Arvamuse edastamine



Pr Liisa-Ly Pakosta
Justiits - ja Digiministeerium Teie 16.12.2025 nr 8-1/10086-1
Meie 05.01.2026 nr 0501/2026

Isikuandmete kaitse seaduse ja teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõust

Olete esitanud arvamuse avaldamiseks isikuandmete kaitse seaduse ja teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu. Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon (EVEA) tänab võimaluse ees arvamust avaldada ja juhib alljärgnevalt tähelepanu mõnedele eelnõuga seotud probleemidele.
1. Eelnõu kohaselt võib isikuandmeid, sealhulgas eriliiki isikuandmeid, andmesubjekti nõusolekuta teadus-, ajaloouuringu- või statistikatöö (edaspidi uuring) eesmärgil töödelda eelkõige, kasutades pseudonüümimist või muud samaväärset kaitset pakkuvat meedet. Pseudonüümimisega või muu samaväärse meetmega on eelnõu järgi tegemist, kui on täidetud kõik järgmised tingimused: 1) enne isikuandmete üleandmist uuringu tegijale need pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid päringu saanud andmekogus; 2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada; 3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut, kelle isikuandmeid, sealhulgas eriliiki isikuandmeid, töödeldi; 4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju. Siin ei ole tegemist pseudonüümimise või muu samaväärse meetme tingimustega, vaid pseudonüümitud või samaväärse meetmega kaitstud isikandmete töötlemise tingimustega. Loetelu neljanda punkti näol on tegemist ka sama paragrahvi lõikes 6 toodud tingimuse mittevajaliku kordusega.

2. Eelnõus sätestatakse, et isikuandmete kaitse seaduse tähenduses loetakse seaduses sätestatud uuringuks ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüsid ja uuringud, sealhulgas tehnoloogiaarendused. Probleem seisneb selles, et isikuandmete kaitse üldmäärus reguleerib ainult avalikes huvides toimuvat andmetöötlust arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Kehtiva seaduse tähenduses loetakse teadusuuringuks ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. See tegevus toimub kindlasti avalikes huvides. Aga kõik muud avaliku sektori institutsioonide analüüsid ja uuringud ei pruugi olla teostatud avalikes huvides. Ka teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse järgi on teadus- ja arendustegevuse osalised selle seaduse mõttes ainult teadlased, teadus- ja arendusasutused, ülikoolid, rakenduskõrgkoolid ning teised osalised, kes kavandavad, viivad läbi, korraldavad, rahastavad, toetavad või hindavad teadus- ja arendustegevust või avaldavad teadus- ja arendustegevuse tulemusi. Oluline on see, et isikuandmete kaitse üldmääruse kohaselt isikuandmete vastav töötlemine lubatud ainult avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Sellise tingimusega tuleks eelnõus täiendada ka avaliku sektori institutsioonide, kes ei ole teadus- ega arendusasutused, analüüse ja uuringuid, et vältida vastuolu üldmäärusega.

3. Andmesubjektil on isikuandmete kaitse üldmääruse järgi õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju. Erandina on selline tegevus lubatud vastutava töötleja poolt kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks. Kui me lähtume eeldusest, et avalike ülesannete automatiseerimine ja selleks tehnoloogia või tehisintellekti arendamine toimub avalikus huvis, siis on ka vajalik eelnevalt kehtestada väljaspool andmekaitse valdkonda üldine regulatsioon, milles sätestatakse andmesubjekti kaitsemeetmed või nõuded tema kaitseks kohaldatavatele meetmetele, kui andmesubjekti suhtes hakatakse tegema otsuseid ainult automatiseeritud töötluse alusel.

4. Eelnõusse võetakse üle ka kehtiva seaduse tekst, kus on sätestatud, et kui paragrahvi 6 lõike 3 tingimused ei ole täidetud, on isikuandmete, sealhulgas eriliiki isikuandmete töötlemine uuringuks lubatud üksnes juhul, kui on täidetud kõik järgmised tingimused: 1) pärast tuvastamist võimaldavate andmete eemaldamist ei oleks andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada; 2) uuringu tegija hinnangul on selleks ülekaalukas avalik huvi; 3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi. Üks probleem on seotud siin sellega, et ülekaaluka avaliku huvi määratlemine ei tohi sõltuda ainult uuringu tegija hinnangust. Teine probleem seisneb selles, et on määratlemata, mida tähendab andmesubjekti õiguste ülemäärane kahjustamine. Ülemäärase õiguste kahjustamise keelu asemel võiks sätestada, et peavad olema tagatud muud sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

5. Eelnõu paragrahvi 61 kohaselt võib seaduse §-s 6 sätestatud eesmärgil isikuandmeid, sealhulgas eriliiki isikuandmeid, töödelda ka selleks ettenähtud andmetöötlussüsteemis, kui on täidetud seaduse § 6 lõike 3 punktides 2–4 ja paragrahvis 61 sätestatud tingimused. Olemuslikuks probleemiks on siin see, et andmete töötlemine toimub alati mõnes andmetöötlussüsteemis. Ei ole arusaadav, mille poolest erineb eelnõus reguleeritud andmetöötlussüsteem teistest andmetöötlussüsteemidest ja miks ainult sellele andmetöötlussüsteemile kehtestatakse eelnõus eraldi nõuded. Kas see on mõeldud näiteks muudel eesmärkidel kogutud isikuandmete töötlemiseks? Ka andmekogu ise on avaliku teabe seaduse kohaselt defineeritud kui riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Riigi infosüsteemi kuuluvad näiteks andmekogud, mis on infosüsteemi andmevahetuskihiga liitunud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid.

6. Samuti ei ole arusaadav, kas eelnõus reguleeritud andmetöötlussüsteemi võiks käsitleda ka tehisintellekti regulatiivliivakastina. EL määruse 2024/1689 kohaselt võib muudel eesmärkidel seaduslikult kogutud isikuandmeid tehisintellekti regulatiivliivakastis töödelda üksnes teatavate tehisintellektisüsteemide arendamiseks, treenimiseks ja testimiseks liivakastis, kui on täidetud kõik määruses loetletud tingimused. Osaliselt need kattuvad eelnõus reguleeritud andmetöötlussüsteemi tingimustega. Omaette küsimus on, et kas väljaspool regulatiivliivakasti on määruse kohaselt üldse lubatud muudel eesmärkidel kogutud isikuandmeid kasutada määruse kohaldamisalasse jäävate tehisintellektisüsteemide arendamiseks, treenimiseks ja testimiseks. Näiteks ei kohaldata määrust 2024/1689 tehisintellektisüsteemide või tehisintellektimudelitega seotud teadus-, testimis- või arendustegevuse suhtes enne nende turule laskmist või kasutusele võtmist.



Lugupidamisega

(allkirjastatud digitaalselt)
Leho Verk
EVEA tegevjuht



Pr Liisa-Ly Pakosta
Justiits - ja Digiministeerium Teie 16.12.2025 nr 8-1/10086-1
Meie 05.01.2026 nr 0501/2026

Isikuandmete kaitse seaduse ja teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõust

Olete esitanud arvamuse avaldamiseks isikuandmete kaitse seaduse ja teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu. Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon (EVEA) tänab võimaluse ees arvamust avaldada ja juhib alljärgnevalt tähelepanu mõnedele eelnõuga seotud probleemidele.
1. Eelnõu kohaselt võib isikuandmeid, sealhulgas eriliiki isikuandmeid, andmesubjekti nõusolekuta teadus-, ajaloouuringu- või statistikatöö (edaspidi uuring) eesmärgil töödelda eelkõige, kasutades pseudonüümimist või muud samaväärset kaitset pakkuvat meedet. Pseudonüümimisega või muu samaväärse meetmega on eelnõu järgi tegemist, kui on täidetud kõik järgmised tingimused: 1) enne isikuandmete üleandmist uuringu tegijale need pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid päringu saanud andmekogus; 2) uuringu tegemisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada; 3) uuringu tulemus, sealhulgas tulemuse töötlemine, ei tohi võimaldada tuvastada isikut, kelle isikuandmeid, sealhulgas eriliiki isikuandmeid, töödeldi; 4) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju. Siin ei ole tegemist pseudonüümimise või muu samaväärse meetme tingimustega, vaid pseudonüümitud või samaväärse meetmega kaitstud isikandmete töötlemise tingimustega. Loetelu neljanda punkti näol on tegemist ka sama paragrahvi lõikes 6 toodud tingimuse mittevajaliku kordusega.

2. Eelnõus sätestatakse, et isikuandmete kaitse seaduse tähenduses loetakse seaduses sätestatud uuringuks ka Vabariigi Valitsuse seaduse §-s 38 sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüsid ja uuringud, sealhulgas tehnoloogiaarendused. Probleem seisneb selles, et isikuandmete kaitse üldmäärus reguleerib ainult avalikes huvides toimuvat andmetöötlust arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Kehtiva seaduse tähenduses loetakse teadusuuringuks ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. See tegevus toimub kindlasti avalikes huvides. Aga kõik muud avaliku sektori institutsioonide analüüsid ja uuringud ei pruugi olla teostatud avalikes huvides. Ka teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse järgi on teadus- ja arendustegevuse osalised selle seaduse mõttes ainult teadlased, teadus- ja arendusasutused, ülikoolid, rakenduskõrgkoolid ning teised osalised, kes kavandavad, viivad läbi, korraldavad, rahastavad, toetavad või hindavad teadus- ja arendustegevust või avaldavad teadus- ja arendustegevuse tulemusi. Oluline on see, et isikuandmete kaitse üldmääruse kohaselt isikuandmete vastav töötlemine lubatud ainult avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Sellise tingimusega tuleks eelnõus täiendada ka avaliku sektori institutsioonide, kes ei ole teadus- ega arendusasutused, analüüse ja uuringuid, et vältida vastuolu üldmäärusega.

3. Andmesubjektil on isikuandmete kaitse üldmääruse järgi õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju. Erandina on selline tegevus lubatud vastutava töötleja poolt kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks. Kui me lähtume eeldusest, et avalike ülesannete automatiseerimine ja selleks tehnoloogia või tehisintellekti arendamine toimub avalikus huvis, siis on ka vajalik eelnevalt kehtestada väljaspool andmekaitse valdkonda üldine regulatsioon, milles sätestatakse andmesubjekti kaitsemeetmed või nõuded tema kaitseks kohaldatavatele meetmetele, kui andmesubjekti suhtes hakatakse tegema otsuseid ainult automatiseeritud töötluse alusel.

4. Eelnõusse võetakse üle ka kehtiva seaduse tekst, kus on sätestatud, et kui paragrahvi 6 lõike 3 tingimused ei ole täidetud, on isikuandmete, sealhulgas eriliiki isikuandmete töötlemine uuringuks lubatud üksnes juhul, kui on täidetud kõik järgmised tingimused: 1) pärast tuvastamist võimaldavate andmete eemaldamist ei oleks andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada; 2) uuringu tegija hinnangul on selleks ülekaalukas avalik huvi; 3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi. Üks probleem on seotud siin sellega, et ülekaaluka avaliku huvi määratlemine ei tohi sõltuda ainult uuringu tegija hinnangust. Teine probleem seisneb selles, et on määratlemata, mida tähendab andmesubjekti õiguste ülemäärane kahjustamine. Ülemäärase õiguste kahjustamise keelu asemel võiks sätestada, et peavad olema tagatud muud sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

5. Eelnõu paragrahvi 61 kohaselt võib seaduse §-s 6 sätestatud eesmärgil isikuandmeid, sealhulgas eriliiki isikuandmeid, töödelda ka selleks ettenähtud andmetöötlussüsteemis, kui on täidetud seaduse § 6 lõike 3 punktides 2–4 ja paragrahvis 61 sätestatud tingimused. Olemuslikuks probleemiks on siin see, et andmete töötlemine toimub alati mõnes andmetöötlussüsteemis. Ei ole arusaadav, mille poolest erineb eelnõus reguleeritud andmetöötlussüsteem teistest andmetöötlussüsteemidest ja miks ainult sellele andmetöötlussüsteemile kehtestatakse eelnõus eraldi nõuded. Kas see on mõeldud näiteks muudel eesmärkidel kogutud isikuandmete töötlemiseks? Ka andmekogu ise on avaliku teabe seaduse kohaselt defineeritud kui riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Riigi infosüsteemi kuuluvad näiteks andmekogud, mis on infosüsteemi andmevahetuskihiga liitunud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid.

6. Samuti ei ole arusaadav, kas eelnõus reguleeritud andmetöötlussüsteemi võiks käsitleda ka tehisintellekti regulatiivliivakastina. EL määruse 2024/1689 kohaselt võib muudel eesmärkidel seaduslikult kogutud isikuandmeid tehisintellekti regulatiivliivakastis töödelda üksnes teatavate tehisintellektisüsteemide arendamiseks, treenimiseks ja testimiseks liivakastis, kui on täidetud kõik määruses loetletud tingimused. Osaliselt need kattuvad eelnõus reguleeritud andmetöötlussüsteemi tingimustega. Omaette küsimus on, et kas väljaspool regulatiivliivakasti on määruse kohaselt üldse lubatud muudel eesmärkidel kogutud isikuandmeid kasutada määruse kohaldamisalasse jäävate tehisintellektisüsteemide arendamiseks, treenimiseks ja testimiseks. Näiteks ei kohaldata määrust 2024/1689 tehisintellektisüsteemide või tehisintellektimudelitega seotud teadus-, testimis- või arendustegevuse suhtes enne nende turule laskmist või kasutusele võtmist.



Lugupidamisega

(allkirjastatud digitaalselt)
Leho Verk
EVEA tegevjuht