Arvamuse edastamine

Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits-ja Digiministeerium Teie 16.12.2025 nr 8-1/10086-1 Suur-Ameerika 1 10122 TALLINN Meie 12.01.2026 nr 6.1-1/1

Arvamus isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu kohta

Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL) tänab Justiits- ja Digiministeeriumi kaasamise eest isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu (edaspidi: eelnõu) menetlusse. Oleme eelnõu analüüsinud ning toetame kehtiva isikuandmete kaitse seaduse § 6 muutmist eesmärgiga tagada õigusselgus, kes ja millistel tingimustel võivad andmesubjekti nõusolekuta töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil.

ITL-i hinnangul on eelnõu mitmes küsimuses ebaselge ning ei ole täielikult kooskõlas EL-i isikuandmete kaitse üldmäärusega. Mõistame, et õigusselguse huvides on püütud eelnõu teksti lisada rohkem selgitusi, kuid leiame, et sellest rohkest õigusnormi tekstist ei pruugi päriselus olla abi tagamaks, et tulevased uuringud toimuksid turvaliselt ja eetiliselt. Eelnõu peab andma selge vastuse küsimusele, millal on uuring turvaline. Teadusuuringud vajavad selgeid aluseid ning andmekaitse reeglitega arvestamist. Ka muud riiklikud ja kohaliku omavalitsuse uuringud peavad toimuma selgete piiride raames.

Seetõttu leiame, et protsessi võiks veel läbi mõelda ja küsimusi analüüsida ning oleme valmis selleteemalistel aruteludel ka osalema.

Esitame eelnõu kohta järgmised tähelepanekud ja ettepanekud:

1. Subjekti määratlus ja adressaatide ring

Eelnõust ja selle seletuskirjast ei tule selgelt välja, kes on subjekt ehk keda puudutab eelnõu §-ga 1 muudetav isikuandmete kaitse seaduse (IKS) §-is 6 sisaldav võimalus töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. Eelnõust on raske aru saada, et see on mõeldud ka ettevõtetele.

2

Teeme ettepaneku eelnõu seletuskirjas selgemalt välja tuua, et muudatus puudutab lisaks riigiasutustele ja teadusasutustele ka ettevõtjaid, kes soovivad teha teadusuuringuid või innovatsiooni avalikes huvides. See pole hetkel üheselt arusaadav, kuna eelnõu tegeleb suuremas osas avaliku sektori käes olevate ja avaliku sektori poolt kasutatavate isikuandmetega ning samal ajal kehtib siiski ka eraettevõtetele.

2. Esmase ja teisese andmetöötluse eristamine

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lõikes 1 ei eristata esmast ja teisest töötlust. Teisese töötlemise puhul võib pseudonüümimise nõue (siseriiklik õigus) teatud juhtudel olla madalama kaitsetasemega kui "mittetuvastava töötlemise" nõue, mis on teisese töötlemise puhul otsekohalduv kohustuslik kaitsestandard (EL-i isikuandmete kaitse üldmäärus ehk IKÜM art 89 lg 1 viimane lause, mis viitab sisuliselt IKÜM artiklile 11). See tähendab, et:

1) esmase andmetöötluse korral võib valida kaitsemeetmed vastavalt riskitasemele, mis kaasneb töötluse mõjuga andmesubjektide õigustele ja vabadustele, mh võib kasutada pseudonüümimist vastavalt IKÜM art 89 lg 1 eelviimasele lausele;

2) teisese andmetöötluse korral peab kohaldama eelkõige IKÜM art 89 lg 1 viimases lauses viidatud kaitsemeetmeid, s.t "mittetuvastavat töötlemist" vastavalt IKÜM artiklile 11.

Seega siseriikliku õigusega on põhimõtteliselt võimalik täpsustada ainult sellise andmetöötluse tingimusi, kus pseudonüümine pole piisav kaitsemeede ning IKÜM artikli 11 järgne "mittetuvastav" töötlemine pole võimalik.

Seetõttu teeme ettepaneku segaduste ja vääriti tõlgendamise vältimiseks selgelt sätestada, kas:

A. IKS § 6 lg 1 on õiguslik alus nii esmaseks kui ka teiseseks isikuandmete töötluseks teadus-, ajaloouuringu, statistikatöö või muude avalikes huvides toimuvate analüüside ja uuringute (edaspidi "uuring") eesmärgil vastavalt IKÜM art 6 lg 1 punktile e (task carried out in the public interest, exercise of official authority vested in the controller).

VÕI

B. IKS § 6 kehtestab avalikes huvides toimuvate analüüside ja uuringute üldtingimused ja määratleb, millises andmetöötlussüsteemis töötlemist loetakse "mittetuvastavaks töötlemiseks" IKÜM art 11 järgi. Vastavad õiguslikud alused tuleb kehtestada eriseadustes (riiklik statistika, teadustegevuse korralduse alused, arhiivindus, ametkondlik statistika, hädaolukord, geeniuuringud jms) või toetuda andmesubjekti nõusolekule.

Märgime, et ettepaneku järgi pole vajadust täpsustada, et töötlemine võib toimuda ilma "andmesubjekti nõusolekuta". See fraas tuleks eelnõust kustutada, kui eelnõuga nähakse ette iseseisev seadusest tulenev õiguslik alus isikuandmete töötlemiseks. Kehtivas IKS § 6 lõikes 1 tekitab "andmesubjekti nõusolekuta" segadust ja mitmetimõistetavust eelkõige terviseandmete töötlemisel, kus "isiku nõusolek" võib olla käsitletav ka nõusolekuna sekkumiseks inimese kehalisse puutumatusse (inimgeeniuuringute vm meditsiiniliste uuringute puhul). Viimast tüüpi nõusolek võib olla nõutav sõltumata sellest, kas isikuandmeid töödeldakse andmesubjekti nõusoleku alusel või mitte.

3

3. Psedonümiseerimise defineerimine

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 3 kohta märgime, et siseriikliku õigusega ei saa minna sisustama ega muutma otsekohalduvas ELi määruses defineeritud õigusmõistet "pseudonüümimine" (IKÜM art 4 lg 1 punkt 5).

Ka ei saa minna sisustama ega muutma otsekohalduva ELi määruses mõisteid "(isiku) tuvastamine" (identification) ega "tuvatatud/tuvastatav" (identified/identifiable).

Teeme ettepaneku loobuda terminite "pseudonüümine" ja "muu samaväärset kaitset pakkuv meede" kasutamisest ning selle asemel viidata ainult § 6 lõike 3 kriteeriumitele: a) kaitsemeetmete rakendamise kohustus enne andmete üleandmist uuringu tegijale, b) isiku tuvastamise ja andmete isikustamise vältimise kohustus uuringu tegemisel, c) isiku tuvastamise ja andmete isikustamise vältimise kohustus uuringu väljundis. Eraldi tuua välja, et isegi kaitsemeetmetega andmetöötlus ei tohi muuta andmesubjekti kohustuste mahtu ega teda ülemäära kahjustada.

4. Andmete edastamine Statistikaametile

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 4 eeldab, et andmete edastamine Statistikaametile on tingimata vajalik selleks, et Statistikaamet saaks andmeid pseudonüümida või muid kaitsemeetmeid rakendada. Kui Statistikaamet kasutab selleks privaatsuskaitsetehnoloogiaid, siis ei ole andmete edastamine rangelt võttes vajalik, s.t Statistikaamet ise ei pea andmeid tingimata nägema või neist aru saama, et aidata andmeid kaitsta. See norm võimaldab Statistikaametit kaasata andmetöötluse otsustusprotsessi ja töödelda andmeid traditsiooniliste kaitsemeetmetega, mille riskitase on kõrgem kui privaatsuskaitsetehnoloogiatel. Tekib küsimus, miks peaks seadusega Statistikaametile rakendama kergendatud meetmeid, kui nad pakuvad üksnes andmetöötlusteenust ega töötle andmeid oma vajadusteks (riiklik statistika, teadlaste keskkond jms).

ITL-i ettepanek on kohaldada Statistikaameti poolt töötlemisel samu nõudeid nagu muude andmetöötlussüsteemide pakkujate puhul (vt eelnõu § 2 - IKS § 6').

5. Tuvastamist võimaldavate andmete eemaldamine

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 1 punkt 1 eeldab, et mittetuvastava töötlemise jaoks on vaja mingi osa andmeid eemaldada. Privaatsuskaitsetehnoloogiatega pole see vajalik - andmeid töödeldakse osapooltele mittenähtaval (mittetuvastaval) kujul, samas andmed ise jäävad algsele kujule.

Teeme ettepaneku lihtsustada seda normi selliselt, et tuvastaval kujul (nt toorandmed või lihtpseudonüümitud andmed, kus vastutaval töötlejal on juurdepääs pseudonüümimisvõtmele) andmete töötlemine on lubatud ainult eriseadustes määratletud juhtudel, aga mittetuvastaval kujul töötlemine on lubatud IKS §-s 6 sätestatud tingimustel (töötlemine AKI poolt kontrollitud andmetöötluskeskkonnas, kus kasutatakse nii asjakohaseid tehnilisi kui ka organisatoorseid kaitsemeetmeid).

4

6. Ülekaalukas avalik huvi

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 1 punkt 2 on meie hinnangul liiga avatud tõlgendustele ja sõltub uuringu tegija suvast.

Seetõttu teeme järgmised ettepanekud:

a) täpsustada "uuringu tegija" mõistet - kas see on uuringu tellija või uuringu vahetu teostaja? b) täpsustada ülekaalukat avalikku huvi vähemalt riigi kui uuringu tegija puhul eriseadustes (riiklik

statistika, hädaolukorrad, ametkondlik statistika poliitikauuringuteks, geeniuuringud jms) ja IKS-is viidata nendele eriseadustele.

Selgitame, et poliitikauuringud vajavad selget seaduslikku alust (IKÜM art 6 lg 1 punkt e) ja igakordset põhiõiguste riivete proportsionaalsuse hindamist sõltumata uuringu riskitasemest (poliitikauuringud eeldavad suure hulga ühiskonna liikmete kohta info kogumist ja töötlemist, et teha ühiskonna jaoks vajalikke otsuseid). Ei piisa, et andmetöötlus põhineb avaliku võimu teostaja üldisel seadusest tulenevate ülesannete täitmise kohustusel.1

Alternatiivse ettepanekuna pakume IKS § 6 lg 1 punkti 2 kustutamist.

7. Andmesubjekti õiguste piiramine uuringu tegija poolt

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lõikega 11 riik sisuliselt delegeerib oma seadusloome õiguse edasi uuringu tegijale. See seadusloome volitus tuleneb IKÜM artikkel 89 lõikest 2, mis lubab liikmeriikidel oma õigusega teha erisusi IKÜM artiklites 15, 16, 18 ja 21 loetletud andmesubjekti õigustest. IKS § 6 lg 11 aga delegeerib vastava erisuste tegemise otsustusõiguse seaduse asemel otse uuringu tegijale ning jätab selle tema valikuvabaduseks. Seejuures on jäetud tähelepanuta, et teisesel töötlemisel tuleb rakendada IKÜM artikli 89 lg 1 viimase lause kohaselt mittetuvastavat töötlemist - sellisel juhul IKÜM artiklid 15-20 ei kohaldugi.

Teeme ettepaneku viia eelnõu tekst kooskõlla IKÜMi loogikaga, mille kohaselt on mittetuvastava töötlemise korral lubatud rohkem erandeid andmesubjekti õigustest, sõltumata andmetöötluse õiguslikust alusest (võib olla ka nõusolek) ja sõltumata sellest, kas tegu on esmase või teisese töötlemisega. Sisuliselt IKS § 6 lg 3 eelnõus nagunii dubleerib IKÜMi mittetuvastava töötlemise nõudeid (IKÜM artikkel 11).

1 Vt selle kohta: Maris Juha: Proaktiivne profileeriv personaalne e-riik. Kas inimese osalus ja läbipaistvus jäävadki unarusse? Number 2023/6 lk 501-513. Internet: ridica.ee/article.php?uri=2023_6_proaktiivne_profileeriv_personaalne_e- riik_kas_inimese_osalus_ja_l_bipaistvus_j_vadki_unaruss ja M. Mikiver. Isikuandmeid ristkasutav e-riik ja seaduse reservatsioon. Kas efektiivsus tõrjub põhiseaduslikud nõuded? – Riigiõiguse aastaraamat 4/2023, lk 54– 92. Internet: https://www.akadeemia.ee/wp-content/uploads/2024/06/riigioiguse-aastaraamat-2023-veeb.pdf

5

8. Andmetöötlussüsteemi mõiste ja pakkujad

Seoses andmetöötlussüsteemiga (eelnõu § 2) vajab selgitamist, mis see täpsemalt on. Kas see on kitsas tegevus või saab andmeid töödelda igas IT-süsteemis? Mõiste "andmetöötlussüsteem" on määratlemata. Jääb segaseks, kas andmetöötlussüsteemi tuleb kasutada ainult mittetuvastava töötlemise tagamiseks või sobib see ka tuvastava töötlemise korral.

Kas see on sama, mis "andmeruum" EL-i andmemääruse (Data Act Regulation No 2023/2854) artikli 33 tähenduses või "turvaline andmetöötluskeskkond" EL-i andmehaldusmääruse (Data Governance Act No 2022/868) artikkel art 2 lg 1 punkti 20 tähenduses? Kui jah, siis tuleks lisada viide.

Teeme ettepaneku sätestada eelnõus definitsioon siseriikliku õiguse jaoks, arvestades ELi õigusest tulenevaid nõuded turvalistele andmetöötluskeskkondadele, andmeruumidele jne.

Samuti vajab selgitamist, kes võib andmetöötlussüsteemi teenust pakkuda. Eelnõu seletuskiri küll selgitab, et turg on jäetud lahtiseks, kuid see võiks selgemini välja tulla. Palume eelnõus täpsustada, et andmetöötlussüsteemi pakkujate ring ei ole piiratud üksnes riigiasutustega (Statistikaametiga), vaid võimalus on ka ülikoolidel ja ettevõtetel.

9. Tingimuste kontrollimine Andmekaitse Inspektsiooni poolt

Eelnõu § 1 punktiga 2 IKS-i lisatav § 61lg 5 sätestab, et Andmekaitse Inspektsiooni (AKI) kohustuse kontrollida andmetöötlussüsteemi kasutuselevõtul seaduses sätestatud tingimuste täitmist. Andmetöötlussüsteemi nõuete täitmise kontrollimine tähendab sisuliselt tarkvara/riistvara auditi tegemist. Kuidas see praktikas korraldatakse? Kas AKI küsib lihtsalt pabereid või kinnitusi nõuete täitmise kohta, ilma et mõni audiitor või sertifitseerija peaks neid eelnevalt allkirjastama? ITL-i ettepanek on lisada auditi nõue.

10. Andmetöötlussüsteemis andmete töötlemise eetilisus

Eelnõu § 1 punktiga 2 IKS-i lisatav § 61 lg 6 sätestab, et kui uuringu eesmärgil töödeldakse andmeid andmetöötlussüsteemis täites kõik IKS § 61 sätestatud tingimused, siis ei ole vajalik asjaomase valdkonna eetikakomitee poolt kontrollida enne uuringu alustamist uuringu eetilisust. Juhime tähelepanu, et ka väga rangete kaitsemeetmetega töötlemine võib olla ebaeetiline.

Peamine eelis andmetöötlussüsteemi kasutamisel seisneb selles, et see võimaldab tugevamaid kaitsemeetmeid ja seetõttu võib kvalifitseeruda kui "mittetuvastav töötlemine", mis võimaldab välistada IKÜM artiklites 15-20 nimetatud andmesubjekti õiguste kohaldumise.

Teeme ettepaneku IKS § 61 lõige 6 kustutada. Oleme seisukohal, et eetikakomiteede kontroll on vajalik ka andmetöötlussüsteemi kasutamisel. Kuna uuringute tulemuste puhul eetilisust ei hinnata, on vaja seda teha enne uuringut ehk enne andmetöötluse algust.

6

Kokkuvõtteks leiame, et eelnõuga kavandatavad muudatused on vajalikud, et kaasajastada ja ühtlustada uuringu tegemise andmetöötluse tingimusi ning sätestada täiendavad kaitsemeetmed, et andmesubjektide põhiõigused oleksid paremini kaitstud. Samas soovitame eelnõus selgemalt määratleda, kes on puudutatud isikud, täpsustada andmetöötlussüsteemi mõistet ja selle pakkujate ringi ning analüüsida veel kooskõla EL-i õigusaktidega.

Loodame, et leiate võimaluse ITL-i ettepanekuid arvestada. Oleme valmis neid ka täiendavalt selgitama.

Lugupidamisega

/allkirjastatud digitaalselt/

Doris Põld

Tegevjuht

Keilin Tammepärg, [email protected]

Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits-ja Digiministeerium Teie 16.12.2025 nr 8-1/10086-1 Suur-Ameerika 1 10122 TALLINN Meie 12.01.2026 nr 6.1-1/1

Arvamus isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu kohta

Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL) tänab Justiits- ja Digiministeeriumi kaasamise eest isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu (edaspidi: eelnõu) menetlusse. Oleme eelnõu analüüsinud ning toetame kehtiva isikuandmete kaitse seaduse § 6 muutmist eesmärgiga tagada õigusselgus, kes ja millistel tingimustel võivad andmesubjekti nõusolekuta töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil.

ITL-i hinnangul on eelnõu mitmes küsimuses ebaselge ning ei ole täielikult kooskõlas EL-i isikuandmete kaitse üldmäärusega. Mõistame, et õigusselguse huvides on püütud eelnõu teksti lisada rohkem selgitusi, kuid leiame, et sellest rohkest õigusnormi tekstist ei pruugi päriselus olla abi tagamaks, et tulevased uuringud toimuksid turvaliselt ja eetiliselt. Eelnõu peab andma selge vastuse küsimusele, millal on uuring turvaline. Teadusuuringud vajavad selgeid aluseid ning andmekaitse reeglitega arvestamist. Ka muud riiklikud ja kohaliku omavalitsuse uuringud peavad toimuma selgete piiride raames.

Seetõttu leiame, et protsessi võiks veel läbi mõelda ja küsimusi analüüsida ning oleme valmis selleteemalistel aruteludel ka osalema.

Esitame eelnõu kohta järgmised tähelepanekud ja ettepanekud:

1. Subjekti määratlus ja adressaatide ring

Eelnõust ja selle seletuskirjast ei tule selgelt välja, kes on subjekt ehk keda puudutab eelnõu §-ga 1 muudetav isikuandmete kaitse seaduse (IKS) §-is 6 sisaldav võimalus töödelda isikuandmeid teadus- ja ajaloouuringu ning statistika eesmärgil. Eelnõust on raske aru saada, et see on mõeldud ka ettevõtetele.

2

Teeme ettepaneku eelnõu seletuskirjas selgemalt välja tuua, et muudatus puudutab lisaks riigiasutustele ja teadusasutustele ka ettevõtjaid, kes soovivad teha teadusuuringuid või innovatsiooni avalikes huvides. See pole hetkel üheselt arusaadav, kuna eelnõu tegeleb suuremas osas avaliku sektori käes olevate ja avaliku sektori poolt kasutatavate isikuandmetega ning samal ajal kehtib siiski ka eraettevõtetele.

2. Esmase ja teisese andmetöötluse eristamine

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lõikes 1 ei eristata esmast ja teisest töötlust. Teisese töötlemise puhul võib pseudonüümimise nõue (siseriiklik õigus) teatud juhtudel olla madalama kaitsetasemega kui "mittetuvastava töötlemise" nõue, mis on teisese töötlemise puhul otsekohalduv kohustuslik kaitsestandard (EL-i isikuandmete kaitse üldmäärus ehk IKÜM art 89 lg 1 viimane lause, mis viitab sisuliselt IKÜM artiklile 11). See tähendab, et:

1) esmase andmetöötluse korral võib valida kaitsemeetmed vastavalt riskitasemele, mis kaasneb töötluse mõjuga andmesubjektide õigustele ja vabadustele, mh võib kasutada pseudonüümimist vastavalt IKÜM art 89 lg 1 eelviimasele lausele;

2) teisese andmetöötluse korral peab kohaldama eelkõige IKÜM art 89 lg 1 viimases lauses viidatud kaitsemeetmeid, s.t "mittetuvastavat töötlemist" vastavalt IKÜM artiklile 11.

Seega siseriikliku õigusega on põhimõtteliselt võimalik täpsustada ainult sellise andmetöötluse tingimusi, kus pseudonüümine pole piisav kaitsemeede ning IKÜM artikli 11 järgne "mittetuvastav" töötlemine pole võimalik.

Seetõttu teeme ettepaneku segaduste ja vääriti tõlgendamise vältimiseks selgelt sätestada, kas:

A. IKS § 6 lg 1 on õiguslik alus nii esmaseks kui ka teiseseks isikuandmete töötluseks teadus-, ajaloouuringu, statistikatöö või muude avalikes huvides toimuvate analüüside ja uuringute (edaspidi "uuring") eesmärgil vastavalt IKÜM art 6 lg 1 punktile e (task carried out in the public interest, exercise of official authority vested in the controller).

VÕI

B. IKS § 6 kehtestab avalikes huvides toimuvate analüüside ja uuringute üldtingimused ja määratleb, millises andmetöötlussüsteemis töötlemist loetakse "mittetuvastavaks töötlemiseks" IKÜM art 11 järgi. Vastavad õiguslikud alused tuleb kehtestada eriseadustes (riiklik statistika, teadustegevuse korralduse alused, arhiivindus, ametkondlik statistika, hädaolukord, geeniuuringud jms) või toetuda andmesubjekti nõusolekule.

Märgime, et ettepaneku järgi pole vajadust täpsustada, et töötlemine võib toimuda ilma "andmesubjekti nõusolekuta". See fraas tuleks eelnõust kustutada, kui eelnõuga nähakse ette iseseisev seadusest tulenev õiguslik alus isikuandmete töötlemiseks. Kehtivas IKS § 6 lõikes 1 tekitab "andmesubjekti nõusolekuta" segadust ja mitmetimõistetavust eelkõige terviseandmete töötlemisel, kus "isiku nõusolek" võib olla käsitletav ka nõusolekuna sekkumiseks inimese kehalisse puutumatusse (inimgeeniuuringute vm meditsiiniliste uuringute puhul). Viimast tüüpi nõusolek võib olla nõutav sõltumata sellest, kas isikuandmeid töödeldakse andmesubjekti nõusoleku alusel või mitte.

3

3. Psedonümiseerimise defineerimine

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 3 kohta märgime, et siseriikliku õigusega ei saa minna sisustama ega muutma otsekohalduvas ELi määruses defineeritud õigusmõistet "pseudonüümimine" (IKÜM art 4 lg 1 punkt 5).

Ka ei saa minna sisustama ega muutma otsekohalduva ELi määruses mõisteid "(isiku) tuvastamine" (identification) ega "tuvatatud/tuvastatav" (identified/identifiable).

Teeme ettepaneku loobuda terminite "pseudonüümine" ja "muu samaväärset kaitset pakkuv meede" kasutamisest ning selle asemel viidata ainult § 6 lõike 3 kriteeriumitele: a) kaitsemeetmete rakendamise kohustus enne andmete üleandmist uuringu tegijale, b) isiku tuvastamise ja andmete isikustamise vältimise kohustus uuringu tegemisel, c) isiku tuvastamise ja andmete isikustamise vältimise kohustus uuringu väljundis. Eraldi tuua välja, et isegi kaitsemeetmetega andmetöötlus ei tohi muuta andmesubjekti kohustuste mahtu ega teda ülemäära kahjustada.

4. Andmete edastamine Statistikaametile

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 4 eeldab, et andmete edastamine Statistikaametile on tingimata vajalik selleks, et Statistikaamet saaks andmeid pseudonüümida või muid kaitsemeetmeid rakendada. Kui Statistikaamet kasutab selleks privaatsuskaitsetehnoloogiaid, siis ei ole andmete edastamine rangelt võttes vajalik, s.t Statistikaamet ise ei pea andmeid tingimata nägema või neist aru saama, et aidata andmeid kaitsta. See norm võimaldab Statistikaametit kaasata andmetöötluse otsustusprotsessi ja töödelda andmeid traditsiooniliste kaitsemeetmetega, mille riskitase on kõrgem kui privaatsuskaitsetehnoloogiatel. Tekib küsimus, miks peaks seadusega Statistikaametile rakendama kergendatud meetmeid, kui nad pakuvad üksnes andmetöötlusteenust ega töötle andmeid oma vajadusteks (riiklik statistika, teadlaste keskkond jms).

ITL-i ettepanek on kohaldada Statistikaameti poolt töötlemisel samu nõudeid nagu muude andmetöötlussüsteemide pakkujate puhul (vt eelnõu § 2 - IKS § 6').

5. Tuvastamist võimaldavate andmete eemaldamine

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 1 punkt 1 eeldab, et mittetuvastava töötlemise jaoks on vaja mingi osa andmeid eemaldada. Privaatsuskaitsetehnoloogiatega pole see vajalik - andmeid töödeldakse osapooltele mittenähtaval (mittetuvastaval) kujul, samas andmed ise jäävad algsele kujule.

Teeme ettepaneku lihtsustada seda normi selliselt, et tuvastaval kujul (nt toorandmed või lihtpseudonüümitud andmed, kus vastutaval töötlejal on juurdepääs pseudonüümimisvõtmele) andmete töötlemine on lubatud ainult eriseadustes määratletud juhtudel, aga mittetuvastaval kujul töötlemine on lubatud IKS §-s 6 sätestatud tingimustel (töötlemine AKI poolt kontrollitud andmetöötluskeskkonnas, kus kasutatakse nii asjakohaseid tehnilisi kui ka organisatoorseid kaitsemeetmeid).

4

6. Ülekaalukas avalik huvi

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lg 1 punkt 2 on meie hinnangul liiga avatud tõlgendustele ja sõltub uuringu tegija suvast.

Seetõttu teeme järgmised ettepanekud:

a) täpsustada "uuringu tegija" mõistet - kas see on uuringu tellija või uuringu vahetu teostaja? b) täpsustada ülekaalukat avalikku huvi vähemalt riigi kui uuringu tegija puhul eriseadustes (riiklik

statistika, hädaolukorrad, ametkondlik statistika poliitikauuringuteks, geeniuuringud jms) ja IKS-is viidata nendele eriseadustele.

Selgitame, et poliitikauuringud vajavad selget seaduslikku alust (IKÜM art 6 lg 1 punkt e) ja igakordset põhiõiguste riivete proportsionaalsuse hindamist sõltumata uuringu riskitasemest (poliitikauuringud eeldavad suure hulga ühiskonna liikmete kohta info kogumist ja töötlemist, et teha ühiskonna jaoks vajalikke otsuseid). Ei piisa, et andmetöötlus põhineb avaliku võimu teostaja üldisel seadusest tulenevate ülesannete täitmise kohustusel.1

Alternatiivse ettepanekuna pakume IKS § 6 lg 1 punkti 2 kustutamist.

7. Andmesubjekti õiguste piiramine uuringu tegija poolt

Eelnõu § 1 punktiga 1 muudetava IKS § 6 lõikega 11 riik sisuliselt delegeerib oma seadusloome õiguse edasi uuringu tegijale. See seadusloome volitus tuleneb IKÜM artikkel 89 lõikest 2, mis lubab liikmeriikidel oma õigusega teha erisusi IKÜM artiklites 15, 16, 18 ja 21 loetletud andmesubjekti õigustest. IKS § 6 lg 11 aga delegeerib vastava erisuste tegemise otsustusõiguse seaduse asemel otse uuringu tegijale ning jätab selle tema valikuvabaduseks. Seejuures on jäetud tähelepanuta, et teisesel töötlemisel tuleb rakendada IKÜM artikli 89 lg 1 viimase lause kohaselt mittetuvastavat töötlemist - sellisel juhul IKÜM artiklid 15-20 ei kohaldugi.

Teeme ettepaneku viia eelnõu tekst kooskõlla IKÜMi loogikaga, mille kohaselt on mittetuvastava töötlemise korral lubatud rohkem erandeid andmesubjekti õigustest, sõltumata andmetöötluse õiguslikust alusest (võib olla ka nõusolek) ja sõltumata sellest, kas tegu on esmase või teisese töötlemisega. Sisuliselt IKS § 6 lg 3 eelnõus nagunii dubleerib IKÜMi mittetuvastava töötlemise nõudeid (IKÜM artikkel 11).

1 Vt selle kohta: Maris Juha: Proaktiivne profileeriv personaalne e-riik. Kas inimese osalus ja läbipaistvus jäävadki unarusse? Number 2023/6 lk 501-513. Internet: ridica.ee/article.php?uri=2023_6_proaktiivne_profileeriv_personaalne_e- riik_kas_inimese_osalus_ja_l_bipaistvus_j_vadki_unaruss ja M. Mikiver. Isikuandmeid ristkasutav e-riik ja seaduse reservatsioon. Kas efektiivsus tõrjub põhiseaduslikud nõuded? – Riigiõiguse aastaraamat 4/2023, lk 54– 92. Internet: https://www.akadeemia.ee/wp-content/uploads/2024/06/riigioiguse-aastaraamat-2023-veeb.pdf

5

8. Andmetöötlussüsteemi mõiste ja pakkujad

Seoses andmetöötlussüsteemiga (eelnõu § 2) vajab selgitamist, mis see täpsemalt on. Kas see on kitsas tegevus või saab andmeid töödelda igas IT-süsteemis? Mõiste "andmetöötlussüsteem" on määratlemata. Jääb segaseks, kas andmetöötlussüsteemi tuleb kasutada ainult mittetuvastava töötlemise tagamiseks või sobib see ka tuvastava töötlemise korral.

Kas see on sama, mis "andmeruum" EL-i andmemääruse (Data Act Regulation No 2023/2854) artikli 33 tähenduses või "turvaline andmetöötluskeskkond" EL-i andmehaldusmääruse (Data Governance Act No 2022/868) artikkel art 2 lg 1 punkti 20 tähenduses? Kui jah, siis tuleks lisada viide.

Teeme ettepaneku sätestada eelnõus definitsioon siseriikliku õiguse jaoks, arvestades ELi õigusest tulenevaid nõuded turvalistele andmetöötluskeskkondadele, andmeruumidele jne.

Samuti vajab selgitamist, kes võib andmetöötlussüsteemi teenust pakkuda. Eelnõu seletuskiri küll selgitab, et turg on jäetud lahtiseks, kuid see võiks selgemini välja tulla. Palume eelnõus täpsustada, et andmetöötlussüsteemi pakkujate ring ei ole piiratud üksnes riigiasutustega (Statistikaametiga), vaid võimalus on ka ülikoolidel ja ettevõtetel.

9. Tingimuste kontrollimine Andmekaitse Inspektsiooni poolt

Eelnõu § 1 punktiga 2 IKS-i lisatav § 61lg 5 sätestab, et Andmekaitse Inspektsiooni (AKI) kohustuse kontrollida andmetöötlussüsteemi kasutuselevõtul seaduses sätestatud tingimuste täitmist. Andmetöötlussüsteemi nõuete täitmise kontrollimine tähendab sisuliselt tarkvara/riistvara auditi tegemist. Kuidas see praktikas korraldatakse? Kas AKI küsib lihtsalt pabereid või kinnitusi nõuete täitmise kohta, ilma et mõni audiitor või sertifitseerija peaks neid eelnevalt allkirjastama? ITL-i ettepanek on lisada auditi nõue.

10. Andmetöötlussüsteemis andmete töötlemise eetilisus

Eelnõu § 1 punktiga 2 IKS-i lisatav § 61 lg 6 sätestab, et kui uuringu eesmärgil töödeldakse andmeid andmetöötlussüsteemis täites kõik IKS § 61 sätestatud tingimused, siis ei ole vajalik asjaomase valdkonna eetikakomitee poolt kontrollida enne uuringu alustamist uuringu eetilisust. Juhime tähelepanu, et ka väga rangete kaitsemeetmetega töötlemine võib olla ebaeetiline.

Peamine eelis andmetöötlussüsteemi kasutamisel seisneb selles, et see võimaldab tugevamaid kaitsemeetmeid ja seetõttu võib kvalifitseeruda kui "mittetuvastav töötlemine", mis võimaldab välistada IKÜM artiklites 15-20 nimetatud andmesubjekti õiguste kohaldumise.

Teeme ettepaneku IKS § 61 lõige 6 kustutada. Oleme seisukohal, et eetikakomiteede kontroll on vajalik ka andmetöötlussüsteemi kasutamisel. Kuna uuringute tulemuste puhul eetilisust ei hinnata, on vaja seda teha enne uuringut ehk enne andmetöötluse algust.

6

Kokkuvõtteks leiame, et eelnõuga kavandatavad muudatused on vajalikud, et kaasajastada ja ühtlustada uuringu tegemise andmetöötluse tingimusi ning sätestada täiendavad kaitsemeetmed, et andmesubjektide põhiõigused oleksid paremini kaitstud. Samas soovitame eelnõus selgemalt määratleda, kes on puudutatud isikud, täpsustada andmetöötlussüsteemi mõistet ja selle pakkujate ringi ning analüüsida veel kooskõla EL-i õigusaktidega.

Loodame, et leiate võimaluse ITL-i ettepanekuid arvestada. Oleme valmis neid ka täiendavalt selgitama.

Lugupidamisega

/allkirjastatud digitaalselt/

Doris Põld

Tegevjuht

Keilin Tammepärg, [email protected]