärk on vähendada eetikakomiteede halduskoormust ning kiirendada väikese riskiga uuringute menetlust, säilitades samas andmesubjektide õiguste ja huvide kaitse. Säte võimaldab eetikakomiteel anda esmane hinnang esitatud taotlusele ning juhul, kui ta leiab, et uuringuga seotud andmekaitsealased ja eetilised riskid on väikesed, otsustada, et taotlust ei ole vaja sisuliselt komitees arutada ega täiendavat hinnangut anda.
Selline lähenemine võimaldab suunata eetikakomitee ressursi suurema riskiga uuringute sisulisele hindamisele ning välistab olukorra, kus kõik uuringud sõltumata riskitasemest läbivad ajamahuka ja detailse menetluse.
Oluline on, et hinnangu, kas riskid on väikesed, peab andma eetikakomitee, mitte uuringu tegija, vastasel juhul tekib olukord, kus uuringud, mis peaksid läbima eetikakomitee kontrolli, sinna ei jõuagi. Samas tagab säte, et ka väikese riskiga uuringute puhul on eetikakomitee pädevuses hinnata, kas sisuline hindamine on vajalik.
Lõige 9 sätestab üldise normi, et kui uuringus on vaja töödelda üksnes ühe andmekogu andmeid, mille vastutavaks töötlejaks on uuringu tegija ise, ei ole vaja järgida lõike 3 punktides 1–3 ning lõigetes 5 ja 7 sätestatud nõudeid. Oluline on rõhutada, et isegi kui uuringu tegemiseks töödeldakse üksnes ühe andmekogu andmeid, peab olema täidetud § 6 lõike 3 punktis 4 sätestatud tingimus, et töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju. Samuti peavad selleks, et oleks lubatud teha isikustatud andmetega uuring ühe andmekogu piires, olema täidetud lõikes 6 sätestatud tingimused. Kui uuringu tegija töötleb isikuandmeid ühe andmekogu piires ja on ise selle andmekogu vastutav töötleja, on tal juba olemas täielik kontroll andmekogu üle ning ta vastutab isikuandmete töötlemise nõuete täitmise eest kogu andmekogu ulatuses. Kavandatavad sätted vähendavad halduskoormust ja väldivad dubleerivaid protseduure olukorras, kus andmeid juba töödeldakse andmekogu siseste reeglite ja kontrollimehhanismide alusel.
Ühest andmekogust pärit andmete uurimine kätkeb endas väiksemat riski kui mitmest andmekogust pärit isikuandmete uurimine ja analüüsimine. Säte ei kohaldu olukorrale, kus vastutav töötleja töötleb isikuandmeid, mis pärinevad mitmest andmekogust, mille kõikide vastutav töötleja ta on.
Lõike 10 puhul on tegemist üksnes tehnilise muudatusega, millega ei muudeta sätte sisu, vaid üksnes paragrahvi ülesehitust. Sätte eesmärk on jätkuvalt täpsustada, et paragrahvis sätestatud nõudeid ei kohaldata olukorras, kus uuringu eesmärgid ja isikuandmete töötlemise ulatus on otseselt määratud seadusega. Sellisel juhul on seadusandja andmete töötlemise alused, eesmärgid ja ulatuse juba läbi kaalunud ning reguleerinud, mistõttu ei ole vaja rakendada paragrahvis sätestatud nõudeid, piiranguid ega menetlusi. See tagab, et seadusest tulenevate uuringute puhul ei teki dubleerivat ega ebavajalikku töökoormust ning välditakse olukorda, kus seadusandja poolt juba reguleeritud andmetöötlusele kehtestatakse uusi piiranguid. Samuti aitab see tagada õigusselgust ja ühtset lähenemist olukorras, kus andmete töötlemise vajadus ja ulatus on seadusega selgelt kindlaks määratud.
Lõige 11 näeb ette, et uuringu tegija võib piirata andmesubjektide õigusi, kui nende õiguste teostamine tõenäoliselt muudab võimatuks analüüsi või uuringu eesmärgi saavutamise või takistab seda oluliselt. Tegemist on üksnes tehnilise muudatusega, millega ei muudeta sätte sisu, vaid üksnes paragrahvi ülesehitust.
IKS § 61
Tegemist on uue paragrahviga, mis loob ühelt poolt võimaluse teha uuring andmetöötlussüsteemis, et tagada kiirem protsess, teiselt poolt nähakse ette lisatingimused ja kaitsemeetmed, et tagada andmesubjektide õiguste parem kaitse.
Probleemi tõstatas Riigikantselei juba eespool viidatud tellitud analüüsiga, milles käsitleti probleemi, et asutustel ei ole võimalik teha kiireid andmepõhiseid otsuseid. Riigikantselei tõi analüüsi tellimisel esile, et täidesaatev riigivõim ei saa andmepõhiste otsuste tegemiseks piisavalt kiiresti ligipääsu vajalikele isikuandmetele. Samuti rõhutati, et riik peab saama andmekogude andmeid targalt ning vajadusel ka kiirelt kasutada, kaitstes samal ajal andmesubjektide õigusi ja isikuandmeid. Isikuandmete töötlemine peab olema kontrollitud, läbipaistev ja vastutustundlik. Uuringus on tehtud ettepanek seaduse uueks sõnastuseks, mis aja jooksul ja VTK menetluses peetud eri osapoolte ja huvigruppide vaheliste arutelude tulemusel on saanud eelnõus toodud kuju. Muu hulgas tuleb silmas pidada, et eelnõu ei loo andmetöötlussüsteemi ja kiiremate otsuste tegemiseks õiguslikku alust mitte üksnes riigile, vaid see kehtib võrdselt kõigile uuringu tegijatele. Muudatusega ühtlustatakse kõikide uuringute tegemise tingimused.
Lõike 1 kohaselt võib uuringu eesmärgil töödelda isikuandmeid, sh eriliiki isikuandmeid, selleks ette nähtud andmetöötlussüsteemis, mis peab vastama lisaks eelnõuga loodava § 61 tingimustele ka § 6 lõike 2–4 tingimustele. Ka andmetöötlussüsteemis andmete töötlemisel peavad olema täidetud järgmised tingimused:
• uuringu tegemisel ei tehta lisatoiminguid, mille tagajärjel saab isiku tuvastada;
• uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut, kelle isikuandmeid, sh eriliiki isikuandmeid, töödeldi;
• töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju.
Sätte eesmärk on võimaldada töödelda isikuandmeid, sealhulgas eriliiki isikuandmeid, spetsiaalselt selleks ette nähtud andmetöötlussüsteemis, kui võetud on kõik seaduses sätestatud olulised kaitsemeetmed. Selline regulatsioon tagab, et andmeid töödeldakse ainult siis, kui see on põhjendatud, vajalik ning piisavalt kaitstud nii tehniliste kui ka organisatsiooniliste meetmetega. Säte võimaldab kasutada kaasaegseid andmetöötlussüsteeme, mis on loodud või luuakse just selliste uuringute tegemiseks, kuid säilitab ranged andmekaitsestandardid.
Lõige 2 sätestab nõuded, mille täitmise peab andmetöötlussüsteemi pakkuja tagama. VTK etapis olid arutluse all lahendused, mille kohaselt andmetöötlussüsteemi peaks pakkuma kas üks keskne riigiasutus või siis võiks seadusega ette näha kindlad tingimused ja võimaldada ka nt ülikoolidel või erasektori asutustel andmetöötlussüsteeme pakkuda. Kokkuvõtvalt leiti, et vaba turu huvides ei ole mõistlik kitsendada teenusepakkujate ringi. Sätte eesmärk on tagada, et isikuandmete, sealhulgas eriliiki isikuandmete töötlemine spetsiaalses andmetöötlussüsteemis oleks turvaline ning vastaks rangetele andmekaitsenõuetele. Eelnõu kohaselt peab andmetöötlussüsteemi pakkuja tagama:
1) asjakohaste tehniliste ja korralduslike meetmete kasutamisega, mille abil minimeeritakse andmetöötlussüsteemis hoitavate andmete loata lugemise, kopeerimise, muutmise ja kustutamise risk;
2) andmete kättesaadavaks tegemiseks üksnes andmetöötlussüsteemis töötlemiseks;
3) andmetöötlussüsteemi sellise teenuse osutamise, mis võib hõlmata andmete eeltöötlemist, et uuringu tegijal oleks juurdepääs üksnes käesoleva seaduse § 6 lõike 3 punktis 1 nimetatud kujul andmetele;
4) andmete sisestamise ja andmetöötlussüsteemis hoitavate andmete töötlemise ainult piiratud arvu tuvastatavate volitatud isikute poolt;
5) uuringu tegija juurdepääsu ainult neile andmetele, mida on lubatud töödelda käesoleva seadus § 6 lõikes 1 nimetatud eesmärkidel;
6) töötlustoimingute logide salvestamise ajavahemikuks, mis on vajalik kõigi töötlemistoimingute kontrollimiseks ja auditeerimiseks;
7) andmete allalaadimise taotluste kontrolli, et kasutajatel ei oleks võimalik andmetöötlussüsteemist alla laadida andmeid, mis võimaldavad isikut tuvastada;
8) andmete töötlemise Euroopa Majanduspiirkonna territooriumil.
See säte aitab tagada, et andmeid töödeldakse läbipaistvalt, turvaliselt ja vastavalt kehtivatele õigusaktidele, kaitstes nii andmesubjektide õigusi kui ka tagades uuringu tegija ja andmetöötlussüsteemi pakkuja vastutuse.
Lõikega 3 sätestatakse andmete säilitamise tähtaeg, mille kohaselt kustutatakse andmetöötlussüsteemist uuringu käigus töödeldavad andmed pärast uuringu valmimist ja uurimistulemuste valideerimist. See tähendab, et andmeid ei hoita süsteemis kauem, kui see on põhjendatud uuringu tegemise ja tulemuste kontrollimise seisukohalt.
Uurimustulemuste valideerimise all peetakse silmas kontrollimist, kas teaduslik metoodika, kogutud andmed ja tulemused on usaldusväärsed, kehtivad ning reprodutseeritavad. Valideerimine hõlmab nii andmete kvaliteedi ja korrektsuse hindamist kui ka eelretsenseerimist enne uuringu avaldamist, et tagada teadustöö vastavus rahvusvahelistele standarditele.
Töötlustoimingute logisid säilitatakse üks aasta pärast uuringu käigus töödeldavate andmete kustutamist. See võimaldab vajadusel hiljem kontrollida ja auditeerida andmetöötluse vastavust nõuetele, kuid välistab logide põhjendamatu pikaajalise säilitamise. Selline lähenemine aitab tagada andmesubjektide õiguste kaitse, läbipaistvuse ning vastavuse andmekaitse põhimõtetele, piirates andmete ja logide säilitamist ainult minimaalselt vajaliku ajani. Logide säilitamisele nähakse ette pikem tähtaeg, arvestades võimalikku järelevalve tegemise vajadust. Võttes arvesse, et andmetöötluskeskkonnas uuringu tegemise korral ei tee AKI nn eelkontrolli, vaid selle kohta saadetakse üksnes teavitus, on järelevalve jaoks vaja logisid säilitada kauem kui uuringus töödeldud andmeid.
Lõikes 4 sätestatakse, et valdkonna eest vastutaval ministril on õigus kehtestada määrusega täiendavaid tehnilisi ja korralduslikke turvanõudeid andmetöötlussüsteemis andmete töötlemisele. Selline volitusnorm on vajalik, et tagada paindlikkus ja ajakohasus turvanõuete rakendamisel, arvestades tehnoloogia kiiret arengut ning uute riskide ilmnemist andmetöötluses. Ministri määrusega saab täpsustada ja täiendada turvanõudeid vastavalt vajadusele, näiteks seoses andmete krüpteerimise, pseudonüümimise, autentimise, logimise, intsidentidele reageerimise või muude turvameetmetega, mis aitavad tagada isikuandmete kaitse kõrge taseme andmetöötluskeskkonnas.
Volitusnorm võimaldab reageerida kiiresti olukordadele, kus senised nõuded ei pruugi olla piisavad, ning kehtestada lisameetmeid, mis on vajalikud andmete turvaliseks töötlemiseks. See aitab tagada, et andmetöötlussüsteemis rakendatavad tehnilised ja korralduslikud turvanõuded vastavad nii Euroopa Liidu kui ka Eesti õigusaktide nõuetele ning rahvusvahelisele parimale tavale.
Lõikes 5 sätestatakse, et enne andmetöötlussüsteemi kasutuselevõttu kontrollib AKI § 61 lõigetes 1 ja 2 sätestatud tingimuste täitmist. Selle sätte eesmärk on tagada, et andmetöötlussüsteemis rakendatavad tehnilised ja korralduslikud turvanõuded ning muud andmetöötluse tingimused oleksid enne süsteemi kasutuselevõttu sõltumatult hinnatud ja kontrollitud. AKI kontroll aitab vältida olukordi, kus andmetöötlussüsteemi rakendamisel ei ole piisavalt arvestatud isikuandmete kaitse nõuetega või on jäänud tähelepanuta olulised riskid, mis ohustavad andmesubjektide õigusi ja vabadusi. See suurendab usaldusväärsust andmetöötluse korraldamisel ning aitab tagada, et andmeid töödeldakse läbipaistvalt ja turvaliselt. Kontrolli käigus hinnatakse muu hulgas, kas andmetöötlussüsteemis rakendatakse piisavaid meetmeid andmete pseudonüümimiseks, logimiseks, juurdepääsu piiramiseks ja muude riskide maandamiseks. Muudatusega nähakse ka ette, et AKI-l on õigus vajadusel hindamisprotsessi kaasata Riigi Infosüsteemi Ametit. Seega on AKI kontroll enne süsteemi kasutuselevõttu oluline samm, mis aitab tagada isikuandmete kaitse kõrge taseme ning vähendada võimalikke rikkumisi ja riske.
Lõikes 6 sätestatakse, et juhul kui kõik paragrahvis esitatud tingimused on täidetud, ei kohaldata § 6 lõiget 7. Sätte eesmärk on tagada, et juhul kui andmetöötlussüsteemi kasutuselevõtuks on täidetud kõik vajalikud tehnilised ja korralduslikud turvanõuded ning AKI on kontrollinud tingimuste täitmist, ei ole vaja rakendada lisapiiranguid või -menetlusi, mis on ette nähtud § 6 lõikes 7. Selline erand võimaldab paindlikumat ja tõhusamat andmetöötluse korraldust, vähendades halduskoormust ning kiirendades andmetöötlussüsteemi kasutuselevõttu. Samas säilib isikuandmete kaitse kõrge tase, kuna kõik olulised tingimused on täidetud ja kontrollimehhanismid olemas.
Lõikega 7 nähakse ette, et juhul kui isikuandmeid töödeldakse lõikes 2 nimetatud tingimustel andmetöötluskeskkonnas, on uuringu tegijal kohustus teavitada AKI-t enne isikuandmete töötlemise alustamist. Teavituses tuleb esitada teave uuringu kohta, sealhulgas uuringu eesmärgid, töödeldavad andmed ja kinnitus, et kõik paragrahvis sätestatud tingimused on täidetud. Lisaks avaldatakse see teave Eesti teabeväravas, mis tagab läbipaistvuse ja võimaldab avalikkusel saada infot kavandatavate uuringute kohta. Selline regulatsioon aitab tagada, et isikuandmete töötlemine uuringu eesmärgil toimub kooskõlas andmekaitsenõuetega, ja AKI-l on võimalik teha järelevalvet juba enne andmetöötluse alustamist. Teabe avaldamine Eesti teabeväravas suurendab uuringute läbipaistvust ja usaldusväärsust ning võimaldab huvigruppidel ja avalikkusel saada ülevaate, milliseid isikuandmeid ja mis eesmärgil töödeldakse.
§ 2. Teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmine
Muudatusega tehakse TAIKS-is tehniline muudatus, mis tuleneb IKS § 6 lõigete numeratsiooni muutmisest. Viide IKS § 6 lõikele 6 asendatakse viitega lõikele 7. Muudatuse eesmärk on tagada viidete vastavus IKS-i uuele sõnastusele ning vältida õiguslikku ebaselgust ja eksitavaid viiteid. Sisulisi muudatusi ega uusi kohustusi see muudatus kaasa ei too – tegemist on üksnes viidete ajakohastamisega, et tagada seaduste kooskõla ja selgus.
3.2. Põhiseaduspärasus ja andmekaitsealane mõjuhinnang
Igasugune isikuandmete töötlemine riivab PS §-s 26 sätestatud õigust eraelu puutumatusele. PS § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega. See tähendab, et niisugune piirang peab olema kooskõlas ka PS § 3 esimese lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Sättes väljendatud üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused langetama seadusandja. PS § 11 teise lause kohaselt peavad õiguste ja vabaduste piirangud olema demokraatlikus ühiskonnas vajalikud. Põhiõiguse riive on proportsionaalne, kui see on eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas. IKS § 6 jõustamisega on seadusandja jaatanud isikuandmete töötlemise vajalikkust teadus- ja ajaloouuringute ning riikliku statistika ja täidesaatva riigivõimu analüüside ja uuringute koostamiseks. Seadusandja on näinud ette vajaduse analüüsida isikuandmeid, et teha poliitika kujundamise eesmärgil analüüse ja uuringuid.
Muudatuse eesmärk on võimaldada teadus- ja arendustegevust ning innovatsiooni laiemalt, mitte ainult poliitika kujundamiseks, ning tagada, et kõik asutused (sh KOV-id, ülikoolid, ettevõtjad) saaksid uuringuid teha, kui on tagatud piisavad kaitsemeetmed. See on vajalik ennekõike, kuna praegune regulatsioon on liiga kitsas ega võimalda kõigil asutustel uuringuid teha. Ka IKÜM ei kitsenda isikute ringi, kes teadust ja innovatsiooni võivad teha, kuid määratud peavad olema asjakohased kaitsemeetmed. Tasakaalustava meetmena nähakse muudatusega ette oluliselt rangemad andmetöötlustingimused, mis peavad olema täidetud, et andmesubjekti nõusolekuta oleks lubatud andmeid uuringus töödelda. Sätestatavad andmetöötluse lisatingimused kehtivad kõikidele uuringu tegijatele, mitte üksnes avaliku sektori asutustele. See tähendab, et riive isikute põhiõigustele on mõõdukas ja tasakaalustatud – eesmärki ei ole võimalik saavutada vähem piiravate meetmetega ja uued kaitsemeetmed vähendavad riske andmesubjektide põhiõigustele. Muudatused on mõeldud tingimuste täpsustamiseks, mitte üldpõhimõtete muutmiseks.
Muudatusega võimaldatakse isikuandmete töötlemist spetsiaalses andmetöötlussüsteemis, kuid ainult juhul, kui on võetud kõik seaduses sätestatud olulised kaitsemeetmed. See tähendab, et andmesubjekti õiguste riive on põhjendatud ja piiratud – andmeid töödeldakse ainult siis, kui see on vajalik ja piisavalt kaitstud nii tehniliste kui ka organisatsiooniliste meetmetega.
Muudatuse eesmärk on võimaldada kiiremat ja turvalisemat andmepõhiste otsuste tegemist. Praegune olukord ei võimalda piisavalt kiiresti ligipääsu vajalikele andmetele ning takistab tõhusat teadustegevust ja innovatsiooni. Uus andmetöötlussüsteem võimaldab uuringuid teha turvalises keskkonnas, vähendades samal ajal andmesubjektide õiguste riivet. Andmetöötlussüsteemi kasutamisel on ette nähtud ranged tehnilised ja korralduslikud turvanõuded (nt andmete pseudonüümimine, piiratud juurdepääs, logimine, andmete kustutamine pärast uuringu lõppu). Enne süsteemi kasutuselevõttu kontrollib AKI kõigi tingimuste täitmist. Kui kõik nõuded on täidetud, ei kohaldata lisapiiranguid (nt eetikakomitee hinnangut), mis vähendab halduskoormust, kuid säilitab andmekaitse kõrge taseme.
Selline lähenemine on proportsionaalne, sest võimaldab kiiremalt uuringuid teha minimaalse vajaliku riivega andmesubjektide õigustele. Muudatusega täpsustatakse, millal ja milliste kaitsemeetmetega võib andmeid töödelda andmetöötlussüsteemis, ning luuakse selgus, millal on vajalik AKI kontroll või teavitamine. See tagab õigusselguse ja väldib olukorda, kus andmete töötlemise alused oleksid ebamäärased. Muudatus on proportsionaalne ja mõõdukas, sest lisatakse täiendavad tehnilised ja korralduslikud kaitsemeetmed ning sõltumatu eelkontroll, mis tagab õigusselguse ja seadusandja kontrolli põhiõigusi puudutavate otsuste üle. Muudatusega isikute põhiõiguste riive ei suurene, vaid pigem väheneb, kuna täpsustatakse kaitsemeetmeid ja andmete töötlemise tingimusi.
Muudatustega laieneb isikute ring, kes võivad teadus- ja arendustegevuse ning innovatsiooni eesmärgil töödelda isikuandmeid ilma andmesubjekti nõusolekuta. Samas täpsustatakse ja karmistatakse andmekaitsenõudeid, et tagada andmesubjektide põhiõiguste parem kaitse. Uued nõuded hõlmavad:
• täpsemaid tingimusi, millal ja kuidas võib andmeid töödelda;
• pseudonüümimise ja muude kaitsemeetmete rakendamist;
• läbipaistvuse suurendamist (nt uuringust AKI-le teatamine ja info avalikustamine Eesti teabeväravas);
• selgemaid reegleid eetikakomiteede rolli ja pädevuse kohta.
Need meetmed vähendavad riske andmesubjektide õigustele, tagades, et andmeid töödeldakse ainult siis, kui see on põhjendatud, vajalik ja piisavalt kaitstud. Uuringu tegija peab enne andmetöötluse alustamist teavitama AKI-t ning info uuringu kohta avalikustatakse Eesti teabeväravas, mis tagab andmetöötluse läbipaistvuse ja võimaldab teha tõhusamat järelevalvet.
Andmetöötlussüsteemi kasutamine võimaldab töödelda isikuandmeid, sh eriliiki isikuandmeid, turvalises ja kontrollitud keskkonnas. See vähendab andmesubjektide õiguste riivet, kuna:
• süsteemi kasutamisel on kohustus rakendada rangeid tehnilisi ja korralduslikke turvanõudeid (pseudonüümimine, piiratud juurdepääs, logimine, andmete kustutamine pärast uuringu lõppu);
• uuringu tegijal on juurdepääs ainult neile andmetele, mida on lubatud töödelda;
• selliste andmete allalaadimine, mis võimaldaks isikut tuvastada, on välistatud.
Riskide maandamise meetmena enne süsteemi kasutuselevõttu kontrollib AKI, vajadusel kaasates Riigi Infosüsteemi Ametit, kas kõik seaduses sätestatud tingimused ja turvanõuded on täidetud. Süsteemi kasutamisel on kohustus tagada, et kõik töötlustoimingud on logitud. Uuringu tegijal on juurdepääs ainult neile andmetele, mida on lubatud töödelda konkreetse uuringu jaoks. Kui kõik seaduses sätestatud tingimused on täidetud ja kontrollitud, ei ole vaja eetikakomitee täiendavat hinnangut, mis vähendab halduskoormust, kuid säilitab andmekaitse kõrge taseme.
Tuleb silmas pidada, et iga andmetöötlussüsteemi pakkuja peab enne süsteemi kasutuselevõttu koostama oma süsteemi kohta andmekaitsealase mõjuhinnangu, see kohustus tuleb IKÜM-i artiklist 35, mille kohaselt kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Andmekaitsealase mõjuhinnangu olemasolu on eelduseks AKI-poolsele kontrollile ja süsteemi kasutuselevõtule.
Protsessiskeem eelnõu rakendamiseks:
4. Eelnõu terminoloogia
Muudatusega võetakse termin „uuring“ kasutusele laiemas tähenduses. Muudatuse järel nimetatakse teadus-, ajaloo- ja statistika eesmärgil tehtavat uuringut edaspidi ühise terminiga „uuring“. Teadusuuringu eesmärgil isikuandmete töötlemine hõlmab näiteks tehnoloogia arendamist ja tutvustamist, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid. Ka tehisaru arendamine on osa tehnoloogiaarendusest.
5. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõuga ei võeta üle Euroopa Liidu õigust. Eelnõu kirjutamisel on arvesse võetud isikuandmete kaitse üldmääruses8 ja õiguskaitseasutuste direktiivis9 sätestatut.
6. Seaduse mõjud
6.1. Andmekaitse Inspektsioon – mõju töökorraldusele
Muudatusega väheneb AKI koormus, mis tal kehtiva IKS-i kohaselt on seoses enne uuringu alustamist tehtud taotluse läbivaatamise ja hindamisega. Eelnõuga tehtava muudatuse tõttu suureneb aga järelevalve võimalus, kuna kui kasutatakse pseudonüümimist või muid kaitsemeetmeid, peab uuringu tegija AKI-t teavitama uuringu eesmärkidest, töödeldavatest andmetest ja rakendatud kaitsemeetmetest. AKI-l on võimalik vajaduse korral teha järelevalvet juba enne uuringu alustamist või ka hilisemas etapis. Kui uuringuid tehakse andmetöötlussüsteemis, on AKI ülesandeks kontrollida enne süsteemi kasutuselevõttu, kas kõik tehnilised ja korralduslikud tingimused on täidetud, vajadusel kaasates Riigi Infosüsteemi Ametit. Eelduslikult tekib selliseid andmetöötlussüsteeme 3–5, seega kontrollide maht ei ole suur, küll aga tuleb silmas pidada, et kontrollile kuluv aeg on siiski arvestatav, sest hõlmab tehniliselt paljusid aspekte ja andmekaitsetingimuste täitmise kontrolli. AKI roll uuringute järelevalves ja andmetöötlussüsteemide eelkontrollis suureneb, kuid AKI-l ei ole enam sellist rolli nagu on eetikakomiteedel. AKI koormus väheneb seetõttu, et ta ei tee enam uuringute eelkooskõlastusi, kuid suureneb järelevalve ja eelkontrollide tõttu. Kokkuvõttes muutub AKI töö iseloom – vähem rutiinset üksikjuhtumite menetlemist, rohkem süsteemset järelevalvet ja tehnilist hindamist.
6.2. Eetikakomiteed – mõju töökorraldusele
Muudatuse järel hakkavad eetikakomiteed hindama kõiki uuringuid, mis ei vasta § 6 lõike 3 tingimustele või mida ei tehta andmetöötlussüsteemis. Varem hindas eetikakomitee uuringuid üksnes siis, kui uuring põhines eriliiki isikuandmetel, sh kui uuring tehti kas pseudonüümimist või muud meedet kasutades. Muudatuse järel tuleb hinnang anda üksnes juhul, kui pseudonüümimist või muud meedet ei kasutada. Ühelt poolt eetikakomitee koormus suureneb, teiselt poolt väheneb. Lisaks võimaldab muudatus eetikakomiteel anda taotlusele esmase hinnangu ja kui komitee leiab, et uuringuga seotud andmekaitsealased ja eetilised riskid on väikesed, ei ole vaja taotlust komitees sisuliselt arutada ega täiendavat hinnangut anda. See aitab vähendada eetikakomiteede halduskoormust ja kiirendada väikese riskiga uuringute menetlust. Seega on eetikakomiteel võimalus suunata oma ressurss suurema riskiga uuringute sisulisse hindamisse, kuna väikese riskiga uuringute puhul võib piirduda esmase hinnanguga. Praegu on eetikakomitee sätestatud järgmistes seadustes: TAIKS (§ 26), tervishoiuteenuste korraldamise seadus (§ 594), inimgeeniuuringute seadus (§ 29) ja meditsiiniseadme seadus (§ 213).
Muudatusega laieneb termini uuring sisu – poliitika kujundamise uuringud (nt riigiasutuste või KOV-ide analüüsid ja uuringud) kuuluvad samuti § 6 alla ning võivad vajada eetikakomitee hinnangut. Kuid oluline muudatus on, et kui uuringus kasutatakse piisavaid kaitsemeetmeid (st § 6 lõike 3 tingimused on täidetud – näiteks andmete pseudonüümimine, tulemuste anonüümsus jne) või uuring tehakse spetsiaalses andmetöötlussüsteemis, siis eetikakomitee hinnangut ei ole vaja. Paljusid poliitika kujundamise uuringuid, milleks seni on olnud vaja eetikakomitee ja AKI hinnangut, saab edaspidi teha ilma nendeta, kui kasutatakse piisavaid tehnilisi ja organisatsioonilisi kaitsemeetmeid või uuring tehakse nõuetele vastavas andmetöötlussüsteemis. Seega eetikakomitee ei pea menetlema kõiki avaliku sektori tehtavaid uuringuid, vaid ainult neid, kus andmeid töödeldakse viisil, mis võimaldab isikute tuvastamist ja kus kaitsemeetmed ei ole piisavad. Eetikakomitee roll muutub sisulisemaks ja keskendub just neile juhtudele, kus riskid on suuremad ja kaitsemeetmed ebapiisavad.
6.3. Andmesubjektid
Kuna muudatusega nähakse ette kindlad kaitsemeetmed isikuandmete töötlemisele, siis väheneb riive isikute põhiõigustele. Muudatusega luuakse võimalused andmete töötlemiseks andmetöötlussüsteemis ning väheneb isikustatud andmete töötlemise maht. Avades KOV-idele uuringute tegemise võimaluse, laieneb isikuandmete töötlejate ring, kuid samas nähakse ette kaitsemeetmed isikuandmete töötlemisele, seega ei suurene oluliselt isikute põhiõiguste riive. Isikute põhiõigustele muudatused olulist lisariivet ei tekita.
Andmesubjekt võib sõltuvalt uuringust olla iga inimene. Muudatusega luuakse andmetöötluse protsess, mis riivab vähem isikute põhiõigusi, ning täiendatakse andmetöötluse kaitsemeetmeid, mis tagavad tõhusama isikuandmete kaitse. Muudatus mõjutab andmesubjekti positiivselt, kuna lisaks IKS § 6 tingimuste täitmise hindamisele antakse uuringule ka eetiline hinnang. Kuna uuringute tegemise kohta avalikustatakse info Eesti teabeväravas, võimaldab see andmesubjektil saada ülevaate, milliseid uuringuid tema andmetega tehakse. Andmesubjekt saab vajadusel lisateabe saamiseks pöörduda uuringu tegija poole. Samuti säilib andmesubjektil õigus pöörduda AKI poole, kui ta leiab, et tema andmeid on töödeldud ebaseaduslikult või tema õigusi on rikutud.
6.4. Asutused, kohalikud omavalitsused ja nende hallatavad asutused – mõju töökorraldusele
Kui praegu võivad asutused isikuandmeid kasutades uuringuid teha peamiselt poliitika kujundamise eesmärgiga, siis edaspidi saavad nad seda teha ka muudel eesmärkidel, näiteks teenuste arendamiseks või avalikes huvides innovatsiooni elluviimiseks. Kõikidele uuringu tegijatele hakkavad kehtima võrdsed õigused ja kohustused, olenemata sellest, kas tegemist on riigiasutuse, KOV-i, ülikooli või ettevõtjaga.
Praegu ei saa KOV-id teha isikuandmetel põhinevaid uuringuid, seega on muudatuse mõju KOV-idele positiivne, kuna selline võimalus neile luuakse. Positiivne on mõju ka teistele asutustele, sest muudatus võimaldab teha kiiremini andmetel põhinevaid otsuseid. Enamikuks uuringuteks ei ole vaja töödelda isikustatud andmeid ja uuringu tegijale on vajalikud üksnes statistilised andmed. Sellist andmetöötlust saab eelnõu kohaselt edaspidi teha andmetöötluskeskkonnas. Keskkonnas ei töödelda andmeid, mis võimaldavad isikut tuvastada, mistõttu ei ole vajalik eetikakomitee eelnev hinnang, piisab üksnes AKI teavitamisest andmetöötlusest, mistõttu kiireneb uuringu protsess. Nendel juhtudel, kui on vaja töödelda isikustatud andmeid, jätkub osaliselt senine protsess, kus enne andmetöötlusega alustamist tuleb läbida eetikakomitee. Kehtiva õiguse järgi tuleb juhul, kui uuring tehakse eriliiki isikuandmetega, läbida nii eetikakomitee kui ka AKI menetlus, kuid muudatuse tulemusel on vajalik üksnes eetikakomitee hinnang ja seda juhul, kui ei ole täidetud IKS § 6 lõikes 3 sätestatud tingimused või uuringut ei tehta andmetöötlussüsteemis.
Asutustel, KOV-idel ja nende hallatavatel asutustel tekib rohkem võimalusi ja paindlikkust uuringute tegemisel, kuid ka suurem vastutus andmekaitsenõuete täitmise eest.
6.5. Ülikoolid, ettevõtjad – majanduslik ja töökorralduslik mõju
Muudatusega luuakse selgemad tingimused, millal ja milliste andmetega uuringuid on lubatud teha. Luuakse selgus, millal ja millise eetikakomitee poole peab uuringu tegija pöörduma. Kui uuringu tegija andmeid isikustatud kujul ei vaja ning teadusuuringu tegijale luuakse võimalus andmeid töödelda andmetöötluskeskkonnas, väheneb uuringu tegija töökoormus ja lüheneb uuringu tegemise aeg. Isikuandmete töötlemine andmesubjekti nõusolekuta tähendab teadustöö tegijale paratamatult IKS-ist tulenevaid piiranguid ja halduskoormust (eetikakomitee menetlus). Kavandatavad muudatused küll muudavad kehtivat korda, kuid eelduslikult halduskoormus teadustöö tegijatel ei suurene, pigem väheneb olukorras, kus soovitakse töödelda eriliiki isikuandmeid ja töötlus vastab IKS § 6 lõike 3 tingimustele, mistõttu ei pea läbima eetikakomitee menetlust. See on ka oluline aja kokkuhoid.
6.6. Statistikaamet
Statistikaameti töökoormus võib mõnevõrra kasvada kui andmekogude vastutavatel töötlejatel ei ole võimekust ise andmeid enne andmekogust väljastamist pseudonüümida või kasutada muud samaväärset kaitset pakkuvat meedet ning edastavad andmed nende toimingute tegemiseks Statistikaametile.
7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad kulud ja tulud
Tööjõukulu teenistujale seoses AKI veebilehel uuringute kohta teabe avaldamisega, sõltub uuringute arvust.
8. Rakendusaktid
Eelnõu § 61 lõige 4 näeb ette volitusnormi, mille kohaselt on valdkonna eest vastutaval ministril õigus kehtestada määrusega täiendavaid tehnilisi ja korralduslikke turvanõudeid andmetöötlussüsteemis andmete töötlemisele. Selline volitusnorm on vajalik, et tagada paindlikkus ja ajakohasus turvanõuete rakendamisel, arvestades tehnoloogia kiiret arengut ning uute riskide ilmnemist andmetöötluses. Tegemist on lubava volitusnormiga, mis võimaldab reageerida kiiresti olukordadele, kus senised seaduses sätestatud nõuded ei pruugi olla piisavad, ning kehtestada lisameetmeid, mis on vajalikud andmete turvaliseks töötlemiseks.
9. Seaduse jõustumine
Seadus jõustub üldises korras, kuna eelnõu seadusena jõustumine ei too kaasa vajadust praktiliste muudatuste järele. See loob võimaluse uut moodi andmetöötluseks. Kuna tegemist ei ole kohustusega, siis ei ole eelnõu adressaatidel seaduse jõustumisel vaja oma tegevust suures mahus ümber korraldada.
10. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
VTK koostamisele eelnesid arutelud riigi andmete juhtrühma õiguse töörühma kohtumistel, kuhu lisaks ministeeriumide olid kaasatud Riigikantselei, AKI, Õiguskantsleri Kantselei, Statistikaamet, ülikoolid ja Eesti Andmekaitse Liit. Samuti toimusid kohtumised Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu ja IT-ettevõtjatega. Avalikus konsultatsioonis kaasati veel Eesti Juristide Liit, Eesti Advokatuur, Riigi Infosüsteemi Amet, Eesti Infotehnoloogia ja Telekommunikatsiooni Liit, Eesti Teaduste Akadeemia, Eesti rektorite nõukogu, Rahvusarhiiv, Eesti Linnade ja Valdade Liit, Riigikohus, Tallinna Ringkonnakohus, Tartu Ringkonnakohus, Tallinna Halduskohus, Tartu Halduskohus, Tartu Ülikool, Tallinna Tehnikaülikool, Tallinna Ülikool, Eesti Maaülikool, Eesti Kunstiakadeemia, Eesti Muusika- ja Teatriakadeemia, Eesti Lennuakadeemia, Kaitseväe Akadeemia, Sisekaitseakadeemia, Tallinna Tehnikakõrgkool, Tallinna Tervishoiu Kõrgkool, Kõrgem Kunstikool Pallas, rakenduskõrgkoolide rektorite nõukogu, SA Eesti Teadusagentuur, Eesti Isikuloo Keskus, Eesti Mälu Instituut, Inimõiguste Instituut, E-riigi Akadeemia, Eesti Koostöö Kogu, Eesti Kaubandus-Tööstuskoda, Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon, Eesti Tööandjate Keskliit. VTK esitati teadmiseks Riigikogule, kelle soovil tutvustati VTK-d põhiseaduskomisjonis.
VTK kohta esitasid tagasiside Haridus- ja Teadusministeerium, Siseministeerium, Sotsiaalministeerium, Rahandusministeerium, Kultuuriministeerium, Eesti Linnade ja Valdade Liit, mõttekoda Praxis, Regionaal- ja Põllumajandusministeerium, Statistikaamet, Tallinna Tehnikaülikool, Tartu Ülikool, Eesti Meediaettevõtete Liit, Eesti Rahvusraamatukogu, Eesti rakendusuuringute keskus Centar, Eesti Tööandjate Keskliit, Eesti Kunstiakadeemia, Kaitseministeerium, Majandus- ja Kommunikatsiooniministeerium, Andmekaitse Inspektsioon, Eesti Andmekaitse Liit, Eesti Infotehnoloogia ja Telekommunikatsiooni Liit, Eesti Advokatuur, Eesti Maaülikool, SA Eesti Teadusagentuur ja Rahvusarhiiv. Eelnõu on koostatud arutelude käigus saadud infot ja VTK tagasisidet arvestades.
Eelnõu esitatakse kooskõlastamiseks eelnõude infosüsteemi (EIS) kaudu kõikidele osapooltele, kes olid kaasatud ka VTK etapis.