Isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seadusest

Suur-Ameerika 1 / 10122 Tallinn / 626 9301 / [email protected] / www.sm.ee / registrikood 70001952

Justiits- ja Digiministeerium [email protected]

Teie 16.12.2025 nr 8-1/10086-1, JDM/25-1413/-1K/

Meie 26.01.2026 nr 1.2-3/3162-4

Isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seadusest

Täname, et saatsite Sotsiaalministeeriumile kooskõlastamiseks isikuandmete kaitse seaduse ning teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse muutmise seaduse eelnõu (edaspidi eelnõu). Tunnustame eelnõu eesmärki suurendada selgust isikuandmete kasutamisel uuringutes. Samas juhime tähelepanu, et eelnõus ei ole arvestatud meie poolt VTK kooskõlastamisel esitatud mitmeid põhimõttelisi ettepanekuid. Eelkõige puudutab see riigiülest andmetaotluste ja eetikamenetluste korraldust, Euroopa Terviseandmeruumi (EHDS) määrusest tulenevate nõuete arvestamist ning eetikastandardite selget ja ühtset kohaldamist terviseandmete teisesel kasutamisel. Kooskõlastame eelnõu üksnes juhul, kui alljärgnevates punktides 1–3 esitatud ettepanekutega arvestatakse. Punktides 4–24 toodud märkused esitame muude tähelepanekutena. 1. Riigiülese andmetaotluste ja eetikamenetluste õiguslik alus Eelnõus puudub riigiülese andmekorralduse tasandil selge õiguslik alus, mis võimaldaks kõigi riiklike andmekogude andmeväljastustaotlusi menetleda ühes keskses keskkonnas ning rakendada praktikas ühe taotluse ja ühe menetluse põhimõtet. Tegemist on kehtiva regulatsiooni ühe keskse probleemiga, mille tulemusel on menetlus killustatud, ajamahukas ning ebaselge nii andmetaotlejatele kui ka andmekogude vastutavatele töötlejatele. Statistikaameti tellimusel on valminud analüüs1 ning lõppjärgus on Statistikaameti hallatavas taotluste menetluskeskkonna (ERIKA2) riigieelarvest rahastatud arendus, mis võimaldab menetleda kõigi riigi infosüsteemi kuuluvate andmekogude andmeväljastustaotlusi ühes keskses keskkonnas. Analüüs käsitleb ka teadusuuringutes kasutatavate turvaliste andmetöötluskeskkondade nõudeid. Puudub riigiülese andmekorralduse tasandil õiguslik alus, mis võimaldaks kõigil andmekogupidajatel seda lahendust kasutada. Riigiülese taotluskeskkonna loomine tagab läbipaistva menetlusteekonna, vähendab dubleerimist, lühendab menetlusaegu ning vähendab oluliselt halduskoormust. See toetab e- tervise strateegia 2025–2030 eesmärke, andmepõhist poliitikakujundamist ning loob eelduse EHDS-i ja teiste Euroopa Liidu andmeruumide rakendamiseks.

1 Riigihangete register 5.9.1 ERIKA II etapi analüüs.

2 Peame vältimatult vajalikuks, et eelnõus sätestataks põhimõte, mille kohaselt menetletakse teadusuuringute (sh teadus- ja arendustegevus, poliitikakujundamine ning eraõiguslik innovatsioon) andmeväljastustaotlusi riigi infosüsteemi kuuluvate andmekogude osas riigiüleselt ühtses, nt Statistikaameti hallatavas menetluskeskkonnas ning vastavad eetikamenetlused viiakse läbi sellega lingitud ETIS platvormil, kui eriseaduses ei ole sätestatud teisiti. 2. Kooskõla EHDS-i määrusest tulenevate nõuetega EHDS-i määrus seab liiduülese raamistiku elektrooniliste terviseandmete teiseseks kasutamiseks, nähes ette, et nii isikustatud kui ka pseudonüümitud terviseandmeid töödeldakse üksnes turvalistes töötlemiskeskkondades ning rangete andmekaitse- ja turvanõuete alusel. Kuigi EHDS on otsekohalduv ja selle kohustused rakenduvad järk-järgult tervikliku rakendumiseni 26. märtsis 2029, ei tohiks siseriiklik regulatsioon minna juba täna nende põhimõtetega vastuollu. Eelnõu ei käsitle piisava selgusega terviseandmete töötlemise erisusi uuringute läbiviimise eesmärgil ega anna suunda EHDS-ist tulenevate tulevikunõuete ettevaatavale arvestamisele. Samuti ei ole seletuskirjas piisavalt avatud eelnõu kooskõla EHDS-i rakendusaktidega ning kavandatava riigisisese rollijaotusega. Palume täiendada eelnõu seletuskirja, tuues selgelt esile terviseandmete töötlemise erisused uuringute läbiviimise eesmärgil ning selgitades, et elektrooniliste terviseandmete töötlemine liigub järk-järgult üksnes turvaliste töötlemiskeskkondade kasutamisele. Samuti tuleb täiendada Euroopa Liidu õigusele vastavuse hinnangut. 3. Eetikastandardite selgus ja kohustuslikkus terviseandmete teisesel kasutamisel Eelnõu ei taga piisava selguse ja õiguskindlusega kõrget ning ühtset eetikastandardit eri liiki isikuandmete, sh terviseandmete, teisesel kasutamisel. Eetikamenetluse kohaldumine ei saa sõltuda üksnes andmete isikustatuse tasemest, vaid peab arvestama ka uuringu eesmärki, ulatust, metoodikat ning võimalikke riske uuritavatele ja ühiskonnale. Riigikogu menetluses olev inimgeeniuuringute seaduse eelnõu2 näeb ette terviseandmete uuringueetika koondamise riigikeskse teaduseetika komitee pädevusse ETAGis. Peame vältimatult vajalikuks, et eelnõus kajastuks selgelt terviseandmete erisus ning kooskõla inimgeeniuuringute seaduse eelnõuga. Seletuskirjas on oluline tuua ka nende andmekogude loetelu, mille puhul eetikamenetlus on kohustuslik. Täiendavad tähelepanekud 4. Eelnõus ja seletuskirjas vajab ühtlustamist mõistete „teadus- ja ajaloouuring“, „uuring“ ning „statistilisel eesmärgil“ kasutus. Soovitame lähtuda IKÜM-i artiklis 89 kasutatavast terminoloogiast ning vältida paralleelsete ja osaliselt kattuvate (nt „statistikatöö“ riikliku statistika seaduses) mõistete kasutamist, mis tekitab õigusselgusetust. 5. IKS § 6 lõike 2 vaates on oluline selgemalt eristada teadus- ja arendustegevust TAIKS-i tähenduses asutuste igapäevastest analüütilistest tegevustest, seirest ja aruandlusest. Vastasel juhul laieneksid teadusuuringutele mõeldud erirežiimid põhjendamatult tavapärasele haldusanalüüsile. 6. IKS § 6 lõikes 3 sätestatud tingimused ei ole kõik kumulatiivselt ega eelkontrollitavalt hinnatavad andmete väljastamise hetkel. Eelkõige ei ole võimalik hinnata uurimistulemuste võimalikku tuvastatavust enne uuringu läbiviimist, mistõttu vajab säte ümberkujundamist või täpsustamist.

2 Inimgeeniuuringute seadus 749 SE

3 7. IKS § 6 lõike 3 punktis 1 – andmete „üleandmise“ mõiste kasutamine ei ole kooskõlas praktikas rakendatavate turvaliste töötlemiskeskkondade loogikaga, kus andmeid ei anta füüsiliselt üle, vaid neile võimaldatakse juurdepääs. Mõistekasutus vajab täpsustamist. 8. IKS § 6 lõike 3 punkt 2 esitatud keeld teha lisatoiminguid, mille tagajärjel saab isiku tuvastada, on liiga üldine ning võib sisuliselt takistada teatud teaduslikult põhjendatud meetodite kasutamist (nt valideerimine). Keelu ulatus ja eesmärk vajavad selgemat määratlemist. 9. IKS § 6 lõike 3 punktis 3 seatud nõue, et uuringu tulemustest ei tohi olla võimalik isikut tuvastada, ei ole proportsionaalne eeltingimus andmete väljastamisel, kuna see sõltub uuringu tulemustest, mitte üksnes algsest kavandist. 10. IKS § 6 lõike 3 punktis 4 ja lõike 6 punktis 3 aga ka §-s 61 korratakse IKÜM-ist tulenevat üldreeglit, et „töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi ega avaldata talle kahjulikku mõju“. Selline dubleerimine ei suurenda õigusselgust ning võib tekitada tõlgendusvastuolusid. 11. Ebaselgeks jääb, kes vastutab IKS § 6 lõikes 3 sätestatud tingimuste täitmise kontrolli eest – kas andmekogu vastutav töötleja, andmesaaja või menetluskeskkonna haldaja. Vastutusjaotus vajab selget sätestamist. 12. Eelnõu ei reguleeri IKS § 6 lõikes 3 esitatud tingimustel andmete töötlemisel nende säilitamise tähtaegu pärast uuringu lõppu ega andmete hävitamise või arhiveerimise korda. 13. IKS § 6 lõikes 3 esitatud tingimustel andmetöötluse võimaldamisel puudub selgesõnaline keeld uuringu raames saadud andmete edasiseks üleandmiseks kolmandatele isikutele, mis on andmekaitse seisukohalt oluline riskikoht. 14. Andmekaitse Inspektsiooni teavitamiskohustus kõigi uuringute puhul ei ole IKÜM-st tuleneva proportsionaalsuse ja riskipõhise lähenemisega kooskõlas ning võib oluliselt suurendada halduskoormust ilma selge lisandväärtuseta järelevalvele. Seda eriti olukorras, kus on võimalik rakendada andmepõhist lahendust, andes AKI-le otsejuurdepääsu uuringutaotluste menetluskeskkonda. 15. Eelnõus IKS § 6 lõike 6 punktis 2 on ülekaaluka avaliku huvi esinemise hindamine jäetud uuringu tegija otsustada. Palume kaaluda, kas selline lahendus tagab IKÜM-st tuleneva selguse, ettenähtavuse ja erapooletu hinnangu ülekaaluka avaliku huvi esinemisele. 16. Ühtse eetikakomitee loomise kontekstis3 vajab täpsustamist, millistele uuringutele IKS § 6 lõige 7 eetikamenetluse kohustus laieneb ning kuidas vältida paralleelsete eetikamenetluste tekkimist. 17. IKS § 6 lõike 9 kontekstis ei ole sama vastutava töötleja poolt omaenda andmete kasutamisel teadusuuringuteks alati põhjendatud kõigi täiendavate kaitsemeetmete rakendamine, kuna isiku tuvastamise võimalus vastutaval töötlejal niikuinii säilib ning meetmete tegelik kaitseväärtus võib olla piiratud. Seetõttu on vajalik IKÜM-st tulenev riskipõhine lähenemine. 18. IKS § 6 lõike 10 sõnastus on mitmeti mõistetav ning ei võimalda üheselt aru saada, milliseid täiendavaid kohustusi see andmetöötlejale paneb.

3 Inimgeeniuuringute seadus 749 SE

4 19. IKS § 6 lõikes 11 kasutatud sõnapaar „analüüsi või“ on üleliigne ning võib põhjendamatult laiendada sätte kohaldamisala. 20. IKS § 61 sätted vajavad sisulist kooskõlastamist EHDS-ist tulenevate tulevikunõuetega, et vältida olukorda, kus riigisisene regulatsioon vajab lühikese aja jooksul ulatuslikku ümbertegemist. 21. Andmetöötlussüsteemide ja turvaliste töötlemiskeskkondade nõudeid tuleks käsitleda ühtse tervikuna, mitte killustatult erinevates sätetes ja seletuskirja osades. 22. Eelnõus kirjeldatud kontrolli- ja auditeerimismehhanismid võivad EHDS-ist tulenevaid tulevasi nõudeid arvestades osutuda ebapiisavaks, kuna EHDS näeb ette selgemad ja rangemad nõuded turvaliste töötlemiskeskkondade kasutamisele, tehniliste standardite rakendamisele, sertifitseerimisele ning regulaarsete sise- ja välisauditite ning riskihindamiste läbiviimisele. Seetõttu vajavad eelnõus kavandatud mehhanismid täiendavat läbimõtlemist ja kooskõlastamist EL õiguse arengusuundadega.. 23. Eelnõus ette nähtud teavitamis- ja avalikustamiskohustused (§ 6 lõiked 5 ja 7 ning § 61 lõige 7) võivad koos eetikakomitee menetluste, ETISe andmestiku ning EHDS-i raames kavandatavate juurdepääsuloa ja registrilahendustega viia samasisulise teabe mitmekordse esitamise ja avalikustamiseni erinevates menetlustes ja keskkondades. Sellise dubleerimise vältimiseks on vajalik kohustuste parem kooskõlastamine, et mitte suurendada põhjendamatult halduskoormust ega killustada järelevalve- ja avalikustamisinfot. 24. TAIKS-i ja IKS-i koosmõju seireuuringute, teisese andmekasutuse ning alaealiste kaasamise osas vajab täiendavat õigusselgust ja ühtset käsitlust. TAIKS kontekstis tekib tõlgenduslik ebakindlus, kas ja millistel juhtudel käsitatakse seireuuringuid teadusuuringutena TAIKS-i tähenduses ning kuidas see mõjutab nõusolekunõuete, eetikakomitee rolli ja IKS § 6 alusel lubatud isikuandmete töötlemise kohaldamist. Eriti probleemne on alaealiste kaasamise regulatsioon, kus TAIKS-ist tulenevad nõusolekunõuded võivad viia olukorrani, kus sisult võrreldavad ja vähese sekkumisega uuringud alluvad erinevatele eetilistele ja õiguslikele reeglitele. Seetõttu on õigusselguse ja hea teadustava huvides vajalik ühtlustada regulatsiooni või kaaluda erisuse kehtestamist riiklikult oluliste, vähese sekkumisega ja anonüümsete seireuuringute puhul. Oleme valmis eelnõu täiendusi ja sõnastusi koostöös läbi arutama. Lugupidamisega (allkirjastatud digitaalselt) Karmen Joller sotsiaalminister Lisaadressaadid: Rahandusministeerium

Statistikaamet Sihtasutus Eesti Teadusagentuur

Andmekaitse Inspektsioon Lily Mals [email protected]