| Dokumendiregister | Siseministeeriumi infotehnoloogia- ja arenduskeskus |
| Viit | 3-8/5 |
| Registreeritud | 19.01.2026 |
| Sünkroonitud | 20.01.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 3 Õigusteenindus. Hanked |
| Sari | 3-8 Arvamused õigusaktide eelnõude kohta |
| Toimik | 3-8/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Siseministeerium |
| Saabumis/saatmisviis | Siseministeerium |
| Vastutaja | Erle Eks (õiguse ja hangete osakond) |
| Originaal | Ava uues aknas |
Pikk 61 / 15065 Tallinn / [email protected] / www.siseministeerium.ee
Registrikood 70000562
Pr Liisa-Ly Pakosta
Justiits- ja digiminister
Teie: 14.12.2025 nr JDM/25-1397/-1K
Meie: 19.01.2026 nr 1-7/330-5
Siseministeeriumi arvamus Avaliku teabe
seaduse muutmise seaduse
väljatöötamiskavatsusele
Lugupeetud proua minister
Siseministeerium (SiM) tänab võimaluse eest esitada omapoolsed mõtted ja seisukohad avaliku
teabe seaduse muutmise seaduse eelnõu väljatöötamiskavatsusele (VTK), mis käsitleb
andmejälgija kohustuslikkust. Iseenda andmete omanikuna soovime kõik omada teadmist ja
kontrolli selle üle, kes ja millisel eesmärgil minu isikuandmeid töötleb. Nõustume, et
andmejälgija kasutuselevõtu soodustamine riigi poolt on tugeva õigusriigi tunnus.
Oleme VTK-ga põhjalikult tutvunud, küsinud oma valitsemisala asutustelt arvamust ning
esitame järgnevad tähelepanekud VTK-s toodud probleemkohtade lõikes. Kõik siintoodud
tähelepanekud omavad mõju ja vajadust täiendada ka VTK lisas 1 toodud Avaliku teabe
seaduse (AvTS) kavandit.
1. Inimestel ei ole terviklikku ülevaadet oma (riigi käsutuses olevate) isikuandmete kasutamisest
VTK rõhutab mitmes kohas, et käsitletavate probleemkohtade lahendus on andmejälgija
rakendamise kohustuslikkus. Tunneme huvi, kas ja milliseid muid alternatiive on kaalutud
kavatsuse väljatöötamise raames soovitud muutuse tagamiseks? Probleemkohtade lahendamine
andmejälgija kohustuslikkusega õigusakti tasandil paistab liialt resoluutne. Riigil on täna väga
suur hulk andmekogusid, mille tehniline elukaar on lõppemas või ammu läbi. On ilmselge, et
sellistele lahendustele uute funktsionaalsuste lisamine on kas ebamajanduslik või isegi võimatu.
Nii näiteks toetab SiM haldusalas andmejälgija kasutuselevõtt selget kasvutrendi just uute
lahenduste rakendamisega ja seetõttu saab lahenduste rahastamise ühe kohustusliku
eeltingimusena seada andmejälgija rakendamise ilma, et seda peaks deklaratiivse
kohustusena seaduse tasandil kehtestama. Sellise nn mitteregulatiivse meetme küllalt
tulemuslikku mõju iseloomustab täna näiteks ka Euroopa Liidu vahenditest rahastamise senine
praktika.
Palume täpsustada, millest tuleneb AvTS kavandi § 4310 lg-s 3 esitatud 3-aastane kohustus
andmetöötluse kuvamiseks andmejälgijas.
2. Andmetöötluse läbipaistvust edendavad lahendused ei ole avalike e-teenuste arengutega
sammu pidanud
2 (5)
Konkreetse andmetöötlustoimingu kirjeldamine lihtsas keeles iseseisvana ei taga läbipaistvust
– võttes arvesse riigi infosüsteemi kuuluvate andmekogude paljusust ja nende omavahelisi
seoseid, ei pruugi keskmine andmesubjekt hoomata, mitmes erinevas andmekogus võib asutus
tema isikuandmeid enda põhiülesannete täitmiseks töödelda.
Oma 01.12.2025 kirjas nr 2-1/662-2 tõime välja ettepaneku, et lisaks andmejälgija logikirjete
selgusele tuleb andmesubjektidele selgelt ja arusaadavalt kirjeldada ka andmekogude
omavahelisi seoseid (s.h konkreetse andmetöötlustoimingu korral). Selle tegemata jätmisel
võib eeldada, et parema selguse saamiseks pöördub andmesubjekt endiselt täpsustavate
küsimustega vastutava töötleja poole, mis tõstab halduskoormust ning ärgitab vastutava töötleja
poole pöörduma ka neid andmesubjekte, kes seda muidu ei teeks.
Omaette küsimus on ka selles, mida logides andmesubjekt näha tahab. Politsei- ja
Piirivalveameti (PPA) kogemus näitab, et üldjuhul ei soovi andmesubjektid kinnitust, kas PPA
töötleb/ei töötle nende andmeid ega tunne huvi, kuidas ja mille raames seda tehakse, vaid
eelkõige soovitakse enda kohta kogutud andmete väljastamist (nt. konkreetsed juhtumid ja
nende täpne sõnastus andmekogu(de)s).
3. Andmejälgija rakendamise ja kasutamisega kaasnevad isikuandmete töötlemise toimingud ei
põhine üheselt mõistetaval õiguslikul alusel
Leiame, et vastutava töötleja ja vastutava töötleja andmekogust andmesaajate rollide jaotus
andmejälgija rakendamise aspektist vajab täpsustamist, nii nagu on nenditud ka VTK-s (rollide
jaotus mitme asutuse ja isiku osalusel toimuvates andmetöötlustoimingute kogumites
võimaldab erinevaid tõlgendusi). Riigi Infosüsteemi Amet (RIA) ei salvesta nn päringu
infosüsteemi ühtegi vastust, vaid kuvab andmesalvestaja ehk „hajusa andmejälgija rakenduse“
teavet ning andmejälgijaga liidestunud andmekogu vastutaval töötlejal on koguvastutus, mitte
kaasvastutus koos RIA-ga, andmete jm teabe töötlemisel ja väljastamisel. RIA asub
andmejälgija teenuse omanikuna „kaasneva vastutuse“ ja nn keskse andmejälgija rakenduse
puhul samale positsioonile nagu Justiits- ja digiministeerium (JDM) täitmismenetluse registri
osas. RIA vastutuse piir ja pädevus peab olema täpsemalt paika pandud.
PPA on kirjeldanud olukorda, kus omavahel suhtlevad kaks erinevat andmekogu ning ühe
asutuse menetluses kogutud andmete põhjal teavitatakse teist andmetöötlejat - tekib juurde
täiendavaid küsimusi ja probleeme, kus andmetöötluse (andmete edastamise) kuvamine
andmejälgijas võib teatud olukordades kahjustada ka teise andmesubjekti õiguseid. Seetõttu
igakordse vastutuse tõlgendamise asemel on vaja selget regulatsiooni, et tagada andmesubjekti
õigused ning ära hoida mõlemale andmetöötlejale tekkida võiv kahju andmetöötluse eesmärgi
saavutamisel. Igal juhul on vaja erinevate andmekogude andmete ristkasutamise ja
kombineeritud andmetöötluse korral rollijaotus selgelt paika panna sobivas vormis –
näiteks, kes teavitab, millest teavitab, millal teavitab, mis tingimustel teavitab, kuidas/mis
kanalis dokumenteerib andmesubjekti teabeõiguse piiramise ja teavitab selle läbisaamisest jne.
Täpsustamist vajab ka asjaolu, millistel tingimustel rakendab andmejälgijat andmekogu
vastutav töötleja ning millistel andmekogust andmesaaja. Andmesaaja juures andmejälgija
rakendamise regulatsiooni selgus aitaks kaasa ka selgusele võimalike erandite rakendamise
osas.
4. Andmejälgijaga mitteliidestumine põhjustab andmekogu pidajatele üleliigset töökoormust
ning pikendab andmesubjektide jaoks teabeõiguse realiseerimisele kuluvat aega
3 (5)
VTK autorid on hinnanud, et vastutavatel töötajatel võiks andmejälgija rakendumisel väheneda
halduskoormus. Samas VTK ise seda faktipõhiselt ei kinnita – pigem hinnanguliselt.
Automatiseerimisega kasvab võimekus andmeid töödelda andmejälgijas hüppeliselt. On väga
inimlik, et tekivad lisaküsimused, täpsustusvajadused, millega inimene andmekogu vastutaja
poole pöördub. Iseäranis olukorras, kus andmete ristkasutuse loogika on kirjeldamata ja
teadvustamata. Ka kasvab – loodetavasti – inimeste teadlikkus andmejälgija võimalust
kasutada.
Teeme ettepaneku halduskoormuse vähendamise perspektiivil olla oluliselt
ettevaatlikum, et hilisemas rakendamise faasis mitte pettuda.
5. Isikud, kellele andmejälgija vahendusel ei ole võimalik teavet anda ja andmesubjekti
teabeõiguse piiramine
VTK-s viidatakse, et andmejälgijat ei saa kasutada isikud, kes ei oma riigiportaali
sisselogimiseks vajalikku e-identimise vahendit või kes omavad seda, kuid ei oma Eesti
isikukoodi. Juhime tähelepanu VTK-s esitatud ebatäpsusele, et e-identimise vahendit omaval
isikul ei pruugi olla isikukoodi ning palume arvestada vastupidisega ehk isikul võib olla Eesti
isikukood, kuid ei pruugi olla sobivat e-identimise vahendit.
VTK-le tuginedes otsustab andmesubjekti õiguste piiramise andmejälgijat kasutava andmekogu
vastutav töötleja. On täpsemat selgust vaja selles osas, kummal x-tee poolel tuleb andmejälgijat
rakendada ehk päringuid välja näidata – s.t andmekogu/infosüsteem, kust päringut alustatakse
versus andmekogu, kust andmeid päritakse; automaatse andmeedastuse korral andmekogu, kust
andmeid saadetakse versus andmekogu/infosüsteem, mis andmeid saab. Jätkuvalt vajab selgust,
kuidas piiranguid praktikas kohaldatakse ehk kuidas on tagatud, et andmejälgijat rakendava
andmekogu poolt ei kuvata andmejälgijasse teise asutuse poolt tehtud päringuid, millele
kohalduvad seadusest tulenevad piirangud. Kokkulepet vajab ka see, kes ja kuidas saab
kohustada teise andmekogu omanikku arendama x-tee teenuseid selliselt, et päringu tegija saaks
konkreetsel ajahetkel otsustada päringu põhiselt, kas see liigub andmejälgijasse või mitte ning
andmejälgijat selliselt (s.h tegema vajaduse korral ümberarendusi), et oleks päringu teinud x-
tee alamsüsteemi järgi võimalik eristada, kas tehtud päring kuvatakse andmejälgijasse või mitte.
Andmejälgija rakendamise ajakavas tuleb arvestada, et iga infosüsteemi õigusloomes
tuleb kontrollida andmesubjekti teabeõigust piirava sätte olemasolu või see luua.
Ka teeme ettepanku kaaluda, kas teabeõigust piirava tehniliste lahenduse väljatöötamine on
võimalik keskselt - näiteks RIA poolt - mitte iga andmekogu vastutava töötleja poolt eraldi.
6. Erandid AJ liidesutumiskohustusest
VTK lisas 1 pakutud uues § 4310 lg-s 2 on erandid väga piiritletud. Seaduse tasandil toodud
kujul erandite „lukustamine“ võib osutuda problemaatiliseks ning seetõttu palume kaaluda,
kuidas luua vajalik paindlikkus rakendamise ajaks.
Ühtlasi palume leida vastused järgmistele küsimustele:
1) Kui andmejälgijaga liidestumise kohustust ei ole andmekogudel, mis ei sisalda
isikuandmeid, siis kas pseudonüümitud andmete töötlus on antud kontekstis
isikuandmete töötlemine? Kui jah, kas siis kohaldub ka andmejälgija kohustuslikkus?
2) Kui üle x-tee töötleb andmeid infosüsteem, mis ei ole andmekogu, kuid sisaldab ainult
osaliselt isikukoode, on Eesti õiguses asutatud EL-i direktiivi ülevõtmisel või EL-i
4 (5)
vahetut õigusmõju omava määruse rakendamiseks (s.h nt osaliselt isikukoodidega), kas
siis kehtib samuti erand ja milline neist?
3) Palume selgitust, kas juhul, kui andmekogust pärib andmeid mitte teine andmekogu,
vaid rakendus, kasutajaliides vms (s.h nt erasektor oma teenuste pakkumiseks), siis kas
sellisele andmetöötlusele kohaldub samuti andmejälgija kohustus?
4) on märgitud, et VTK koostajatele teadaolevalt esineb definitsiooni järgi ka asutuse
“sisemiseks töökorralduse vajaduseks” peetavaid andmekogusid, mille puhul esineb nii
neisse sisenevat kui neist väljuvat x-tee ülest andmeliiklust ning selline andmeliiklus
peab kajastuma andmejälgijas. Parema arusaadavuse huvides soovime näidet sellisest
infosüsteemist või andmekogust ning palume täpsustada, kas andmelao infosüsteem
läheb erandi alla või mitte?
SiM hinnangul tekitab ulatuslikke küsimusi majanduslik põhjendatus/põhjendamatus ning
meetod selle arvutamiseks ning seda osa peaks eraldi kohtumisel ekspertide ringis sügavamalt
analüüsima.
7. Päringud, mis tehakse andmekogudesse isiklikul otstarbel ja/või isiku enda poolt
Ohtude ennetamiseks, tavanormist erinevate käitumismustrite tuvastamiseks on meie hinnangul
vajalik andmejälgijas kuvada:
1) füüsilise isiku tehtavad päringud teise isiku kohta;
2) füüsilise isiku tehtavad päringud iseenda kohta.
Samas olukorrad, kus isik identifitseerib ennast mõnesse keskkonda sisselogimisel ja selle
käigus tehakse automaatpäring (nt ID-kaardiga sisselogimisel päring isikut tõendavate
dokumentide andmekogusse dokumendi kehtivuse kohta), võiksid jääda andmejälgijast välja
kui liigselt koormavad.
Muudatusega kaasneva mõju peatükis on toodud näitena mõned andmekogud ja nende
hinnanguline arendustööde maht ja maksumus andmejälgijaga liidestumisel. Kuigi
metsaressursi arvestamise riikliku registri ja politsei taktikalise juhtimise andmekogu on
kahtlemata riigile olulised andmekogud, on selguse ja võrreldavuse huvides oluline arvesse
võtta ka mõne sellise andmekogu andmejälgijaga liidestumise mahtu ja maksumust, mis
sisaldab suurel hulgal erinevaid isikuandmeid ning on andmeandjaks suurele hulgale avalikele
ja erasektori teenustele ning mis omakorda sellisele andmekogule tuginevad. Selliste nn
alusandmekogude puhul on mõju oluliselt erinev.
Siseministeeriumi hinnangul on üksikute andmekogude lõikes kulu hindamine eksitav ja
oluline on kajastada kavandatava muudatuse võimalik tervikmaksumus riigile. Ühtlasi palume
tuua selgelt välja see, millistest vahenditest on plaanis prognoositavad kulud riigil katta.
VTK lisas 1 esitatud AvTS kavandi § 681 teeb ettepaneku, kus andmejälgija tuleks rakendada
6 kuu jooksul arvates Vabariigi Valitsuse vastava määruse jõustumisest. 6 kuu jooksul
andmejälgija rakendamine on ebamõistlik ja praktikas ka teostamatu ning seda järgmisel
põhjusel:
1) kohustuse täitmine on ebaratsionaalne andmekogudes, mis on elukaare lõpus või
elukaar on läbitud – st andmekogu tervikuna vajab kaasajastamist ja täiendavate
funktsionaalsuste lisamine legacy süsteemile ei ole otstarbekas maksumaksja raha
kasutus;
2) ükski andmekogu ei ole loodud eesmärgiga andejälgija rakendamiseks, vaid mõne
avaliku teenuse pakkumiseks/ülesande täitmiseks. Andmejälgija on küll mõistlik
lisafunktsionaalsus, mille loomine ei saa aga olla ühegi andmekogu kaasajastamisel või
5 (5)
täiendaval arendamisel esimese järjekorra prioriteet konkureerides samal ajal avaliku
teenuse osutamise tagamiseks vajalike arenduste ja nende ajakavaga. Andmejärgija
rakendamine tuleb esmalt planeerida, seejärel prioriseerida ja tööplaanidesse lisada. On
süsteeme, mille puhul saab tõenäoliselt asjad korda 6 kuuga, on süsteeme, mis jõuavad
selle realisatsioonini aastate pärast.
Lugupidamisega
(allkirjastatud digitaalselt)
Igor Taro
siseminister
Teadmiseks:
Politsei- ja Piirivalveamet
Siseministeeriumi infotehnoloogia- ja arenduskeskus
Häirekeskus
Päästeamet
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Väljaminev kiri | 06.01.2026 | 1 | 3-8/2 | Väljaminev kiri | smit | Siseministeerium |