| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-4/26/257-3 |
| Registreeritud | 04.02.2026 |
| Sünkroonitud | 05.02.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-4 Arvamused õigusaktide eelnõude kohta |
| Toimik | 2.3-4/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits-ja digiministeerium |
| Saabumis/saatmisviis | Justiits-ja digiministeerium |
| Vastutaja | Andres Kudrjavtsev (Andmekaitse Inspektsioon, Euroopa koostöö ja õiguse valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Justiits-ja digiministeerium [email protected]
Teie 21.01.2026 nr 8-1/482-1 Meie 04.02.2026 nr 2.3-4/26/257-3
Arvamuse avaldamine eelnõule Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks riigi info- ja kommunikatsioonitehnoloogiliste arendusprojektide määruse eelnõu. Eelnõu § 6 nimetab IKT-arendusprojekti puhul järgitavad põhimõtted. Samas keskenduvad need pigem turvalisusele ja toimepidevusele, mis on küll isikuandmete töötlemisel olulised, kuid seda pigem küber- ja julgeolekuohtude osas. Olemas on küll viide RIHA määruses toodud põhimõtetele, milleks on muu hulgas ka seaduslikkuse põhimõte, kuid muid isikuandmete töötlemise nõudeid ei sisalda. Samas peaks just arendust planeerides vaatama üle ka selle, et kui töödeldakse isikuandmeid, siis kuidas tagatakse andmekaitsenõuete järgimine, milleks on muuhulgas ka lõimitud ja vaikimisi andmekaitse põhimõtete järgimine. Viimatinimetatu järgmise kohustus vastutava töötleja poolt tuleneb IKÜM artiklist 25. Inspektsioon leiab, et andmekaitsepõhimõtted peaks olema esile toodud samaväärselt küberturvalisuse küsimustega. Seetõttu teeb inspektsioon ettepaneku täiendada §-i 6 selliselt, et arendusprojekti välja töötamisel on kohustus läbi mõelda, millised on need asjakohased tehnilised ja korralduslikud meetmed, mis on vajalikud selleks, et tagada andmekaitsepõhimõtete rakendamine ning nende kaitsemeetmete lõimimine töötlemisse. Eelnõu § 10 lg 1 näeb ette andmenõukoja tegevuse, mis peaks aitama tagada isikuandmete õiguspärast töötlust ning eelnõu § 11 lg 3 näeb ette, et kui andmenõukoda on kaasatud, siis nende tehtud otsust tuleb ka arvestada. Samas eelnõu § 7 lg 2 p 3 kohaselt suunab IKT-juhtkogu projekte nõukodadesse vaid vajaduse korral, mis tähendab, et iga projekt ei pruugi andmenõukotta jõudagi. Määruse järgi toetab andmenõukoda neid projekte, mille puhul ilmnevad isikuandmete töötlemise või andmete taaskasutamisega seotud riskid või murekohad. Samas, millele tuginedes otsustatakse, et konkreetne projekt on seotud riskiga, jääb ebaselgeks. Inspektsiooni hinnangul võiksid kõik projektid, kus toimub isikuandmete töötlemine, jõuda ka andmenõukoja töölauale. Sellisel juhul saakski hinnata just seda, kas ja milliseid meetmeid rakendatakse andmekaitsepõhimõtete tagamiseks ning kas need meetmed on piisavad või mitte. Inspektsiooni praktika on näidanud, et omanikud ise ei ole võibolla täna veel alati sel tasemel, et neid riske hinnata. Vastasel juhul ei saa olla kindel, et projektide puhul on tagatud isikuandmete õiguspärane töötlemine ning andmetöötlusel põhinevate avalike teenuste usaldusväärsus ja läbipaistvus, mida määrusega tagada lubatakse. Kuna eelnõust ei selgu nõukodade kompetents, siis soovitame kaaluda, et andmenõukojas oleks tagatud ka isikuandmete kaitse eksperdi olemasolu. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|