| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/10086-9 |
| Registreeritud | 09.01.2026 |
| Sünkroonitud | 12.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tallinna Ülikool |
| Saabumis/saatmisviis | Tallinna Ülikool |
| Vastutaja | Kristel Niidas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Õiguspoliitika valdkond, Õiguspoliitika osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Liisa-Ly Pakosta
Justiits- ja Digiministeerium Teie: 16.12.2025 nr 8-1/10086-1
Meie: 09.01.2026 nr 2-10/2946-3
Arvamus isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning
innovatsiooni korralduse seaduse muutmise seaduse eelnõu kohta
Lp Liisa-Ly Pakosta
Täname võimaluse eest esitada arvamus isikuandmete kaitse seaduse ning teadus- ja
arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu (eelnõu)
kohta. Alljärgnevalt esitame Tallinna Ülikooli (edaspidi TLÜ) tähelepanekud ja
ettepanekud.
1. Isikuandmete kaitse seaduse (edaspidi IKS) § 6 (eelnõu § 1 p 1)
1.1. Lõikes 2 on sätestatud, et uuringuks peetakse ka Vabariigi Valitsuse seaduse §-s 38
sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava
asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüse ja
uuringuid, sealhulgas tehnoloogiaarendusi. Juhime tähelepanu, et avalik-õiguslik ülikool on
avalik-õiguslik juriidiline isik. Avalik-õigusliku ülikooli õiguslik seisund, eesmärk ja
ülesanded, tegevuse alused ning juhtorganid sätestatakse ülikooli kohta käivas seaduses ja
avalik-õiguslikel ülikoolidel ei ole ülikoolide seaduste kohaselt hallatavaid asutusi .
Eelnõu seletuskirjast ega sätte sõnastusest ei selgu, kas võib esineda analüüse ja uuringuid,
mis ei mahu käesoleva käsitluse “analüüside ja uuringute, sh tehnoloogiaarenduste”
raamidesse. Ühe näitena võib tuua nüüdisaegsed personaliandmekogud, milles säilitatavate
andmete koosseis võimaldab analüüsi. Teise näitena on ülikoolidel kohustus osaleda
akrediteerimisprotsessis, mille üheks sisendiks on ülikooli töötajate rahuloluküsitlused.
Seletuskirjast ei tulene selgelt välja milliseid uuringuid ja analüüse käesoleva seaduse
muudatusega silmas peetakse. Ülikoolides viiakse läbi töötaja ja teadlaste seas rahulolu
uuringuid, mis aitavad kaasa ülikoolide akrediteerimisele. Kas sellisel juhul võiksid
rahuoluolu uuringud kuuluda samuti eelmainitud "analüüside ja uuringute" alla?
1.2. Lõike 3 punktis 3 võib osutuda rakendamisel ülemäära piiravaks arvestades lõike 2
praegust sõnastust. Seetõttu vajab täpsustamist, milliseid lisatoiminguid on silmas peetud,
mida ei tohi uuringu läbiviimisel teha, kuna nende tulemusel võib isik olla tuvastatav.
Näiteks, kas sellisel juhul tähendab see seda, et kui uuring viiakse läbi pseudonümiseeritud
andmetega teatud tüüpi isikute ja andmete osas, ning seejuures viiakse täiendavalt läbi ka
sama rühma/gruppi kuuluvate inimestega teise meetodiga uuring ning võib esineda risk, et
pseudonüümitud andmete taga olev isik võib osutada samaks, kes tegelikult osaleb ka
intervjuudes. Kas sellisel juhul ei tohiks näiteks intervjuusid läbi viia?
Lõigete 2 ja 3 koosmõjus rakendamisel võib tekkida olukord, kus tehnoloogiaarendusi ei
ole võimalik kasutada. Palume kaaluda sätete koosmõjus rakendumise riske ja selgitada
võimalikke mõjusid.
1.3. Lõige 4 järgi võib valdkonna eest vastutav minister määrusega kehtestada
andmetöötlussüsteemis andmete töötlemisele täiendavad tehnilised ja korralduslikud
turvanõuded. Siinkohal tuleks täpsustada, millele täiendavad turvanõuded vastama peaksid
(nt riiklikule või rahvusvahelisele infoturbestandardile).
1.4. Lõige 5 sätestab, et kui isikuandmeid töödeldakse sama paragrahvi lõikes 3 sätestatud
tingimustel, teavitab uuringu tegija enne isikuandmete töötlemist uuringust, uuringu
eesmärkidest, töödeldavatest andmetest ja käesoleva paragrahvi lõikes 3 sätestatud
tingimuste täitmisest Andmekaitse Inspektsiooni (edaspidi AKI). Sättest ei selgu aga,
millised on täpsemad protseduurireeglid uuringu läbiviija seisukohast AKI teavitamiseks
(nt teavitamise tähtaeg, millises vormis nõutud andmed esitatakse jne). Selles osas tuleks
seletuskirja täiendada. Ühtlasi tekib küsimus, kas AKIl tekib ka täiendavaid kohustusi või
õigusi ning milline on sel juhul AKI menetlus.
1.5. Lõige 6 punktis 1 on kasutusele võetud mõiste “ebamõistlikult raske”, kuid selle sisu
jääb ebaselgeks ning ka seletuskiri seda ei ava. Olukorras kus uurija peab täiendavalt
tasuma andmete täiendava töötlemise eest ning see muudab uuringu rahastamist ja võib
mõjutada uuringu edasist käiku finantsilisest aspektist, siis vajab täpsustamist, kas sellist
olukorda võib käsitada kui „ebamõistlikult rasket“.
Punkti 2 osas toome välja, et kõikides uuringutes ei pruugi olla võimalik ülekaalukat
avalikku huvi sellisel määral põhjendada. Võib tekkida olukord, kus avalik huvi küll
esineb, kuid ei ole selgelt ülekaalukas. Seetõttu teeme ettepanek täpsustada seletuskirjas,
milliste kriteeriumide alusel hinnatakse ülekaaluka avaliku huvi olemasolu.
1.6. Lõike 7 kolmanda lause kohaselt on Rahvusarhiivis säilitatavate isikuandmete puhul
eetikakomitee õigused Rahvusarhiivil. Paraku jääb ebaselgeks, kas Rahvusarhiivil on juba
olemas eetikakomitee või nähakse selle sätte alusel ette eetikakomitee moodustamine.
Vajab täpsustamist, millisel kujul ja alustel eetikakomitee õigusi Rahvusarhiivis
teostatakse.
1.7. Lõikest 8 ega eelnõu seletuskirjast ei selgu, milliste kriteeriumide alusel hinnatakse
uuringu andmekaitsealaseid ja eetiliste riskide „väiksust“. Täpsustamist vajab, kas väike
risk peab esinema nii andmekaitsealases kui ka eetilises aspektis või piisab sellest, kui risk
on väike vaid ühes neist. Samuti ei ole seletuskirjas analüüsitud ega kirjeldatud „väikese“
riski sisulisi kriteeriume, mistõttu võib sätte kohaldamine jääda liialt subjektiivseks.
2. IKS § 61 (eelnõu § 1 p 2)
2.1. Lõike 3 esimeses lauses kasutatakse mõistet “uurimistulemuste valideerimine”, kuid
selle tähendus ja ajaraamistik jäävad ebaselgeks. Kuigi seletuskirjas on valideerimist
kirjeldatud kui teaduslikku protsessi, on see praktikas varieeruv ning võib ajaliselt venida.
Samuti võib olla ebaselge, millisel hetkel saab lugeda valideerimise lõppenuks. Selline
ebamäärasus võib raskendada andmete kustutamise kohustuse üheselt mõistetavat täitmist
ning vajab täpsustamist.
Sama lõike teises lauses on ette nähtud, et logid kustutatakse üks aasta pärast uuringu
käigus töödeldavate andmete kustutamist, kuid seletuskirjast ei selgu selgelt antud tähtaja
põhjendus. Puudub selgitus, miks on valitud just üheaastane tähtaeg ning kas selle
määramisel on arvesse võetud võimalikke nõuete esitamise tähtaegu.
2.2. Lõikes 4 teeme ettepaneku asendada lauseosa "... minister võib määrusega
kehtestada..." osaga "...minister kehtestab...". Eelnõus pakutud sõnastus jätab turvanõuete
kehtestamise kaalutlusõiguseks, mis ei tohiks aga nii olla. Samuti ei selgu seletuskirjast, kas
vastava määruse ettevalmistamine on kavandatud, millise ajakavaga see toimub ning millal
täiendavad turvanõuded jõustuvad.
2.3. Lõikes 7 on seadusesse sisse toodud mõiste “avategija”, mis vajab aga mõistena
määratlemist.
2.4. Ühtlasi vajab täpsustamist, kas andmetöötlussüsteem peab vastama ka kindlatele
infoturbestandarditele, nagu Eesti infoturbestandard (E-ITS) või rahvusvahelised standardid
(nt ISO/IEC). Seletuskirjast võiksid selguda täpsemad nõuded andmetöötlussüsteemile.
Samuti jääb ebaselgeks, millisele regulatsioonile eelnõus viidatakse.
3. Tähelepanekud lastega seotud isikuandmete kaitse küsimuse osas
3.1. Eelnõu § 6 lõige 2 sõnastus laiendab uuringu mõistet selliselt, et see hõlmab ka
asutuste siseseid analüüse, teenuste ja infosüsteemide arendusi ning tehnoloogiaarendusi.
Selline sõnastus muudab uuringu sisuliselt üldiseks aluseks avaliku sektori andmete
laialdaseks sekundaarseks kasutamiseks, sealhulgas laste ja perede eriliiki isikuandmete
puhul.
Siinkohal on vajalik regulatsiooni täiendav piiritlemine, et välistada tundlike isikuandmete,
sh laste, sotsiaal- ja tervisevaldkonna andmete kasutamine teenuse-, infosüsteemi- ja
tehnoloogiaarendustes uuringu nime all ilma täiendava sisulise ja eetilise hindamiseta.
Kuigi § 6 lõige 7 näeb ette eetikakomitee kohustusliku kaasamise juhtudel, mil töödeldakse
tuvastatavaid andmeid § 6 lõike 6 alusel, jäävad eelnõu kohaselt eetikakomitee hinnanguta
kõik juhtumid, kus laste, sotsiaal-, tervise- ja vaimse tervise valdkonna eriliiki andmeid
töödeldakse pseudonüümimisele tuginedes § 6 lõike 3 alusel. Selline lahendus ei taga
piisavat eetilist ega sisulist kontrolli laste ja perede andmete süsteemsel sekundaarse
kasutuselevõtul teenuse- ja tehnoloogiaarendustes.
3.2. Eelnõu ei sisalda erisätteid, mis arvestaksid lapse kui erilise kaitsevajadusega isiku
staatust isikuandmete töötlemisel uuringu eesmärgil. ÜRO lapse õiguste konventsiooni
artikli 3, Euroopa Liidu põhiõiguste harta artikli 24 lõike 2 ning isikuandmete kaitse
üldmääruse põhjenduse 38 (sätestab laste isikuandmete kõrgendatud kaitse põhimõtte) ja
artikli 89 kohaselt on lapsel isikuandmete töötlemisel õigus kõrgendatud kaitsele ning
täiendavatele kaitsemeetmetele. Laste isikuandmete, eeskätt eriliiki isikuandmete
töötlemine eeldab täiendavaid ja selgelt sätestatud kaitsemeetmeid, arvestades laste
suurenenud haavatavust ning andmetöötluse võimalikku pikaajalist mõju lapse õigustele ja
arengule.
Ettepanek on täiendada IKS § 6 eraldi lõikega, mis sätestab, et alla 18-aastaste isikute
isikuandmete töötlemisel uuringu eesmärgil tuleb lähtuda lapse parimate huvide
põhimõttest ning rakendada täiendavaid kaitsemeetmeid. Laste eriliiki isikuandmete
töötlemine oleks lubatud üksnes eelneva asjaomase valdkonna eetikakomitee positiivse
hinnangu olemasolul.
3.3. Eelnõuga kavandatav andmetöötlussüsteem loob laiaulatusliku infrastruktuuri
isikuandmete töötlemiseks uuringu eesmärgil. Arvestades süsteemi potentsiaali võimaldada
suuremahulist ja automatiseeritud andmetöötlust, on vajalik täpsustada, et laste, sotsiaal- ja
tervisevaldkonna eriliiki isikuandmete kasutamine selles süsteemis oleks piiratud ning
lubatud üksnes selgelt piiritletud teaduslikel eesmärkidel ja eelneva asjaomase valdkonna
eetikakomitee positiivse hinnangu olemasolul.
4. Muud olulised tähelepanekud
4.1. Eelnõu seletuskirjas on märgitud: “...eetikakomitee peab olema moodustatud seadusega
või selle alusel, kuna kehtiva seaduse kohaselt võiks eetikakomitee luua põhimõtteliselt
igaüks.“. Samuti on seletuskirja põhjendustes viidatud VTK tagasisidele, milles toetati
ettepanekut, mille kohaselt “...eetikakomitee oleks loodud seadusega või selle alusel antud
õigusaktiga ja tema pädevus oleks selgelt määratud. Toetati suunda, kus Eestis oleks ühtne
eetikakomiteede süsteem („ühe ukse poliitika“), mis koondab kõik valdkondlikud komiteed
ühe juhtiva struktuuri alla.”.
Käesoleval ajal tegutseb TLÜ-s eetikakomitee, mis menetleb igakuiselt keskmiselt 12
uuringut. TLÜ eetikakomiteele esitatakse uuringuid mitte üksnes eetilise ja
andmekaitsealaselise hinnangu saamiseks, vaid ka seetõttu, et eetikakomitee kooskõlastust
vajatakse juhul kui uurija soovib uuringu põhjal kirjutada teaduslikku artikli ning avaldada
selle rahvusvahelises teadusväljaandes. TLÜ eetikakomiteele seni ja ka edaspidi esitatavad
uuringutele võib kohalduda antud seadusemuudatus, mille kohaselt peab uurija pöörduma
seaduse alusel loodavasse eetikakomiteesse. TLÜ eetikakomitee ei ole loodud seaduse
alusel, vaid moodustatud rektori korraldusega vastavalt eetikakomitee statuudi p-le 2.2
(statuut on kehtestatud TLÜ põhikirja § 12 p 10 ja § 14 lg 1 alusel).
Kahetsusväärselt ei ole seletuskirjas analüüsitud olemasolevate eetikakomiteede edasine
saatus. Samuti ei ole selgitatud, kas on plaanis luua volitusnorm, mis lubab edaspidi
ülikoolide ja teiste asutuste juures ka käesoleval ajal tegutsevaid eetikakomiteid seaduse
alusel luua ning millisel alusel ja põhimõtetel tegutsevad edaspidi olemasolevad
eetikakomiteed.
Palume seletuskirjas vastavat teemat täiendavalt analüüsida ning selgitada, milline on
olemasolevate eetikakomiteede edasine õiguslik staatus.
4.2. Seletuskirjas on öeldud, et AKI avaldab info tehtavatest uuringutest Eesti teabeväravas.
Seletuskirjas ei ole selgitatud, millist infot ja millises mahus avaldatakse ega ka seda, millal
antud info avalikuks tehakse. Seletuskirjas pole samuti selgelt väljendatud, kas vastav
avaldamine võib mõjutada uuringute konfidentsiaalsust ja intellektuaalomandi kaitset või
sellega kaasnevaid riske.
4.3. Arvestades, et käesoleva eelnõu seletuskirjas tuuakse esile, et juhul kui uuringu tegija
andmeid isikustatud kujul ei vaja ning teadusuuringu tegijale luuakse võimalus andmeid
töödelda andmetöötluskeskkonnas, väheneb uuringu tegija töökoormus ja lüheneb uuringu
tegemise aeg. Isikuandmete töötlemine andmesubjekti nõusolekuta tähendab teadustöö
tegijale paratamatult IKS-ist tulenevaid piiranguid ja halduskoormust (eetikakomitee
menetlus). Märgime, et eelmise aasta lõpus otsustati põhikooli- ja gümnaasiumiseaduse
ning kutseõppeasutuse seaduse muutmise seadusega (direktorite atesteerimine, õpetajate
karjäärimudel ning isikuandmete töötlemine tehisintellekti rakenduse kasutamisel) anda
seaduslik alus õpilaste isikuandmete töötlemiseks tehisintellekti rakenduse kasutamisel
põhikooli- ja gümnaasiumiseadusega kõigile koolidele.
Palume võimalusel käesoleva eelnõu ettevalmistamisel Teie ekspertarvamust selles,
millisele alusele isikuandmete töötlemise nõudeid silmas pidades peaksid tuginema
ülikoolid üliõpilaste isikuandmete töötlemiseks tehisintellekti rakenduste kasutamisel
ülikoolides. Viidatud eelnõu menetlemisel põhjendati reguleerimise vajadust järgmiselt -
“...luua õiguslik alus õppetegevuses tehisintellekti rakenduste kasutamiseks põhikooli- ja
gümnaasiumiseaduses, kuna sellele osundas Andmekaitse Inspektsioon. Tehisintellektil
põhinevate tehnoloogiate järjest laienev kasutuselevõtt, sh ka koolide poolt õppetegevuses
on toonud kaasa vajaduse õpilaste isikuandmete kaitse täiendavaks tagamiseks ning sellest
tulenevalt õigusaktide muutmiseks.”
Lugupidamisega
(allkirjastatud digitaalselt)
Katrin Niglas
teadusprorektor rektori ülesannetes
Liana Iila, [email protected]
Raina Loom, [email protected]
Reelika Paart, [email protected]
Liisa-Ly Pakosta
Justiits- ja Digiministeerium Teie: 16.12.2025 nr 8-1/10086-1
Meie: 09.01.2026 nr 2-10/2946-3
Arvamus isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning
innovatsiooni korralduse seaduse muutmise seaduse eelnõu kohta
Lp Liisa-Ly Pakosta
Täname võimaluse eest esitada arvamus isikuandmete kaitse seaduse ning teadus- ja
arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu (eelnõu)
kohta. Alljärgnevalt esitame Tallinna Ülikooli (edaspidi TLÜ) tähelepanekud ja
ettepanekud.
1. Isikuandmete kaitse seaduse (edaspidi IKS) § 6 (eelnõu § 1 p 1)
1.1. Lõikes 2 on sätestatud, et uuringuks peetakse ka Vabariigi Valitsuse seaduse §-s 38
sätestatud täidesaatva riigivõimu asutuse, kohaliku omavalitsuse asutuse, nende hallatava
asutuse ning avalik-õigusliku juriidilise isiku ja tema hallatava asutuse tehtud analüüse ja
uuringuid, sealhulgas tehnoloogiaarendusi. Juhime tähelepanu, et avalik-õiguslik ülikool on
avalik-õiguslik juriidiline isik. Avalik-õigusliku ülikooli õiguslik seisund, eesmärk ja
ülesanded, tegevuse alused ning juhtorganid sätestatakse ülikooli kohta käivas seaduses ja
avalik-õiguslikel ülikoolidel ei ole ülikoolide seaduste kohaselt hallatavaid asutusi .
Eelnõu seletuskirjast ega sätte sõnastusest ei selgu, kas võib esineda analüüse ja uuringuid,
mis ei mahu käesoleva käsitluse “analüüside ja uuringute, sh tehnoloogiaarenduste”
raamidesse. Ühe näitena võib tuua nüüdisaegsed personaliandmekogud, milles säilitatavate
andmete koosseis võimaldab analüüsi. Teise näitena on ülikoolidel kohustus osaleda
akrediteerimisprotsessis, mille üheks sisendiks on ülikooli töötajate rahuloluküsitlused.
Seletuskirjast ei tulene selgelt välja milliseid uuringuid ja analüüse käesoleva seaduse
muudatusega silmas peetakse. Ülikoolides viiakse läbi töötaja ja teadlaste seas rahulolu
uuringuid, mis aitavad kaasa ülikoolide akrediteerimisele. Kas sellisel juhul võiksid
rahuoluolu uuringud kuuluda samuti eelmainitud "analüüside ja uuringute" alla?
1.2. Lõike 3 punktis 3 võib osutuda rakendamisel ülemäära piiravaks arvestades lõike 2
praegust sõnastust. Seetõttu vajab täpsustamist, milliseid lisatoiminguid on silmas peetud,
mida ei tohi uuringu läbiviimisel teha, kuna nende tulemusel võib isik olla tuvastatav.
Näiteks, kas sellisel juhul tähendab see seda, et kui uuring viiakse läbi pseudonümiseeritud
andmetega teatud tüüpi isikute ja andmete osas, ning seejuures viiakse täiendavalt läbi ka
sama rühma/gruppi kuuluvate inimestega teise meetodiga uuring ning võib esineda risk, et
pseudonüümitud andmete taga olev isik võib osutada samaks, kes tegelikult osaleb ka
intervjuudes. Kas sellisel juhul ei tohiks näiteks intervjuusid läbi viia?
Lõigete 2 ja 3 koosmõjus rakendamisel võib tekkida olukord, kus tehnoloogiaarendusi ei
ole võimalik kasutada. Palume kaaluda sätete koosmõjus rakendumise riske ja selgitada
võimalikke mõjusid.
1.3. Lõige 4 järgi võib valdkonna eest vastutav minister määrusega kehtestada
andmetöötlussüsteemis andmete töötlemisele täiendavad tehnilised ja korralduslikud
turvanõuded. Siinkohal tuleks täpsustada, millele täiendavad turvanõuded vastama peaksid
(nt riiklikule või rahvusvahelisele infoturbestandardile).
1.4. Lõige 5 sätestab, et kui isikuandmeid töödeldakse sama paragrahvi lõikes 3 sätestatud
tingimustel, teavitab uuringu tegija enne isikuandmete töötlemist uuringust, uuringu
eesmärkidest, töödeldavatest andmetest ja käesoleva paragrahvi lõikes 3 sätestatud
tingimuste täitmisest Andmekaitse Inspektsiooni (edaspidi AKI). Sättest ei selgu aga,
millised on täpsemad protseduurireeglid uuringu läbiviija seisukohast AKI teavitamiseks
(nt teavitamise tähtaeg, millises vormis nõutud andmed esitatakse jne). Selles osas tuleks
seletuskirja täiendada. Ühtlasi tekib küsimus, kas AKIl tekib ka täiendavaid kohustusi või
õigusi ning milline on sel juhul AKI menetlus.
1.5. Lõige 6 punktis 1 on kasutusele võetud mõiste “ebamõistlikult raske”, kuid selle sisu
jääb ebaselgeks ning ka seletuskiri seda ei ava. Olukorras kus uurija peab täiendavalt
tasuma andmete täiendava töötlemise eest ning see muudab uuringu rahastamist ja võib
mõjutada uuringu edasist käiku finantsilisest aspektist, siis vajab täpsustamist, kas sellist
olukorda võib käsitada kui „ebamõistlikult rasket“.
Punkti 2 osas toome välja, et kõikides uuringutes ei pruugi olla võimalik ülekaalukat
avalikku huvi sellisel määral põhjendada. Võib tekkida olukord, kus avalik huvi küll
esineb, kuid ei ole selgelt ülekaalukas. Seetõttu teeme ettepanek täpsustada seletuskirjas,
milliste kriteeriumide alusel hinnatakse ülekaaluka avaliku huvi olemasolu.
1.6. Lõike 7 kolmanda lause kohaselt on Rahvusarhiivis säilitatavate isikuandmete puhul
eetikakomitee õigused Rahvusarhiivil. Paraku jääb ebaselgeks, kas Rahvusarhiivil on juba
olemas eetikakomitee või nähakse selle sätte alusel ette eetikakomitee moodustamine.
Vajab täpsustamist, millisel kujul ja alustel eetikakomitee õigusi Rahvusarhiivis
teostatakse.
1.7. Lõikest 8 ega eelnõu seletuskirjast ei selgu, milliste kriteeriumide alusel hinnatakse
uuringu andmekaitsealaseid ja eetiliste riskide „väiksust“. Täpsustamist vajab, kas väike
risk peab esinema nii andmekaitsealases kui ka eetilises aspektis või piisab sellest, kui risk
on väike vaid ühes neist. Samuti ei ole seletuskirjas analüüsitud ega kirjeldatud „väikese“
riski sisulisi kriteeriume, mistõttu võib sätte kohaldamine jääda liialt subjektiivseks.
2. IKS § 61 (eelnõu § 1 p 2)
2.1. Lõike 3 esimeses lauses kasutatakse mõistet “uurimistulemuste valideerimine”, kuid
selle tähendus ja ajaraamistik jäävad ebaselgeks. Kuigi seletuskirjas on valideerimist
kirjeldatud kui teaduslikku protsessi, on see praktikas varieeruv ning võib ajaliselt venida.
Samuti võib olla ebaselge, millisel hetkel saab lugeda valideerimise lõppenuks. Selline
ebamäärasus võib raskendada andmete kustutamise kohustuse üheselt mõistetavat täitmist
ning vajab täpsustamist.
Sama lõike teises lauses on ette nähtud, et logid kustutatakse üks aasta pärast uuringu
käigus töödeldavate andmete kustutamist, kuid seletuskirjast ei selgu selgelt antud tähtaja
põhjendus. Puudub selgitus, miks on valitud just üheaastane tähtaeg ning kas selle
määramisel on arvesse võetud võimalikke nõuete esitamise tähtaegu.
2.2. Lõikes 4 teeme ettepaneku asendada lauseosa "... minister võib määrusega
kehtestada..." osaga "...minister kehtestab...". Eelnõus pakutud sõnastus jätab turvanõuete
kehtestamise kaalutlusõiguseks, mis ei tohiks aga nii olla. Samuti ei selgu seletuskirjast, kas
vastava määruse ettevalmistamine on kavandatud, millise ajakavaga see toimub ning millal
täiendavad turvanõuded jõustuvad.
2.3. Lõikes 7 on seadusesse sisse toodud mõiste “avategija”, mis vajab aga mõistena
määratlemist.
2.4. Ühtlasi vajab täpsustamist, kas andmetöötlussüsteem peab vastama ka kindlatele
infoturbestandarditele, nagu Eesti infoturbestandard (E-ITS) või rahvusvahelised standardid
(nt ISO/IEC). Seletuskirjast võiksid selguda täpsemad nõuded andmetöötlussüsteemile.
Samuti jääb ebaselgeks, millisele regulatsioonile eelnõus viidatakse.
3. Tähelepanekud lastega seotud isikuandmete kaitse küsimuse osas
3.1. Eelnõu § 6 lõige 2 sõnastus laiendab uuringu mõistet selliselt, et see hõlmab ka
asutuste siseseid analüüse, teenuste ja infosüsteemide arendusi ning tehnoloogiaarendusi.
Selline sõnastus muudab uuringu sisuliselt üldiseks aluseks avaliku sektori andmete
laialdaseks sekundaarseks kasutamiseks, sealhulgas laste ja perede eriliiki isikuandmete
puhul.
Siinkohal on vajalik regulatsiooni täiendav piiritlemine, et välistada tundlike isikuandmete,
sh laste, sotsiaal- ja tervisevaldkonna andmete kasutamine teenuse-, infosüsteemi- ja
tehnoloogiaarendustes uuringu nime all ilma täiendava sisulise ja eetilise hindamiseta.
Kuigi § 6 lõige 7 näeb ette eetikakomitee kohustusliku kaasamise juhtudel, mil töödeldakse
tuvastatavaid andmeid § 6 lõike 6 alusel, jäävad eelnõu kohaselt eetikakomitee hinnanguta
kõik juhtumid, kus laste, sotsiaal-, tervise- ja vaimse tervise valdkonna eriliiki andmeid
töödeldakse pseudonüümimisele tuginedes § 6 lõike 3 alusel. Selline lahendus ei taga
piisavat eetilist ega sisulist kontrolli laste ja perede andmete süsteemsel sekundaarse
kasutuselevõtul teenuse- ja tehnoloogiaarendustes.
3.2. Eelnõu ei sisalda erisätteid, mis arvestaksid lapse kui erilise kaitsevajadusega isiku
staatust isikuandmete töötlemisel uuringu eesmärgil. ÜRO lapse õiguste konventsiooni
artikli 3, Euroopa Liidu põhiõiguste harta artikli 24 lõike 2 ning isikuandmete kaitse
üldmääruse põhjenduse 38 (sätestab laste isikuandmete kõrgendatud kaitse põhimõtte) ja
artikli 89 kohaselt on lapsel isikuandmete töötlemisel õigus kõrgendatud kaitsele ning
täiendavatele kaitsemeetmetele. Laste isikuandmete, eeskätt eriliiki isikuandmete
töötlemine eeldab täiendavaid ja selgelt sätestatud kaitsemeetmeid, arvestades laste
suurenenud haavatavust ning andmetöötluse võimalikku pikaajalist mõju lapse õigustele ja
arengule.
Ettepanek on täiendada IKS § 6 eraldi lõikega, mis sätestab, et alla 18-aastaste isikute
isikuandmete töötlemisel uuringu eesmärgil tuleb lähtuda lapse parimate huvide
põhimõttest ning rakendada täiendavaid kaitsemeetmeid. Laste eriliiki isikuandmete
töötlemine oleks lubatud üksnes eelneva asjaomase valdkonna eetikakomitee positiivse
hinnangu olemasolul.
3.3. Eelnõuga kavandatav andmetöötlussüsteem loob laiaulatusliku infrastruktuuri
isikuandmete töötlemiseks uuringu eesmärgil. Arvestades süsteemi potentsiaali võimaldada
suuremahulist ja automatiseeritud andmetöötlust, on vajalik täpsustada, et laste, sotsiaal- ja
tervisevaldkonna eriliiki isikuandmete kasutamine selles süsteemis oleks piiratud ning
lubatud üksnes selgelt piiritletud teaduslikel eesmärkidel ja eelneva asjaomase valdkonna
eetikakomitee positiivse hinnangu olemasolul.
4. Muud olulised tähelepanekud
4.1. Eelnõu seletuskirjas on märgitud: “...eetikakomitee peab olema moodustatud seadusega
või selle alusel, kuna kehtiva seaduse kohaselt võiks eetikakomitee luua põhimõtteliselt
igaüks.“. Samuti on seletuskirja põhjendustes viidatud VTK tagasisidele, milles toetati
ettepanekut, mille kohaselt “...eetikakomitee oleks loodud seadusega või selle alusel antud
õigusaktiga ja tema pädevus oleks selgelt määratud. Toetati suunda, kus Eestis oleks ühtne
eetikakomiteede süsteem („ühe ukse poliitika“), mis koondab kõik valdkondlikud komiteed
ühe juhtiva struktuuri alla.”.
Käesoleval ajal tegutseb TLÜ-s eetikakomitee, mis menetleb igakuiselt keskmiselt 12
uuringut. TLÜ eetikakomiteele esitatakse uuringuid mitte üksnes eetilise ja
andmekaitsealaselise hinnangu saamiseks, vaid ka seetõttu, et eetikakomitee kooskõlastust
vajatakse juhul kui uurija soovib uuringu põhjal kirjutada teaduslikku artikli ning avaldada
selle rahvusvahelises teadusväljaandes. TLÜ eetikakomiteele seni ja ka edaspidi esitatavad
uuringutele võib kohalduda antud seadusemuudatus, mille kohaselt peab uurija pöörduma
seaduse alusel loodavasse eetikakomiteesse. TLÜ eetikakomitee ei ole loodud seaduse
alusel, vaid moodustatud rektori korraldusega vastavalt eetikakomitee statuudi p-le 2.2
(statuut on kehtestatud TLÜ põhikirja § 12 p 10 ja § 14 lg 1 alusel).
Kahetsusväärselt ei ole seletuskirjas analüüsitud olemasolevate eetikakomiteede edasine
saatus. Samuti ei ole selgitatud, kas on plaanis luua volitusnorm, mis lubab edaspidi
ülikoolide ja teiste asutuste juures ka käesoleval ajal tegutsevaid eetikakomiteid seaduse
alusel luua ning millisel alusel ja põhimõtetel tegutsevad edaspidi olemasolevad
eetikakomiteed.
Palume seletuskirjas vastavat teemat täiendavalt analüüsida ning selgitada, milline on
olemasolevate eetikakomiteede edasine õiguslik staatus.
4.2. Seletuskirjas on öeldud, et AKI avaldab info tehtavatest uuringutest Eesti teabeväravas.
Seletuskirjas ei ole selgitatud, millist infot ja millises mahus avaldatakse ega ka seda, millal
antud info avalikuks tehakse. Seletuskirjas pole samuti selgelt väljendatud, kas vastav
avaldamine võib mõjutada uuringute konfidentsiaalsust ja intellektuaalomandi kaitset või
sellega kaasnevaid riske.
4.3. Arvestades, et käesoleva eelnõu seletuskirjas tuuakse esile, et juhul kui uuringu tegija
andmeid isikustatud kujul ei vaja ning teadusuuringu tegijale luuakse võimalus andmeid
töödelda andmetöötluskeskkonnas, väheneb uuringu tegija töökoormus ja lüheneb uuringu
tegemise aeg. Isikuandmete töötlemine andmesubjekti nõusolekuta tähendab teadustöö
tegijale paratamatult IKS-ist tulenevaid piiranguid ja halduskoormust (eetikakomitee
menetlus). Märgime, et eelmise aasta lõpus otsustati põhikooli- ja gümnaasiumiseaduse
ning kutseõppeasutuse seaduse muutmise seadusega (direktorite atesteerimine, õpetajate
karjäärimudel ning isikuandmete töötlemine tehisintellekti rakenduse kasutamisel) anda
seaduslik alus õpilaste isikuandmete töötlemiseks tehisintellekti rakenduse kasutamisel
põhikooli- ja gümnaasiumiseadusega kõigile koolidele.
Palume võimalusel käesoleva eelnõu ettevalmistamisel Teie ekspertarvamust selles,
millisele alusele isikuandmete töötlemise nõudeid silmas pidades peaksid tuginema
ülikoolid üliõpilaste isikuandmete töötlemiseks tehisintellekti rakenduste kasutamisel
ülikoolides. Viidatud eelnõu menetlemisel põhjendati reguleerimise vajadust järgmiselt -
“...luua õiguslik alus õppetegevuses tehisintellekti rakenduste kasutamiseks põhikooli- ja
gümnaasiumiseaduses, kuna sellele osundas Andmekaitse Inspektsioon. Tehisintellektil
põhinevate tehnoloogiate järjest laienev kasutuselevõtt, sh ka koolide poolt õppetegevuses
on toonud kaasa vajaduse õpilaste isikuandmete kaitse täiendavaks tagamiseks ning sellest
tulenevalt õigusaktide muutmiseks.”
Lugupidamisega
(allkirjastatud digitaalselt)
Katrin Niglas
teadusprorektor rektori ülesannetes
Liana Iila, [email protected]
Raina Loom, [email protected]
Reelika Paart, [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|