| Dokumendiregister | Justiitsministeerium |
| Viit | 7-1/9632 |
| Registreeritud | 19.12.2025 |
| Sünkroonitud | 22.12.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 7 EL otsustusprotsessis osalemine ja rahvusvaheline koostöö |
| Sari | 7-1 EL institutsioonide otsustusprotsessidega seotud dokumendid (eelnõud, töögruppide materjalid, õigustiku ülevõtmise tähtajad) (Arhiiviväärtuslik) |
| Toimik | 7-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Saabumis/saatmisviis | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Vastutaja | Kristiina Krause (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Üldosakond, Kommunikatsiooni ja väliskoostöö talitus) |
| Originaal | Ava uues aknas |
Pr Tiina Uudeberg Kantsler Justiits- ja Digiministeerium Teie 28.11.2025 nr 7-1/9632 Suur-Ameerika 1 10122 TALLINN Meie 19.12.2025 nr 6.1-1/180-1 Arvamus EL digivaldkonna lihtsustamispaketi kohta Täname Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu (ITL) kaasamise eest Eesti seisukohtade koostamisel Euroopa Komisjoni avaldatud digivaldkonna lihtsustamispaketile ehk digiomnibussile. Oleme Euroopa Komisjoni ettepanekutega tutvunud ning esitame käesolevaga oma esialgsed seisukohad, sest pakett on väga mahukas ning selle põhjalik analüüs ning tagasisidestamine nõuab täiendavat aega.
I ITL-i üldised seisukohad:
1. ITL toetab algatuse eesmärki kehtivaid keerulisi ja mahukaid õigusakte lihtsustada. Mitmed paketis sisalduvad muudatused on Eesti ettevõtetele kasulikud, s.h need mis puuduvad just väiksemaid ettevõtteid. Seega leiame, et Eesti võiks lihtsustamispaketile toetust avaldada, kuna see on õige suund ning selles pakutakse välja lahendusi mitmele murele, mida turuosalised on praktikas tõstatanud.
2. Toetame muudatusi, mis lihtsustavad andmete kasutamist ning vähendavad osapoolte jaoks bürokraatiat. Näiteks kohustuslike aruannete vormide asendamist vabatahtlikega ja registreerimiskohustuste vähendamist.
3. Toetame seda, et erinevad andmealased õigusaktid liidetakse üheks õigusaktiks ehk kogu asjakohane regulatsioon koondatakse andmemäärusse. Varasemalt oleme leidnud, et esimese sammuna tuleks hetkel kehtivad ja peagi jõustuvad EL-i õigusaktid üle vaadata, eemaldada nende ülekatted ja kõrvaldada vastuolud ning regulatsiooni oluliselt lihtsustada ja alles siis mõelda konsolideerimise peale. Euroopa Komisjon pakub digiomnibussiga neid samme koos ning see tundub mõistlik, eriti kuna palju regulatsioone tunnistatakse ka kehtetuks.
2
4. Üldpõhimõttena toetame ka seni direktiivides sisalduva regulatsiooni viimist määrusesse kui otsekohalduvasse õigusakti. Peame selle all silmas andmealaseid õigusakte, kuna selles valdkonnas on juba palju otsekohalduvaid määruseid ning seetõttu võiks kogu asjakohane regulatsioon kehtida määrusena.
5. Peame oluliseks, et töö digivaldkonna õigusaktide lihtsustamise nimel jätkuks, kuna antud pakett on alles esimene samm. Seejuures on oluline arvestada suuremat eesmärki tagada õiguskindlus- ja selgus ehk anda osapooltele aega regulatsioone rakendada, teha nende mõjude ja tulemuste kohta järeldusi ning hoiduda pidevast muutmisest ja uute kohustuste kehtestamisest. Eesmärk lihtsustada ja halduskoormust vähendada on väga hea, kuid tähendab ka, et niipea digivaldkonnas veel õigusrahu oodata pole.
II ITL-i seisukohad ja ettepanekud digiomnibussi üldeelnõu kohta seoses:
1. Andmemäärusega
1.1. Toetame ettepaneku artikkel 1 punkte 6 ja 7, millega kitsendatakse ettevõtetelt riigile andmete andmise kohustust ainult hädaolukorras andmete andmisele. Nõustume, et kehtivas andmemääruse on see kohustus liiga ulatuslik.
1.2. Teeme ettepaneku kaaluda eelnõuga lisaks sõnaselgelt IaaS ja PaaS teenuste väljavõtmist andmemääruse teenuseosutaja vahetamise ja andmete ülekantavuse (switching portability) skoobist, kuivõrd nende teenuste olemusest tulenevalt ei ole see praktikas tehniliselt mõistlikult rakendatav.
1.3. Toetame ettepaneku artikkel 1 punkti 3, millega kehtestatakse täiendavad tingimused, mis võimaldava andmete omanikest ettevõtetel kaitsta oma ärisaladust. Leiame, et sellest meetmest on abi ettevõtetel, kes on kohustatud andmemääruse kohaselt teatud tingimustel oma klientide andmeid väljastama teistele ettevõtetele. Juhul, kui digiomnibussi edasise menetluse käigus tuleb arutlusele ka ettepanek erasektori andmete kohustusliku jagamise vabatahtlikuks muutmiseks andmemääruses, siis tuleb suhtuda sellesse ettevaatlikult ning kindlasti analüüsida hoolikalt selle kasusid ja kahjusid. Erasektori ja eelkõige väiksemate teenus- või tootmisettevõtete (näiteks põllumajanduse sektoris) poolt vaadatuna on andmemäärusega kehtestatud B2B andmejagamise kohustus siiski kasulik, kuna võimaldab saada suurtelt tööstusettevõtetelt vajalikke andmeid, mille peale saab ehitada uusi innovaatilisi teenuseid ja pakkuda tarbijatele suuremat valikut, näiteks valida seadmete hooldusteenuse pakkujaid.
2. Avaandmete direktiiviga
2.1. Digiomnibuss sisaldab ettepanekut tunnistada avaandmete direktiiv kehtetuks ja hõlmata selles sisalduv andmemäärusesse. See tähendaks, et seni direktiiviga reguleeritu tuleb Eesti avaliku teabe seaduses kehtetuks tunnistada, kuna kohalduma hakkab EL-i otsekohalduv regulatsioon. Selle ettepaneku osas seisukoha kujundamiseks on vaja analüüsida, mida selline muudatus praktikas Eestis kaasa tooks.
3
Kuna avaliku sektori käes olevate andmete avamine on seni kulgenud üsna vaevaliselt, siis kui otsekohalduv määrus sätestaks selle selgema kohustusena ja andmete avamine kulgeks edukamalt, peame vajalikuks seda toetada.
2.2. Meil puuduvad hetkel ettepanekud väärtuslike andmete nimekirja muutmiseks. Toetame seda, et liikmesriikidele on jäetud otsustusvabadus ja see võimaldab Eestis siseriiklikult täiendavaid väärtuslikke andmestikke nimetada.
2.3. Märgime, et avaandmete direktiivist andmemäärusesse toodavate sätete osas (ettepaneku artikkel 1 punktiga 18 lisatav peatükk VIIc) tekitab küsimust andmete ja dokumentide eristamine. Kord nimetatakse neid koos ja teinekord eraldi. Seetõttu on raske aru saada, mida täpsemalt mõeldakse. Samuti, kuidas see seostub andmemääruses andmete definitsiooniga (andmemääruse art 2 punktiga 1: andmed on tegevuse, faktide või teabe ning sellise tegevuse, faktide või teabe kogumi digitaalne väljendus, muu hulgas heli-, visuaal- või audiovisuaalsalvestise kujul).
2.4. Avaliku sektori avaandmete (seda just toorandmete – raw data) kättesaadavaks tegemine peaks printsiibis olema tasuta. Vaid väärindatud andmete kättesaadavaks tegemine võib olla tasuline. Ettepaneku artikkel 1 lõikega 2 lisatakse andmemääruse artiklisse 2 punt 61, millega defineeritakse investeeringutasuvus. Andmemäärusesse lisatav artikkel 32q lubab investeerimistasuvust arvestada avaandmete eest nõutava tasu puhul. Oleme seisukohal, et avaandmete puhul ei tohiks investeeringutasu arvesse võtmine olla lubatud, kuna need investeeringud on tehtud maksumaksja raha eest ning see on juba olnud ühiskonna ühine panus.
3. Isikuandmete kaitse üldmäärusega
3.1. Isikuandmete kaitse üldmääruse (IKÜM) muudatuste osas on seni olnud nii Euroopa kui ka Eesti ettevõtted pigem ettevaatlikud peljates selle avamist. Ka praegu on näha, et tegemist on kõige rohkem tähelepanu saava osaga digiomnibussist. Juba on tehtud ka ettepanekuid menetleda IKÜM-it puudutavaid ettepanekuid muust paketist eraldi, et need ei saaks takistuseks kiirel edasiliikumisel. Toome omalt poolt välja, et koos tehisintellekti määruse võimalike muudatustega menetlemise positiivne pool seisneb selles, et siis on reaalselt olemas selged kasutusjuhud tehisintellekti jaoks vajalike andmete/andmestike põhjal ehk koosmõju on kindlasti olemas ning vajab arvestamist. Lisame, et kuna IKÜM-I muudatusi on palju ning need on seotud kogu digiomnibussi eelnõu teiste sätetega, siis põhjalikku analüüsi saaks teha, kui oleks olemas eelnõu terviktekst.
3.2. Isikuandmete mõistet puudutavad muudatused:
3.2.1. IKÜM artikli 4 lg 1 ehk isikuandmete mõiste muudatused on tekitanud väga elavat diskussiooni erialases ringkonnas. Mõistame Euroopa Komisjoni soovi juurutada Euroopa Kohtu otsusest EDPS vs SRB (C-413/23) tulenevat praktikat, kui ettepanekus toodud mõistet on sellest tulenevalt oluliselt laiendatud. Pooldame seda, et mitte kõiki andmekaitse nõudeid ei peaks täitma olukorras, kus tegelikkuses andmete saajal ei ole mõistlikult võimalik isikut antud andmete pinnalt tuvastada.
4
Samas oleks seda võimalik reguleerida ka selliselt, et sisustada täpsemalt pseudonüümimise mõiste ja siduda see kohustusega seda ajas hinnata. SRB lahendis on selgelt vastutava töötleja pingutuse element sisse kirjutatud, s.t ta peab midagi eraldi tegema selleks, et teine pool ei saaks isikuid enam tuvastada. ITL-ina tervitame seda lähenemist. Samuti saaks täpsemalt reguleerida, millal loetakse andmeid pseudonüümituks ning kohustada võtma arvesse mis iganes tehnoloogilisi või keskkonnas toimunud arenguid, mille puhul peab uuesti hindama, kas võetud meetmed on olnud piisavad.
3.2.2. Isikuandmete mõiste praeguse sõnastuse laiendamine tekitab küsimusi selles osas, kuidas muudatust praktikas rakendada. Täpsemalt, milliseid andmekaitse nõudeid peab täitma juhul, kui saaja jaoks ei ole andmed enam isikuandmed. Näiteks kas on vajalik andmetöötluslepingu sõlmimine, kui vastutava töötleja vaatest on tegemist isikuandmetega, kuid saaja vaatest ei ole saadavad andmed isikustatud andmed. Sarnased küsimused võivad tekkida ka muude vastutava töötleja kohustuste täitmisel (nt andmelekkest teavitamine, andmeedastuse mõju hindamine, volitatud töötlejate avaldamine andmesubjektile jms).
3.2.3. Teeme ettepaneku selgelt IKÜM-is sätestada, et juhul, kui saaja jaoks ei ole tegemist isikuandmetega, ei ole kohustust sõlmida ka andmetöötluslepingut.
3.3. Toetame muudatusi millega IKÜM art 12 lg 5 (töötlemistoimingute registri piirangud), art 13 lg 4 (privaatsusteabe esitamise piirangud) ja art 35 (andmekaitse mõjuhinnangu nõuded) alusel lihtsustakse eelkõige väike- ja keskmistel ettevõtetel IKÜM mõistlikku rakendamist.
3.4. Töötlemistoimingute registri kohustuse kehtestamine 750 või enama töötajaga ettevõtetele võib aga Eesti kontekstis tekitada praktikas probleeme. Töötlemistoimingute register on andmekaitsekohustuste keskpunkt, mille olemasolu tagab ja aitab ka teiste andmekaitse kohustuste täitmist praktikas teostada. Kui seda pole, siis on praktiliselt ettevõtetel keerukas ka koostada näiteks privaatsusteadet ajakohasena, vastata andmesubjekti päringutele, kiirelt reageerida andmeleketele jms. Lisaks sellele võib jääda mulje, et kui on 750 või vähem töötajat, siis pole eriti vaja andmekaitse vaatest pingutada ning see ei aita tõsta teadlikkust andmekaitse teemade olulisusest laiemalt. Näiteks on töötlemistoimingute register vajalik ka tõhusa andmehalduse ja tehisintellekti rakendamiseks.
3.5. Toetame IKÜM art 33 muutmise ettepanekut, mille kohaselt kehtiks järelevalveasutusele isikuandmete nõuete rikkumisest teavitamise kohustus ainult kõrge riskiga rikkumiste puhul. See vähendaks nii vastutavate töötlejate kui ka järelevalveasutuste töökoormust ning aitaks keskenduda kõrge riskiga juhtumite menetlemisele ja kahjulike tagajärgede maandamisele. Usume, et see on olnud ka täna järelevalveasutuste ootus. Toetame ka teavitamise tähtaja pikendamist 96-le tunnile. See leevendaks eelkõige olukordi kus tähtaja arvestuse sisse jääb nädalavahetus.
3.6. Seoses tehisintellekti treenimise ja arendamise õiguslikke aluseid puudutava muudatusega märgime, et tegemist on olulise muudatusega, kuna seni tehnoloogianeutraalsena hoitud IKÜM-isse soovitakse sisse kirjutada konkreetse tehnoloogiaga seotud sätted.
5
Esiteks toetame muudatust, millega tuuakse selgelt välja, et eriliigilisi isikuandmeid võib kasutada tehisintellekti kallutatavuse vähendamiseks. Teiselt poolt vajab meie hinnangul täiendavat kaalumist ja arutelusid tehisintellekti treenimise üldise õigusliku aluse lisamine IKÜM-isse. Meie hinnangul võiks see alus sisalduda pigem tehisintellekti määruses, kuna IKÜM-it võiks hoida jätkuvalt tehnoloogianeutraalsena, et seda tuleviku arengutele mõeldes mitte kinni kirjutada.
3.7. Ettepanekuga artikkel 3 lõikega 1 soovitakse IKÜM-is defineerida teadusuuring ning lõikega 2 muuta avalikes huvides hilisem töötlemine arhiveerimise, teadus- või ajaloolise uurimistöö või statistilistel eesmärkidel esialgse töötlemise eesmärgiga ühilduvaks. Analüüsimist vajab, mida see praktikas tähendaks ning kuidas mõjuks isikuandmete kaitsele, kuna need eesmärgid on väga laiad. Samuti tekitab teadusuuringu defineerimine IKÜM-is küsimuse, miks seda vaja on, kui teadusmaailm lähtub selleks Frascati käsiraamatust 2015 „Teadusuuringuid ja eksperimentaalarendust käsitlevate andmete kogumise ja esitamise suunised“.
4. ePrivaatsuse direktiiviga
4.1. Tervitame küpsiste klausli täpsustamist ja selle isikuandmeid puudutava osa toomist IKÜM- isse.
4.2. Avaldame sektori poolt ootuse, et digiomnibussi ettepanekuga võiks pakkuda lahenduse ka ülejäänud ePrivaatsuse direktiivi osas. ITL on seisukohal, et ePrivaatsuse direktiiv vajab ülevaatamist tervikuna, jätkuvalt reguleerimist vajavate teemade reguleerimist muude õigusaktidega ning eraldiseisva õigusaktina kehtetuks tunnistamist.
5. Intsidentide raporteerimisega:
5.1. Küberturvalisus on sarnaselt andmevaldkonnale väga ulatuslikult reguleeritud. Antud juhul on Euroopa Komisjon otsustanud lahendada vaid väga väikse osa murest ehk pakub välja ainult ühise teavitamiskanali loomise et sama rikkumise pinnalt ei tuleks mitmes kohas ning mitu korda teavitada et sama rikkumise pinnalt ei tuleks mitmes kohas ning mitu korda teavitada. Selline üks teavitamiskanal on kindlasti tervitatav, eriti piiriüleselt tegutsevate ettevõtete jaoks, ning me toetame seda. Ühtse teavituskanali kasutamist võiks kaaluda ka veel täiendavate õigusaktide tarbeks, nt tehisintellektimäärus. Samas võiks lihtsustamise eesmärki silmas pidades olla ambitsioonikam ning ühtlustada ka teavitamise aegasid, vorme jm EL-i küberturvalisuse õigusaktides.
5.2. Ühtse teavituskanali loomine tekitab kohe ka küsimuse sellest, et teavitamise tähtajad on õigusaktides väga erinevad. Näiteks NIS2 direktiivi kohaselt tuleb esmane teavitus küberintsidendist esitada 24h jooksul, isikuandmeid puudutavast intsidendist on samas digiomnibussi ettepaneku kohaselt aega teavitada 96h ehk see vahe on märkimisväärne. Selleks, et kohuslased saaksid ühtset teavituskanalit kasutada, peaksid nad justkui lähtuma iga teavituse puhul kõige lühemast tähtajast, mis ei arvestada asjaoludega, mida neid tähtaegu määrates silmas peeti ehk sellega, et teavituse koostamiseks on teatud juhtudel vaja rohkem aega. Teine variant oleks, et ikkagi tuleb esitada mitu teavitust: 24h möödumisel NIS2 esmane teavitus, 72h möödumisel NIS2 teine teavitus ja 96h möödumisel IKÜM teavitus.
6
Just seetõttu on oluline lisada digiomnibussi ka ühtse teavituskanali kaudu edastatavate teavituste tähtaegade ühtlustamine.
5.3. Seoses NIS2 direktiivi ja DORA-ga tõstatame ka teema, mis vajab EL-i õigusaktide tasemel lahendamist ning on väga vajalik ettevõtete halduskoormuse vähendamiseks ja regulatsioonide lihtsustamiseks. Kehtivate õigusaktide kohaselt on DORA subjektid vabastatud NIS2 täitmisest, kuid NIS2 subjektid, kes osutavad teenuseid DORA subjektidele, peavad vastama ka DORA-le. See tekitab NIS2 subjektidest IKT teenuse osutajatele, kes soovivad oma teenuseid osutada ka finantssektori asutustele, väga suurt koormust. Seetõttu teeme ettepaneku lisada digi omnibussi NIS2 ja DORA muutmine selliselt, NIS2 direktiivi kohuslased, kes osutavad finantssektori asututele IKT teenuseid, ei pea tõendama eraldi DORA-le vastavust, vaid need turvanõuded tunnistatakse samaväärseteks, kui nad vastavad NIS2 alusel kehtestatud nõuetele. Oleme seisukohal, et Eesti võiks olla selle olulise muudatuse eestkõneleja.
III ITL-i seisukohad tehisintellekti määrusega seotud digiomnibussi kohta
1. Tervitame loogikat, et kohustuste täitmine lükatakse edasi seniks, kuni on töötatud välja tööriistad (standardid ja juhised) vastavate kohustuste rakendamiseks. Samas on seejuures oluline arvestada kahte aspekti:
1.1. Esiteks on hetkel välja pakutud tähtaegade pikendus tekitab palju ebakindlust ja segadust, kuna teada ei ole, millal kohustused siis jõustuvad. Väljapakutud 6 kuud Komisjoni otsusest on ilmselgelt liiga lühike tähtaeg.
1.2. Teiseks tekib kohustuste edasilükkamine ohu, et äärmiselt vajalikud standardid ja juhised valmivad veel kauem ehk nende ooteaeg pikeneb. Seega oluline on, et nõuded oleksid selgelt paigas ning tähtajad kehtiksid ka Euroopa Komisjoni enda jaoks. Hetkel oleme olukorras, kus ettevõtted pelgavad kõrge riskiga tehisintellekti süsteeme arendada ja kasutada, sest nad ei ole kindlad, mis hetkel nende toode kõrge riskiga tehisintellektiks muutub (või seda järelevalve asutuse poolt nii tõlgendatakse).
2. Toetame muudatust, mille kohasel vähendatakse ettevõtete kohustusi seoses kitsaste protseduuriliste toimingutega kõrge riskiga tehisintellekti poolt (s.t kui kõrge riskiga tehisintellekti puhul on ainult tehisintellekti element tegemas kitsast protseduurilist toimingut, siis ei pea seda kõrge riskiga tehisintellektina registreerima). Näiteks kui tööle kandideerivate isikute andmeid sisaldavas süsteemis teeb tehisintellekt andmete süstematiseerimise või muud tehnilist tööd.
3. Toetame ka eriliigiliste isikuandmete töötlemiseks selge õigusliku aluse loomist tehisintellekti mudelite kallutatuse kahjulike mõjude vähendamist, leevendamist või ohjamist, isegi kui neid ei ole võimalik täielikult ära hoida.
4. Peame väga oluliseks, et tehisintellekti määrusega seotud omnibussi võimalikult kiirelt menetletakse, eriti tehisintellekti määruse kõrge riskiga seotud kohustuste edasilükkamise vaatest. Oluline on vältida olukorda, kus kohustused jõuavad kohaldatavaks muutuda ja siis need edasi lükatakse, kuna vajalikke nõudeid ja standardeid pole jõutud välja töötada.
7
Lõpetuseks soovime märkida veel järgmist:
1) Euroopa Komisjoni ettepanekuga tutvumine tekitas küsimusi, mis saab lähiajal siseriiklikest regulatsioonidest. Nimelt on pikalt ettevalmistatud andmehalduse määruse, andmemääruse ja tehisintellekti määruse siseriiklikke rakendusakte. Kas digiomnibuss tähendab, et neid tuleb veel kauem oodata või saab vajalikud siseriiklikud muudatused ära teha, et oleks selge, millised on kohalikud pädevad asutused, millised on rikkumiste korral ette nähtavad karistused jm?
2) Lisaks regulatsiooni lihtsustamisele on väga oluline ka muude meetmetega toetada innovatsiooni ja investeerimist andmete ning tehisintellekti valdkonda, et suurendada konkurentsivõimet. Kindlasti on suurem õigusselgus selleks oluline, kuid vaja on ka tugevdada liikmesriikide ja EL-i tasemel andmete ning tehisintellekti valdkonna juhtimist. Veel on väga olulised praktilised juhised õigusaktide rakendamiseks ja analüüsid erinevate õigusaktide omavahelise mõju kohta. Innovatsiooni toetamiseks on Euroopa Komisjoni uue andmeliidu strateegia teatises välja pakkunud meetmeid, millest Eesti jaoks olulisemaid võiks toetada ja tähelepanelikult jälgida.
Loodame, et leiate võimaluse ITL-i arvamust Eesti seisukohtade kujundamisel arvestada. Lisame, et tõime käesolevas kirjas välja kõige olulisemad teemad, mis meile paketiga tutvudes silma jäid. See ei tähenda, et me oleks muude ettepanekute vastu.
Soovime Justiits- ja Digiministeeriumile esindajatele digivaldkonna lihtsustamispaketi läbirääkimistel edu ja jõudu. Tegemist on olulise sammuga selle valdkonna õigusaktide mõistetavamaks ja rakendatavamaks muutmise teel. Loodame, et Eesti riik esitab seisukoha ka Euroopa Komisjoni Digital Fitness Check konsultatsioonile ning pakub koostöös huvigruppidega välja täiendavaid lihtsustusi, mis praegusesse kiiresti menetletavase paketti pole jõudnud. ITL-ina oleme valmis ka edaspidi kaasa mõtlema, eriti kui läbirääkimiste käigus tekib konkreetseid küsimusi, mis Eesti IKT sektorit puudutavad.
Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht
Keilin Tammepärg, [email protected]
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Edastame Teile Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu 19.12.2025 kirja nr 6.1-1/180-1 „Arvamus EL digivaldkonna lihtsustamispaketi kohta“.
Lugupidamisega
Heleri Vahemäe
Büroojuht
Eesti Infotehnoloogia ja
Telekommunikatsiooni Liit
Lõõtsa 2B
11415 Tallinn
Mob 5115521
Tel 6177 145
Pr Tiina Uudeberg Kantsler Justiits- ja Digiministeerium Teie 28.11.2025 nr 7-1/9632 Suur-Ameerika 1 10122 TALLINN Meie 19.12.2025 nr 6.1-1/180-1 Arvamus EL digivaldkonna lihtsustamispaketi kohta Täname Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu (ITL) kaasamise eest Eesti seisukohtade koostamisel Euroopa Komisjoni avaldatud digivaldkonna lihtsustamispaketile ehk digiomnibussile. Oleme Euroopa Komisjoni ettepanekutega tutvunud ning esitame käesolevaga oma esialgsed seisukohad, sest pakett on väga mahukas ning selle põhjalik analüüs ning tagasisidestamine nõuab täiendavat aega.
I ITL-i üldised seisukohad:
1. ITL toetab algatuse eesmärki kehtivaid keerulisi ja mahukaid õigusakte lihtsustada. Mitmed paketis sisalduvad muudatused on Eesti ettevõtetele kasulikud, s.h need mis puuduvad just väiksemaid ettevõtteid. Seega leiame, et Eesti võiks lihtsustamispaketile toetust avaldada, kuna see on õige suund ning selles pakutakse välja lahendusi mitmele murele, mida turuosalised on praktikas tõstatanud.
2. Toetame muudatusi, mis lihtsustavad andmete kasutamist ning vähendavad osapoolte jaoks bürokraatiat. Näiteks kohustuslike aruannete vormide asendamist vabatahtlikega ja registreerimiskohustuste vähendamist.
3. Toetame seda, et erinevad andmealased õigusaktid liidetakse üheks õigusaktiks ehk kogu asjakohane regulatsioon koondatakse andmemäärusse. Varasemalt oleme leidnud, et esimese sammuna tuleks hetkel kehtivad ja peagi jõustuvad EL-i õigusaktid üle vaadata, eemaldada nende ülekatted ja kõrvaldada vastuolud ning regulatsiooni oluliselt lihtsustada ja alles siis mõelda konsolideerimise peale. Euroopa Komisjon pakub digiomnibussiga neid samme koos ning see tundub mõistlik, eriti kuna palju regulatsioone tunnistatakse ka kehtetuks.
2
4. Üldpõhimõttena toetame ka seni direktiivides sisalduva regulatsiooni viimist määrusesse kui otsekohalduvasse õigusakti. Peame selle all silmas andmealaseid õigusakte, kuna selles valdkonnas on juba palju otsekohalduvaid määruseid ning seetõttu võiks kogu asjakohane regulatsioon kehtida määrusena.
5. Peame oluliseks, et töö digivaldkonna õigusaktide lihtsustamise nimel jätkuks, kuna antud pakett on alles esimene samm. Seejuures on oluline arvestada suuremat eesmärki tagada õiguskindlus- ja selgus ehk anda osapooltele aega regulatsioone rakendada, teha nende mõjude ja tulemuste kohta järeldusi ning hoiduda pidevast muutmisest ja uute kohustuste kehtestamisest. Eesmärk lihtsustada ja halduskoormust vähendada on väga hea, kuid tähendab ka, et niipea digivaldkonnas veel õigusrahu oodata pole.
II ITL-i seisukohad ja ettepanekud digiomnibussi üldeelnõu kohta seoses:
1. Andmemäärusega
1.1. Toetame ettepaneku artikkel 1 punkte 6 ja 7, millega kitsendatakse ettevõtetelt riigile andmete andmise kohustust ainult hädaolukorras andmete andmisele. Nõustume, et kehtivas andmemääruse on see kohustus liiga ulatuslik.
1.2. Teeme ettepaneku kaaluda eelnõuga lisaks sõnaselgelt IaaS ja PaaS teenuste väljavõtmist andmemääruse teenuseosutaja vahetamise ja andmete ülekantavuse (switching portability) skoobist, kuivõrd nende teenuste olemusest tulenevalt ei ole see praktikas tehniliselt mõistlikult rakendatav.
1.3. Toetame ettepaneku artikkel 1 punkti 3, millega kehtestatakse täiendavad tingimused, mis võimaldava andmete omanikest ettevõtetel kaitsta oma ärisaladust. Leiame, et sellest meetmest on abi ettevõtetel, kes on kohustatud andmemääruse kohaselt teatud tingimustel oma klientide andmeid väljastama teistele ettevõtetele. Juhul, kui digiomnibussi edasise menetluse käigus tuleb arutlusele ka ettepanek erasektori andmete kohustusliku jagamise vabatahtlikuks muutmiseks andmemääruses, siis tuleb suhtuda sellesse ettevaatlikult ning kindlasti analüüsida hoolikalt selle kasusid ja kahjusid. Erasektori ja eelkõige väiksemate teenus- või tootmisettevõtete (näiteks põllumajanduse sektoris) poolt vaadatuna on andmemäärusega kehtestatud B2B andmejagamise kohustus siiski kasulik, kuna võimaldab saada suurtelt tööstusettevõtetelt vajalikke andmeid, mille peale saab ehitada uusi innovaatilisi teenuseid ja pakkuda tarbijatele suuremat valikut, näiteks valida seadmete hooldusteenuse pakkujaid.
2. Avaandmete direktiiviga
2.1. Digiomnibuss sisaldab ettepanekut tunnistada avaandmete direktiiv kehtetuks ja hõlmata selles sisalduv andmemäärusesse. See tähendaks, et seni direktiiviga reguleeritu tuleb Eesti avaliku teabe seaduses kehtetuks tunnistada, kuna kohalduma hakkab EL-i otsekohalduv regulatsioon. Selle ettepaneku osas seisukoha kujundamiseks on vaja analüüsida, mida selline muudatus praktikas Eestis kaasa tooks.
3
Kuna avaliku sektori käes olevate andmete avamine on seni kulgenud üsna vaevaliselt, siis kui otsekohalduv määrus sätestaks selle selgema kohustusena ja andmete avamine kulgeks edukamalt, peame vajalikuks seda toetada.
2.2. Meil puuduvad hetkel ettepanekud väärtuslike andmete nimekirja muutmiseks. Toetame seda, et liikmesriikidele on jäetud otsustusvabadus ja see võimaldab Eestis siseriiklikult täiendavaid väärtuslikke andmestikke nimetada.
2.3. Märgime, et avaandmete direktiivist andmemäärusesse toodavate sätete osas (ettepaneku artikkel 1 punktiga 18 lisatav peatükk VIIc) tekitab küsimust andmete ja dokumentide eristamine. Kord nimetatakse neid koos ja teinekord eraldi. Seetõttu on raske aru saada, mida täpsemalt mõeldakse. Samuti, kuidas see seostub andmemääruses andmete definitsiooniga (andmemääruse art 2 punktiga 1: andmed on tegevuse, faktide või teabe ning sellise tegevuse, faktide või teabe kogumi digitaalne väljendus, muu hulgas heli-, visuaal- või audiovisuaalsalvestise kujul).
2.4. Avaliku sektori avaandmete (seda just toorandmete – raw data) kättesaadavaks tegemine peaks printsiibis olema tasuta. Vaid väärindatud andmete kättesaadavaks tegemine võib olla tasuline. Ettepaneku artikkel 1 lõikega 2 lisatakse andmemääruse artiklisse 2 punt 61, millega defineeritakse investeeringutasuvus. Andmemäärusesse lisatav artikkel 32q lubab investeerimistasuvust arvestada avaandmete eest nõutava tasu puhul. Oleme seisukohal, et avaandmete puhul ei tohiks investeeringutasu arvesse võtmine olla lubatud, kuna need investeeringud on tehtud maksumaksja raha eest ning see on juba olnud ühiskonna ühine panus.
3. Isikuandmete kaitse üldmäärusega
3.1. Isikuandmete kaitse üldmääruse (IKÜM) muudatuste osas on seni olnud nii Euroopa kui ka Eesti ettevõtted pigem ettevaatlikud peljates selle avamist. Ka praegu on näha, et tegemist on kõige rohkem tähelepanu saava osaga digiomnibussist. Juba on tehtud ka ettepanekuid menetleda IKÜM-it puudutavaid ettepanekuid muust paketist eraldi, et need ei saaks takistuseks kiirel edasiliikumisel. Toome omalt poolt välja, et koos tehisintellekti määruse võimalike muudatustega menetlemise positiivne pool seisneb selles, et siis on reaalselt olemas selged kasutusjuhud tehisintellekti jaoks vajalike andmete/andmestike põhjal ehk koosmõju on kindlasti olemas ning vajab arvestamist. Lisame, et kuna IKÜM-I muudatusi on palju ning need on seotud kogu digiomnibussi eelnõu teiste sätetega, siis põhjalikku analüüsi saaks teha, kui oleks olemas eelnõu terviktekst.
3.2. Isikuandmete mõistet puudutavad muudatused:
3.2.1. IKÜM artikli 4 lg 1 ehk isikuandmete mõiste muudatused on tekitanud väga elavat diskussiooni erialases ringkonnas. Mõistame Euroopa Komisjoni soovi juurutada Euroopa Kohtu otsusest EDPS vs SRB (C-413/23) tulenevat praktikat, kui ettepanekus toodud mõistet on sellest tulenevalt oluliselt laiendatud. Pooldame seda, et mitte kõiki andmekaitse nõudeid ei peaks täitma olukorras, kus tegelikkuses andmete saajal ei ole mõistlikult võimalik isikut antud andmete pinnalt tuvastada.
4
Samas oleks seda võimalik reguleerida ka selliselt, et sisustada täpsemalt pseudonüümimise mõiste ja siduda see kohustusega seda ajas hinnata. SRB lahendis on selgelt vastutava töötleja pingutuse element sisse kirjutatud, s.t ta peab midagi eraldi tegema selleks, et teine pool ei saaks isikuid enam tuvastada. ITL-ina tervitame seda lähenemist. Samuti saaks täpsemalt reguleerida, millal loetakse andmeid pseudonüümituks ning kohustada võtma arvesse mis iganes tehnoloogilisi või keskkonnas toimunud arenguid, mille puhul peab uuesti hindama, kas võetud meetmed on olnud piisavad.
3.2.2. Isikuandmete mõiste praeguse sõnastuse laiendamine tekitab küsimusi selles osas, kuidas muudatust praktikas rakendada. Täpsemalt, milliseid andmekaitse nõudeid peab täitma juhul, kui saaja jaoks ei ole andmed enam isikuandmed. Näiteks kas on vajalik andmetöötluslepingu sõlmimine, kui vastutava töötleja vaatest on tegemist isikuandmetega, kuid saaja vaatest ei ole saadavad andmed isikustatud andmed. Sarnased küsimused võivad tekkida ka muude vastutava töötleja kohustuste täitmisel (nt andmelekkest teavitamine, andmeedastuse mõju hindamine, volitatud töötlejate avaldamine andmesubjektile jms).
3.2.3. Teeme ettepaneku selgelt IKÜM-is sätestada, et juhul, kui saaja jaoks ei ole tegemist isikuandmetega, ei ole kohustust sõlmida ka andmetöötluslepingut.
3.3. Toetame muudatusi millega IKÜM art 12 lg 5 (töötlemistoimingute registri piirangud), art 13 lg 4 (privaatsusteabe esitamise piirangud) ja art 35 (andmekaitse mõjuhinnangu nõuded) alusel lihtsustakse eelkõige väike- ja keskmistel ettevõtetel IKÜM mõistlikku rakendamist.
3.4. Töötlemistoimingute registri kohustuse kehtestamine 750 või enama töötajaga ettevõtetele võib aga Eesti kontekstis tekitada praktikas probleeme. Töötlemistoimingute register on andmekaitsekohustuste keskpunkt, mille olemasolu tagab ja aitab ka teiste andmekaitse kohustuste täitmist praktikas teostada. Kui seda pole, siis on praktiliselt ettevõtetel keerukas ka koostada näiteks privaatsusteadet ajakohasena, vastata andmesubjekti päringutele, kiirelt reageerida andmeleketele jms. Lisaks sellele võib jääda mulje, et kui on 750 või vähem töötajat, siis pole eriti vaja andmekaitse vaatest pingutada ning see ei aita tõsta teadlikkust andmekaitse teemade olulisusest laiemalt. Näiteks on töötlemistoimingute register vajalik ka tõhusa andmehalduse ja tehisintellekti rakendamiseks.
3.5. Toetame IKÜM art 33 muutmise ettepanekut, mille kohaselt kehtiks järelevalveasutusele isikuandmete nõuete rikkumisest teavitamise kohustus ainult kõrge riskiga rikkumiste puhul. See vähendaks nii vastutavate töötlejate kui ka järelevalveasutuste töökoormust ning aitaks keskenduda kõrge riskiga juhtumite menetlemisele ja kahjulike tagajärgede maandamisele. Usume, et see on olnud ka täna järelevalveasutuste ootus. Toetame ka teavitamise tähtaja pikendamist 96-le tunnile. See leevendaks eelkõige olukordi kus tähtaja arvestuse sisse jääb nädalavahetus.
3.6. Seoses tehisintellekti treenimise ja arendamise õiguslikke aluseid puudutava muudatusega märgime, et tegemist on olulise muudatusega, kuna seni tehnoloogianeutraalsena hoitud IKÜM-isse soovitakse sisse kirjutada konkreetse tehnoloogiaga seotud sätted.
5
Esiteks toetame muudatust, millega tuuakse selgelt välja, et eriliigilisi isikuandmeid võib kasutada tehisintellekti kallutatavuse vähendamiseks. Teiselt poolt vajab meie hinnangul täiendavat kaalumist ja arutelusid tehisintellekti treenimise üldise õigusliku aluse lisamine IKÜM-isse. Meie hinnangul võiks see alus sisalduda pigem tehisintellekti määruses, kuna IKÜM-it võiks hoida jätkuvalt tehnoloogianeutraalsena, et seda tuleviku arengutele mõeldes mitte kinni kirjutada.
3.7. Ettepanekuga artikkel 3 lõikega 1 soovitakse IKÜM-is defineerida teadusuuring ning lõikega 2 muuta avalikes huvides hilisem töötlemine arhiveerimise, teadus- või ajaloolise uurimistöö või statistilistel eesmärkidel esialgse töötlemise eesmärgiga ühilduvaks. Analüüsimist vajab, mida see praktikas tähendaks ning kuidas mõjuks isikuandmete kaitsele, kuna need eesmärgid on väga laiad. Samuti tekitab teadusuuringu defineerimine IKÜM-is küsimuse, miks seda vaja on, kui teadusmaailm lähtub selleks Frascati käsiraamatust 2015 „Teadusuuringuid ja eksperimentaalarendust käsitlevate andmete kogumise ja esitamise suunised“.
4. ePrivaatsuse direktiiviga
4.1. Tervitame küpsiste klausli täpsustamist ja selle isikuandmeid puudutava osa toomist IKÜM- isse.
4.2. Avaldame sektori poolt ootuse, et digiomnibussi ettepanekuga võiks pakkuda lahenduse ka ülejäänud ePrivaatsuse direktiivi osas. ITL on seisukohal, et ePrivaatsuse direktiiv vajab ülevaatamist tervikuna, jätkuvalt reguleerimist vajavate teemade reguleerimist muude õigusaktidega ning eraldiseisva õigusaktina kehtetuks tunnistamist.
5. Intsidentide raporteerimisega:
5.1. Küberturvalisus on sarnaselt andmevaldkonnale väga ulatuslikult reguleeritud. Antud juhul on Euroopa Komisjon otsustanud lahendada vaid väga väikse osa murest ehk pakub välja ainult ühise teavitamiskanali loomise et sama rikkumise pinnalt ei tuleks mitmes kohas ning mitu korda teavitada et sama rikkumise pinnalt ei tuleks mitmes kohas ning mitu korda teavitada. Selline üks teavitamiskanal on kindlasti tervitatav, eriti piiriüleselt tegutsevate ettevõtete jaoks, ning me toetame seda. Ühtse teavituskanali kasutamist võiks kaaluda ka veel täiendavate õigusaktide tarbeks, nt tehisintellektimäärus. Samas võiks lihtsustamise eesmärki silmas pidades olla ambitsioonikam ning ühtlustada ka teavitamise aegasid, vorme jm EL-i küberturvalisuse õigusaktides.
5.2. Ühtse teavituskanali loomine tekitab kohe ka küsimuse sellest, et teavitamise tähtajad on õigusaktides väga erinevad. Näiteks NIS2 direktiivi kohaselt tuleb esmane teavitus küberintsidendist esitada 24h jooksul, isikuandmeid puudutavast intsidendist on samas digiomnibussi ettepaneku kohaselt aega teavitada 96h ehk see vahe on märkimisväärne. Selleks, et kohuslased saaksid ühtset teavituskanalit kasutada, peaksid nad justkui lähtuma iga teavituse puhul kõige lühemast tähtajast, mis ei arvestada asjaoludega, mida neid tähtaegu määrates silmas peeti ehk sellega, et teavituse koostamiseks on teatud juhtudel vaja rohkem aega. Teine variant oleks, et ikkagi tuleb esitada mitu teavitust: 24h möödumisel NIS2 esmane teavitus, 72h möödumisel NIS2 teine teavitus ja 96h möödumisel IKÜM teavitus.
6
Just seetõttu on oluline lisada digiomnibussi ka ühtse teavituskanali kaudu edastatavate teavituste tähtaegade ühtlustamine.
5.3. Seoses NIS2 direktiivi ja DORA-ga tõstatame ka teema, mis vajab EL-i õigusaktide tasemel lahendamist ning on väga vajalik ettevõtete halduskoormuse vähendamiseks ja regulatsioonide lihtsustamiseks. Kehtivate õigusaktide kohaselt on DORA subjektid vabastatud NIS2 täitmisest, kuid NIS2 subjektid, kes osutavad teenuseid DORA subjektidele, peavad vastama ka DORA-le. See tekitab NIS2 subjektidest IKT teenuse osutajatele, kes soovivad oma teenuseid osutada ka finantssektori asutustele, väga suurt koormust. Seetõttu teeme ettepaneku lisada digi omnibussi NIS2 ja DORA muutmine selliselt, NIS2 direktiivi kohuslased, kes osutavad finantssektori asututele IKT teenuseid, ei pea tõendama eraldi DORA-le vastavust, vaid need turvanõuded tunnistatakse samaväärseteks, kui nad vastavad NIS2 alusel kehtestatud nõuetele. Oleme seisukohal, et Eesti võiks olla selle olulise muudatuse eestkõneleja.
III ITL-i seisukohad tehisintellekti määrusega seotud digiomnibussi kohta
1. Tervitame loogikat, et kohustuste täitmine lükatakse edasi seniks, kuni on töötatud välja tööriistad (standardid ja juhised) vastavate kohustuste rakendamiseks. Samas on seejuures oluline arvestada kahte aspekti:
1.1. Esiteks on hetkel välja pakutud tähtaegade pikendus tekitab palju ebakindlust ja segadust, kuna teada ei ole, millal kohustused siis jõustuvad. Väljapakutud 6 kuud Komisjoni otsusest on ilmselgelt liiga lühike tähtaeg.
1.2. Teiseks tekib kohustuste edasilükkamine ohu, et äärmiselt vajalikud standardid ja juhised valmivad veel kauem ehk nende ooteaeg pikeneb. Seega oluline on, et nõuded oleksid selgelt paigas ning tähtajad kehtiksid ka Euroopa Komisjoni enda jaoks. Hetkel oleme olukorras, kus ettevõtted pelgavad kõrge riskiga tehisintellekti süsteeme arendada ja kasutada, sest nad ei ole kindlad, mis hetkel nende toode kõrge riskiga tehisintellektiks muutub (või seda järelevalve asutuse poolt nii tõlgendatakse).
2. Toetame muudatust, mille kohasel vähendatakse ettevõtete kohustusi seoses kitsaste protseduuriliste toimingutega kõrge riskiga tehisintellekti poolt (s.t kui kõrge riskiga tehisintellekti puhul on ainult tehisintellekti element tegemas kitsast protseduurilist toimingut, siis ei pea seda kõrge riskiga tehisintellektina registreerima). Näiteks kui tööle kandideerivate isikute andmeid sisaldavas süsteemis teeb tehisintellekt andmete süstematiseerimise või muud tehnilist tööd.
3. Toetame ka eriliigiliste isikuandmete töötlemiseks selge õigusliku aluse loomist tehisintellekti mudelite kallutatuse kahjulike mõjude vähendamist, leevendamist või ohjamist, isegi kui neid ei ole võimalik täielikult ära hoida.
4. Peame väga oluliseks, et tehisintellekti määrusega seotud omnibussi võimalikult kiirelt menetletakse, eriti tehisintellekti määruse kõrge riskiga seotud kohustuste edasilükkamise vaatest. Oluline on vältida olukorda, kus kohustused jõuavad kohaldatavaks muutuda ja siis need edasi lükatakse, kuna vajalikke nõudeid ja standardeid pole jõutud välja töötada.
7
Lõpetuseks soovime märkida veel järgmist:
1) Euroopa Komisjoni ettepanekuga tutvumine tekitas küsimusi, mis saab lähiajal siseriiklikest regulatsioonidest. Nimelt on pikalt ettevalmistatud andmehalduse määruse, andmemääruse ja tehisintellekti määruse siseriiklikke rakendusakte. Kas digiomnibuss tähendab, et neid tuleb veel kauem oodata või saab vajalikud siseriiklikud muudatused ära teha, et oleks selge, millised on kohalikud pädevad asutused, millised on rikkumiste korral ette nähtavad karistused jm?
2) Lisaks regulatsiooni lihtsustamisele on väga oluline ka muude meetmetega toetada innovatsiooni ja investeerimist andmete ning tehisintellekti valdkonda, et suurendada konkurentsivõimet. Kindlasti on suurem õigusselgus selleks oluline, kuid vaja on ka tugevdada liikmesriikide ja EL-i tasemel andmete ning tehisintellekti valdkonna juhtimist. Veel on väga olulised praktilised juhised õigusaktide rakendamiseks ja analüüsid erinevate õigusaktide omavahelise mõju kohta. Innovatsiooni toetamiseks on Euroopa Komisjoni uue andmeliidu strateegia teatises välja pakkunud meetmeid, millest Eesti jaoks olulisemaid võiks toetada ja tähelepanelikult jälgida.
Loodame, et leiate võimaluse ITL-i arvamust Eesti seisukohtade kujundamisel arvestada. Lisame, et tõime käesolevas kirjas välja kõige olulisemad teemad, mis meile paketiga tutvudes silma jäid. See ei tähenda, et me oleks muude ettepanekute vastu.
Soovime Justiits- ja Digiministeeriumile esindajatele digivaldkonna lihtsustamispaketi läbirääkimistel edu ja jõudu. Tegemist on olulise sammuga selle valdkonna õigusaktide mõistetavamaks ja rakendatavamaks muutmise teel. Loodame, et Eesti riik esitab seisukoha ka Euroopa Komisjoni Digital Fitness Check konsultatsioonile ning pakub koostöös huvigruppidega välja täiendavaid lihtsustusi, mis praegusesse kiiresti menetletavase paketti pole jõudnud. ITL-ina oleme valmis ka edaspidi kaasa mõtlema, eriti kui läbirääkimiste käigus tekib konkreetseid küsimusi, mis Eesti IKT sektorit puudutavad.
Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht
Keilin Tammepärg, [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|