| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/900-7 |
| Registreeritud | 23.02.2026 |
| Sünkroonitud | 24.02.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Maarja-Liis Lall (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Õiguspoliitika valdkond, Õiguspoliitika osakond, Õigusloome korralduse talitus) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie 04.02.2026 nr 8-1/900-1
Meie 20.02.2026 nr 2.3-4/26/470-2
Arvamus eelnõu väljatöötamiskavatsusele
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks avaliku teabe seaduse
(AvTS) muutmise eelnõu väljatöötamiskavatsuse (VTK).
Andmekaitse Inspektsioon toetab VTK eesmärki korrastada riigi andmekorralduse raamistikku,
parandada andmekirjelduste kvaliteeti ning anda andmete teabeväravale (ATV) selge õiguslik roll.
Samas peame tähtsaks, et plaanitava reformiga ei langeks isikuandmete kaitse tase ning
andmekogude õiguslik ja tehniline vastavus oleks kontrollitav ka pärast RIHA
kooskõlastusprotsessi kaotamist.
Kavandatavad lahendused
Andmekorraldusliku raamistiku korrastamiseks on VTK-s esitatud neli alternatiivi. Kõik
alternatiivid näevad ette tänase RIHA kooskõlastamise kui ebaefektiivse, käsitööpõhise ja
dubleeriva protsessi täieliku kaotamise, millega võib nõustuda, kuna praktikas
kooskõlastusprotsess oma eesmärki kas üldse ei täida või täidab üksnes osaliselt.
Samas kaob kooskõlastusprotsessi kaotamisega ka preventiivne kontroll, mis omakorda tähendab,
et kaob võimalus ennetavalt tuvastada õigusvastaseid andmekoosseise ja liiasusega isikuandmete
kogumist. Eriti puudutab see I alternatiivi, mis näeb lisaks kooskõlastusprotsessi kehtetuks
tunnistamisele ette ka andmekogu registreerimise kohustuse kaotamise ning mõlema protsessi
asendamist ATV põhise nn järelseirega, mida on VTK-s kirjeldatud kui valdkondade põhist post-
hoc nõuetelevastavuse seiret. Seega saavad asutused andmekogusid arendada ilma
kooskõlastusahelat läbimata ja kogu kontroll hakkab toimuma tagantjärele ehk rikkumised
avastatakse alles pärast kahju toimumist.
Alternatiivi puuduseks saab kindlasti pidada ka seda, et nii kooskõlastusprotsessi kui ka
registreerimise kohustuse lõpetamine jätab kohalike omavalitsuste andmekogud ilma ennetavast
kontrollist, mis tähendab, et nende andmekogudega seotud rikkumised ilmnevad alles
järelkontrollis.
Vaatamata puudustele RIHA kooskõlastus- ja toimimisprotsessis on olnud sellisel registreerimise
kohustusel siiski üks suur pluss – nimelt on andmekogude loomine ja arendamine, nende
kirjeldamine jms olnud algusest peale kõigile ühetaoline. RIHA kooskõlastuse kohustus tõi endaga
2 (7)
kaasa selged nõuded, mida andmekogude vastutavad töötlejad teadsid, millest kinni peeti ja mis
sundisid protsesse läbi mõtlema. Seeläbi oli tagatud andmekogude loomise teatav raamistatus ja
jälgitavus. Välisdelegatsioonidega kohtumistel on avaldatud meie andmekogude registreerimise
süsteemi üle imetlust ja see on kujunenud teistele andmekaitseasutustele eeskujuks kui süsteem,
mis tagab ühtsed reeglid ja keskse ülevaate ning aitab hoida andmetöötluse kontrolli all. Selles on
nähtud kui usaldusväärsuse, sh riigi terviku usaldusväärsuse tagajat. Seetõttu on meie hinnangul
oluline andmekogude registreerimise kohustuse säilitamine.
Lisaks leiame, et ennetava kontrolli puudumine võib kaasa tuua ka andmekirjelduste kvaliteedi ja
ajakohasuse jätkuva varieeruvuse, aga ka põhiandmete ebaühtlase määratlemise ja andmete topelt
kogumise ohu, mida samuti hakatakse likvideerima alles järelseire raames.
Siinjuures kordame juba varasemalt arutelude käigus öeldut, et proaktiivse kontrolli asendamine
tagantjärele järelevalvega ei tähenda lihtsust ja efektiivsust. Ennetamine on alati odavam, kui
tagajärgedega tegelemine. Järelkontroll on (inim)ressursimahukam ja sellest tulenevalt ka
kulukam protsess. Isikuandmete kaitse üldmääruse (IKÜM) artikkel 25 näeb ette vastutavale
töötlejale lõimitud ja vaikimisi andmekaitse põhimõtete järgimise kohustuse. See tähendab, et
mistahes andmetöötlusprotsesse luues on oluline arvestada andmekaitsepõhimõtetega võimalikult
varajases staadiumis. Seegi viitab vajadusele ja kohustusele ennetada andmekaitse küsimusi.
Andmekaitsepõhimõtetega vastavusse viimine hilises staadiumis või puuduste tuvastamine
järelkontrolli käigus ei tähenda kulusid mitte ainult järelevalveasutusele, vaid puuduste
avastamisel ka andmekogu vastutavale töötlejale (süsteemi ümbertegemine).
Kui aga seaduse väljatöötaja leiab, et järelkontroll on tõhusam, kuigi kulukam, ja see aitab
kiirendada andmekogu loomist ning ollakse valmis sellesse investeerima, siis on selline valik ka
arusaadav.
Kindlasti ei pea me mõistlikuks II alternatiivis ette nähtud kahe paralleelselt eksisteeriva süsteemi
(RIHA ja ATV) pidamist ning toetame andmekirjelduste, avaandmete ja n-ö andmekogude
kataloogi ühtsesse keskkonda (ATV) üleviimist, mille vahendusel oleks võimalik saada ülevaade
avaliku sektori andmekogudest, nende haldajatest, seotud õigusaktidest jm andmekogu pidamisega
seotud üksikasjadest. Nõustume, et see tagab kogu vajaliku teabe kättesaamise ühest kohast,
muutes andmevaldkonnast huvitatud isikute ja asutuste jaoks neile vajaliku teabe leidmise
hõlpsamaks.
III alternatiivi osas on VTK mõjude analüüsis märgitud, et pakutav lahendus kaotab osaliselt
tegevused, mida on peetud lisaväärtuseta käsitööks, kuid säilitab Riigi Infosüsteemi Ametile (RIA)
olulise kontrollmehhanismi, mis võimaldab tagantjärele toimuva seire kõrval ennetada
andmekogude asutamisele ja pidamisele seatud õigusalaseid ja tehnilise koosvõime alaseid
rikkumisi.
Sama on selgitatud ka IV alternatiivi osas – siiski ei ole registreerimine tulevikus IV alternatiivi
kohaselt enam seotud sellele täna eelneva, andmekogu dokumentatsiooni kooskõlastamisega, vaid
on andmekogu vastutava töötleja vaates sisuliselt automatiseeritav tegevus – viimast selle
mööndusega, et sarnaselt tänasele peab ATV haldaja (RIA) andmekogu registreerimise kinnitama,
mis võimaldab (jällegi, sarnaselt tänasele) kontrollida ka tehnilise realisatsiooni kooskõla
andmekogu dokumentatsiooni ja selle aluseks oleva õigusaktiga.
Kokkuvõtvalt toetame alternatiivi, mis säilitab andmekogu, sh kohaliku omavalitsuse andmekogu
registreerimise kohustuse koos ATV haldaja kontrolliga ehk õigusega tõkestada ennetavalt
nõuetele mittevastava andmekogu kasutuselevõttu. Leiame, et post-hoc nõuetelevastavuse seire
üksi ei ole piisav isikuandmete kaitse taseme hoidmiseks.
Siinjuures peame vajalikuks rõhutada, et kõikide pakutud variantide probleem on laiem – need
eeldavad väga head andmekaitsealast teadlikkust ja andmekaitsekultuuri kõrget taset avalikus
3 (7)
sektoris. Kahjuks ütleb tänane kogemus, et andmekaitseteadlikkus avaliku sektori asutuste seas on
ebaühtlane. Väga paljudes avaliku sektori asutustes ei ole jätkuvalt tähtsustatud andmekaitse
ekspertide vajadust ja rolli, kuni sinnamaani, et nii mõneski neist ei ole tänini
andmekaitsespetsialiste või on need ülesanded pandud teisejärgulisena mõne teise rolli juurde ehk
siis andmekaitsealane kompetents on olemas vaid paberil. Ehkki selline kohustus kehtib juba pea
kaheksa aastat, on see roll nii mõnelgi juhul alahinnatud ja -väärtustatud. See annab aga omakorda
alust kahelda asutuste isikuandmete kaitse teadlikkuse küpsuses ja võimekuses tagada piisav
isikuandmete kaitse tase andmekogudes. Mis ei tähenda, et vältimatult peaks säilitama eelkontrolli
või seda veelgi karmistama. Oluline on hoopis mõista, kui oluline roll on ja saab olema süsteemsel
ning tulemuslikul järelkontrollil, millesse investeerimisse ei tohiks suhtuda kergekäeliselt.
Järelevalvest
Nõuetelevastavuse seire osas on VTK-s rõhutatud, et seire puhul ei ole tegemist
haldusjärelevalvega, kuna asutused, kes täna on RIHA kooskõlastajad (v.a Andmekaitse
Inspektsioon) ei saa võimalike puudujääkide tuvastamisel reageerida haldusjärelevalve
meetmetega, kuid võivad võimaliku rikkumise avastamisel sellest teavitada Andmekaitse
Inspektsiooni, kes saab olukorrale seejärel juba oma AvTS-i 6. peatüki kohase järelevalvepädevuse
raames reageerida.
VTK koostajad on mõjude eelanalüüsis märkinud, et AKI kui teabe avalikustamise ning
andmekogude asutamise ja pidamise eest vastutava järelevalveasutuse jaoks tähendab IV
alternatiiv sarnaselt I ja III alternatiivile üleminekuvajadust tänaselt, n-ö reaktiivselt RIHA
kooskõlastusprotsessilt proaktiivsemat panustamist nõudvale riskipõhisele seirele ja samuti
tihedamat koostööd Justiits- ja Digiministeeriumiga, et AKI seisukohtadega oleks arvestatud juba
andmekogu aluseks oleva õigusakti VV reglemendi järgses kooskõlastusmenetluses (kui tegemist
on sellise õigusaktiga, mis VV reglemendi järgi kooskõlastamisele kuulub). AKI jaoks muutub ATV
lisaks kõigele muule ka tööriistaks, mille abil on võimalik haldusjärelevalvet läbi viia.
Järelevalverolli muutumine ja seirepõhisele nõuetelevastavuse kontrollile üleminek võib endast
aga kujutada võimalikku lisakoormust, mis võib nõuda täiendavat tööjõudu.
Kindlasti toovad muudatused kaasa Andmekaitse Inspektsiooni töökoormuse suurenemise nii
nõuetelevastavuse seire näol, aga ka avaandmete ja andmekirjelduste avalikustamist ning
kättesaadavaks tegemist puudutava järelevalve osas. VTK-s on välja toodud, et RIHA-s on
tänaseks 61% andmekoosseise puudu või aegunud. Isegi kui eeldada, et uute andmekogude puhul
suudetakse riske hinnata ja isikuandmete töötlus läbi mõelda, siis ebaselgeks jääb, kuidas tagatakse
juba olemasolevate andmekogude korrastatus. Viimase aasta jooksul ühiskonda raputanud
skandaalid andmekogudega viitavad süsteemsetele probleemidele, mida ei ole kõrvaldatud teatud
juhtudel ka siis, kui neile tähelepanu on juhitud. Mis tähendab, et kui ootus on süsteemsemale ja
jõulisemale järelkontrollile ka nende osas, on inspektsiooni koormuse kasv veelgi suurem.
Lisaks näeb VTK ette AI lahenduste läbipaistvuse standardi järgimist ning avaliku nimekirja
loomist. See aga tähendab, et Andmekaitse Inspektsioon peab hakkama hindama riskihinnanguid,
mõju põhiõigustele ja dokumentatsiooni kvaliteeti, mis omakorda võtab menetluslikult palju
ressursse.
Siinjuures peame vajalikuks juhtida tähelepanu ka Andmekaitse Inspektsiooni vastandlikele
rollidele, mis muudatustega kaasnevad. Nimelt tekib olukord, kus Andmekaitse Inspektsioon ühelt
poolt peab hakkama järelevalvemenetluse raames kontrollima avaandmete, mille hulka loetakse
ka isikuandmed, avalikustamist ja kättesaadavaks tegemist ning teisalt peab lahendama
järelevalvemenetluse raames andmete avalikustamisega seotud vastuväiteid.
Seega lisaks töökoormuse märgatavale suurenemisele tekib vajadus inspektsiooni töö
laialdasemaks ümberkorraldamiseks ja strukturaalsete muudatuste tegemiseks. Selgelt kõrgem
4 (7)
ootus inspektsiooni järelevalve võimekusele eeldab nii inimeste arvu suurendamist kui ka eraldi
struktuuriüksuse loomist, et tagada sõltumatus ja vältida huvide konflikti. Kui hetkel teostavad
teabenõuete täitmise, teabe avalikustamise ja asutusesiseseks kasutamiseks ettenähtud teabe
kaitsmise üle järelevalvet kaks ametnikku ning andmekogude pidamise üle üks ametnik, mis on
tänast mahtu arvestades juba liiga vähe, siis ilmselgelt ei ole võimalik nende jõududega
muudatustega kaasnevaid lisaülesandeid täita. See aga tähendab Andmekaitse Inspektsioonile
vajadust luua täiendavaid töökohti, mis omakorda nõuab olemasolevate ressursside täiendamist
arvestusega, et ühe töökoha kulu aastas on kokku 61 400 eurot, s.o tööjõukulu 56 400 eurot aastas
(4 700 eurot kuus) ja majanduskulu 5 000 eurot aastas (sh töökoha kulud, koolitused, tervise
edendamine, prillikompensatsioonid jms).
Andmekaitse Inspektsiooni seisukohtadega arvestamise osas andmekogu aluseks oleva õigusakti
kooskõlastusmenetluses selgitame, et juba täna on Andmekaitse Inspektsiooni kaasatud eelnõu
esimesse kooskõlastusringi arvamuse andjana. Seda küll mitte alati, mis on osutunud probleemiks
ja vajab plaanitava reformi käigus kindlasti lahendamist.
Justiits- ja Digiministeerium (JDM) on oma eelnõude koostamise juhises1 selgitanud, et IKÜM-i
kohaselt peab liikmesriik konsulteerima järelevalveasutusega (AKI), kui koostamisel on riigi
parlamendis vastu võetava õigusakti eelnõu või sellisel õigusaktil põhinev rakendusakt, mis on
seotud isikuandmete töötlemisega (vt IKÜM-i artikli 36 lõige 4). Tavaliselt on selle kohustuse
täitmiseks AKI kaasatud eelnõu esimese kooskõlastusringil arvamuse küsimisega. IKÜM-i artikli
52 järgi tegutseb AKI IKÜM-iga kooskõlas antud ülesannete täitmisel ja volituste kasutamisel
täiesti sõltumatult. Seetõttu ei ole JDM-il võimalik kohustada AKI-t andma sisendit valitsemisala
ühtse seisukoha kujundamiseks ning eelnõu koostaja peab ise eelnõu AKI-le kooskõlastamiseks
edastama.
Samuti näeb IKÜM artikli 58 lõige 3 punkt b ette Andmekaitse Inspektsiooni kui
järelevalveasutuse õiguse esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud
küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi
õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele.
Seega on Andmekaitse Inspektsioonil juba täna õigus oma arvamuse esitamiseks, kuid puuduvad
hoovad, mis sunniks andmekogu haldajaid Andmekaitse Inspektsiooni tehtud märkuste ja
soovitustega arvestama ning puudusi kõrvaldama. Oma senisele praktikale tuginedes võib öelda,
et märkused, mis ei ole seotud konkreetsete muudatustega, aga viitavad näiteks üldistele
puudustele andmekogu regulatsioonis (liigselt lai volitusnorm, säilitustähtaegade küsimus vms),
jäetakse pigem kõrvale märkusega, et hetkel on eesmärk muudatused ellu viia ja põhjalikuma
korrastamise juurde tullakse tagasi kunagi hiljem. Inspektsioonil puudub ülevaade, kui paljudel
juhtudel ka tegelikult hiljem selle juurde tagasi tullakse, kuid pigem on kahtlus, et seda juhtub
väga harva. Seetõttu ei saa tänast arvamuse andmist pidada preventiivse kontrolli osaks, kui
Andmekaitse Inspektsioonil puudub võimalus takistada nõuetele mittevastava andmekogu
kasutusele võtmist. Ilmselt ei aita seda tühimikku täita ka tihedam koostöö JDM-iga.
RIA kaasamine
VTK-st nähtuvalt omab RIA tähtsust nii ATV pidamisel kui ka andmekogude registreerimisel.
Arvestades mõlema asutuse rolli seoses andmekogudega, siis peame vajalikuks RIA kaasamist
Andmekaitse Inspektsiooni poolt järelevalvemenetluste läbiviimisel, aga ka vastupidi – RIA
järelevalvemenetlustes võimalust Andmekaitse Inspektsiooni kaasamiseks.
Ilmselt on sellist koostööd võimalik reguleerida koostööleppega, mis tähendab kohustust sõlmida
ka isikuandmete töötlemise kokkulepe, kuna üldjuhul eeldab järelevalvemenetlus ka isikuandmete
1 Juhis isikuandmete ja avaliku teabe töötlemise ning andmekogude reguleerimise kohta eelnõudes
5 (7)
töötlemist. Andmekaitse Inspektsiooni arvates on mõistlik juba seadusega reguleerida võimalus
kaasata järelevalvemenetluse raames vajadusel teine asutus ning reguleerida nendevaheline
andmetöötlus. Sellisel juhul ei peaks kaks riigiasutust sõlmima omavahelisi koostöökokkuleppeid
ja vastutava-volitatud töötleja lepinguid. Küll aga peab vastav regulatsioon vastama IKÜM artiklis
28 märgitud tingimustele.
Avaandmetega seotud probleemid
VTK 3. peatükis nähakse ette järelevalvepädevust ja -meetmeid puudutavad muudatused, millega
täiendatakse AvTS §-e 45 ja 51. Muudatuse eesmärk on anda Andmekaitse Inspektsioonile
sõnaselge õigus teostada haldusjärelevalvet selle üle, kas teabevaldaja on oma avaandmete ja
andmekirjelduste avalikustamist puudutavad kohustused täitnud. Samuti anda Andmekaitse
Inspektsioonile õigus ettekirjutuse abil juhtida teabevaldaja tähelepanu asjaolule, et viimane on
jätnud avaandmed või andmekirjeldused avalikustamata või nõutud vormingus kättesaadavaks
tegemata.
Muu hulgas on VTK-s selgitatud, et e-teenuseid, andmekogusid ja nende pidamist puudutavate
nõuete kõrval ei saa aga unustada, et igasugune avaliku võimu ülesandeid täites dokumenteeritud
teave kujutab endast ka „avalikku teavet“. Avalik teave, millele ei ole seatud
juurdepääsupiiranguid, kvalifitseerub omakorda AvTS § 31 lg 1 tähenduses „avaandmeteks“.
Lisaks on viidatud AvTS § 31 lõikele 4 ning § 29 lõigetele 5 ja 6, mis nõuavad, et avaandmed
peavad olema avalikkusele kättesaadavaks tehtud Eesti teabevärava kaudu ning seda masinloetaval
kujul, avatud vormingus ja koos neid puudutavate andmekirjeldustega.
Seega kuuluvad masinloetaval kujul avaandmetena avalikkusele kättesaadavaks tegemisele ATV
kaudu ka isikuandmed, kui nende andmete üldiseks kasutamiseks andmine ei kahjusta oluliselt
isiku eraelu puutumatust. Selleks näeb AvTS ette, et enne teabe üldiseks kasutamiseks andmist
peab teabevaldaja esmalt hindama teabe üldisele kasutamisele piirangute kehtestamise vajadust
ning seejärel hindama, kas piiranguta isikuandmete üldiseks kasutamiseks andmine võib
kahjustada isiku eraelu puutumatust ja kui kahjustab, siis anda see üldiseks kasutamiseks viisil,
mis ei kahjusta oluliselt isiku eraelu puutumatust.
Samas on Andmekaitse Inspektsioonile avaandmete seires antud tagasisides juhitud tähelepanu
sellele, et teabevaldajal on isikuandmete puhul keeruline eraelu riive mõju hinnata, kuna puudub
kogumis ülevaade sellest, millist teavet on inimese kohta võimalik muudest allikatest saada.
Siinjuures tuleb tagasiside andjaga nõustuda. Kuna avaandmete puhul on üheks nõudeks, et need
peavad olema ka masinloetavad, siis annab see võimaluse erinevaid infokilde kokku segades saada
inimese kohta kogumis sellist teavet, mis lõpuks võib riivata oluliselt tema eraelu puutumatust,
kuid mida teabevaldaja ei oska algselt ette nähagi. Seega võib öelda, et isikuandmete piiranguta
üldiseks kasutamiseks andmine on alati seotud eraelu puutumatuse riivega ning arvestades
mosaiigiefekti võib piiranguta avaldamine lõpptulemuseks viia eraelu puutumatuse olulise riiveni.
Avaandmetega seonduvast oleme kirjutanud ka oma 19.12.2025 antud arvamuses Euroopa
Komisjoni avaldatud digiomnibusi lihtsustamispaketile.2 Arvamuse punktis 18, mis puudutab
avaandmetega seotud muudatusi, oleme märkinud, et hetkel on avaandmete direktiivi erinevalt
ülevõtmine toonud kaasa piiranguta andmete taaskasutamise piiride erinevad tõlgendused.
Seetõttu on tervitatav avaandmete direktiivi ja andmehalduse määrus ühildamine, sh lähenemine,
et isikuandmeid ei tohi anda avaandmetena taaskasutamiseks ilma kaitsemeetmeid rakendamata.
Ühtlasi oleme leidnud, et avaandmete avaldamisel ja taaskasutamisel on oluline leida tasakaal
avatud juurdepääsu ja isikuandmete kaitse vahel, seda eelkõige juhul, kui avaandmed võivad
sisaldada isikuandmeid.
2 Andmekaitse Inspektsiooni avalik dokumendiregister
6 (7)
Seega peavad piiranguta andmete üldiseks kasutamiseks andmist puudutavad muudatused selgelt
välja tooma, kuidas avaandmed ja isikuandmed omavahel suhestuvad, sh kehtestama teabe
taaskasutamiseks andmisele konkreetsed nõuded (sh millal peaks seaduse alusel avalikustatava ja
isikuandmeid sisaldava teabe üldiseks kasutamiseks andmist piirama täiendavate meetmetega ning
millistega) ning andma teabevaldajale selged juhised üldisele kasutamisele piirangute
kehtestamise vajaduse hindamiseks3. Alternatiiv sellele on, et isikuandmed ei ole avaandmeteks.
Tehisaru algoritmi läbipaistvust puudutavad muudatused VTK-s on probleemina esile tõstetud, et avalikus sektoris puudub ajakohane ülevaade rakendatud
tehisaru kasutusjuhtudest. Seetõttu on tervitatavad muudatused, mis suurendavad avalikus sektoris
tehisintellekti kasutamisel läbipaistvust. Selleks kavandatakse kehtestada avalikule sektorile
tehisaru algoritmi läbipaistvusega seotud dokumenteerimise ja avalikustamise kohustus.
VTK-s pakutud muudatustest nähtuvalt on sihtrühm küll muu hulgas järelevalveasutused, kuid ei
nähtu lahendusi, kas ja mil viisil võiks järelevalveasutustele järelevalve selgemaks ja tõhusamaks
muutuda. Selles osas ei ole lahendusi välja pakutud ning seda ei aita mõista ka kavandatav AvTS
§ 331 sätte sõnastus. Seetõttu palume kaaluda kavandatava sätte muutmist selliselt, et
järelevalveasutusel on õigus enne tehisintellekti kasutusele võtmist kavandatava AvTS § 331 lõikes
2 nimetatud dokumentidele ligi pääseda. Küsimus ei ole niivõrd volituse või pädevuse aluse
loomises, kuna selle annab tehisintellekti käsitlev määrus4 järelevalveasutustele otse, vaid viisis,
kuidas võiksid dokumendid järelevalveasutusele kättesaadavad olla, et tagada
järelevalveasutustele selline mõju, nagu on VTK-s kirjeldatud.
Samuti juhime tähelepanu IKÜM-ist tulenevatele läbipaistvusnõuetele. Juhul kui avaliku sektori
tehisintellekti rakendust kasutatakse automatiseeritud otsuste tegemiseks, siis tuleb
andmesubjektile esitada teave IKÜM artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste,
sh profiilianalüüsi tegemise kohta. Lisaks tuleb, vähemalt nendel juhtudel, esitada sisuline teave
ka kasutatava loogika kohta ning selle kohta, millised on sellise töötlemise tähtsus ja
prognoositavad tagajärjed andmesubjekti jaoks. Seega tuleks meie hinnangul kaaluda
kavandatavasse AvTS §-i 331 ka IKÜM-ist tuleneva teabe dokumenteerimise ja esitamise
kohustuse lisamist (IKÜM artikkel 13 lõige 2 punkt f, artikkel 14 lõige 2 punkt g, artikkel 15 lõige
1 punkt h), et seeläbi suurendada ka isikuandmete töötlemise läbipaistvust automatiseeritud otsuste
tegemisel.
Lisaks viidatakse VTK-s, et oma olemuselt võivad sätted sobida hästi ka haldusmenetluse seaduse
eelnõusse, mis käsitleb automaatotsuseid. Samuti on meile teadaolevalt loomisel tehisintellekti
käsitleva määruse rakendamise seadus. Juhime tähelepanu sellele, et kui erinevad tehisintellekti
juurutamist ja kasutamist puudutavad nõuded on killustatuna erinevates seadustes, siis see ei
pruugi luua asjaosalistes selgust ja võib raskendada kõikide täitmiseks kohustuslike nõuete
hoomamist. Seda eelkõige tehisintellekti rakendajate vaatest.
Tehisintellekti käsitleva määruse artikli 71 kohaselt peavad suure riskiga tehisintellektisüsteemide
juurutajad (avaliku sektori asutused, ametid või organid) enne määruse lisas loetletud suure riskiga
tehisintellektisüsteemi kasutamist end registreerima ELi andmebaasis ning valima seal süsteemi,
mida nad kavatsevad kasutusele võtta5. Selleks on neil kohustus edastada EL andmebaasile
teatavad andmed. VTK kohaselt peaksid avaliku sektori tehisarul põhinevate lahenduste pakkujad
ja juurutajad samuti koostama enne süsteemi kavandamist, turule laskmist või kasutuselevõtmist
algoritmi läbipaistvuse standardi ning esitama JDM-ile. VTK-st ei nähtu, kas ja kuidas
3 Selgete juhiste puudumisele on viidanud Tallinna Strateegiakeskus 30.06.2023 saadetud kirjas (Andmekaitse
Inspektsiooni avalik dokumendiregister) 4 Tehisintellekti käsitlev määrus (2024/1689) 5 Vt ka tehisintellekti käsitleva määruse põhjenduspunkti 131, artikli 26 lõiget 8 ning artikli 49 lõikeid 3 ja 4
7 (7)
kavandatakse kahte andmete esitamise kohustust ühildada. Seega võivad AvTS-i kavandatavad
tehisintellekti algoritmi läbipaistvuskohustuse muudatused tuua teatud avaliku sektori asutustele
kaasa topelt andmete esitamise kohustuse, mis aga suurendab halduskoormust. Seejuures on
tehisintellekti määrusest tulenevad nõuded otsekohalduvad ja avaliku sektori asutustele
järgimiseks kohustuslikud.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
627 4144
Agnes Järvela
627 4145
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
|
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Liisa-Ly Pakosta
Justiits- ja Digiministeerium
Teie 04.02.2026 nr 8-1/900-1
Meie 20.02.2026 nr 2.3-4/26/470-2
Arvamus eelnõu väljatöötamiskavatsusele
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks avaliku teabe seaduse
(AvTS) muutmise eelnõu väljatöötamiskavatsuse (VTK).
Andmekaitse Inspektsioon toetab VTK eesmärki korrastada riigi andmekorralduse raamistikku,
parandada andmekirjelduste kvaliteeti ning anda andmete teabeväravale (ATV) selge õiguslik roll.
Samas peame tähtsaks, et plaanitava reformiga ei langeks isikuandmete kaitse tase ning
andmekogude õiguslik ja tehniline vastavus oleks kontrollitav ka pärast RIHA
kooskõlastusprotsessi kaotamist.
Kavandatavad lahendused
Andmekorraldusliku raamistiku korrastamiseks on VTK-s esitatud neli alternatiivi. Kõik
alternatiivid näevad ette tänase RIHA kooskõlastamise kui ebaefektiivse, käsitööpõhise ja
dubleeriva protsessi täieliku kaotamise, millega võib nõustuda, kuna praktikas
kooskõlastusprotsess oma eesmärki kas üldse ei täida või täidab üksnes osaliselt.
Samas kaob kooskõlastusprotsessi kaotamisega ka preventiivne kontroll, mis omakorda tähendab,
et kaob võimalus ennetavalt tuvastada õigusvastaseid andmekoosseise ja liiasusega isikuandmete
kogumist. Eriti puudutab see I alternatiivi, mis näeb lisaks kooskõlastusprotsessi kehtetuks
tunnistamisele ette ka andmekogu registreerimise kohustuse kaotamise ning mõlema protsessi
asendamist ATV põhise nn järelseirega, mida on VTK-s kirjeldatud kui valdkondade põhist post-
hoc nõuetelevastavuse seiret. Seega saavad asutused andmekogusid arendada ilma
kooskõlastusahelat läbimata ja kogu kontroll hakkab toimuma tagantjärele ehk rikkumised
avastatakse alles pärast kahju toimumist.
Alternatiivi puuduseks saab kindlasti pidada ka seda, et nii kooskõlastusprotsessi kui ka
registreerimise kohustuse lõpetamine jätab kohalike omavalitsuste andmekogud ilma ennetavast
kontrollist, mis tähendab, et nende andmekogudega seotud rikkumised ilmnevad alles
järelkontrollis.
Vaatamata puudustele RIHA kooskõlastus- ja toimimisprotsessis on olnud sellisel registreerimise
kohustusel siiski üks suur pluss – nimelt on andmekogude loomine ja arendamine, nende
kirjeldamine jms olnud algusest peale kõigile ühetaoline. RIHA kooskõlastuse kohustus tõi endaga
2 (7)
kaasa selged nõuded, mida andmekogude vastutavad töötlejad teadsid, millest kinni peeti ja mis
sundisid protsesse läbi mõtlema. Seeläbi oli tagatud andmekogude loomise teatav raamistatus ja
jälgitavus. Välisdelegatsioonidega kohtumistel on avaldatud meie andmekogude registreerimise
süsteemi üle imetlust ja see on kujunenud teistele andmekaitseasutustele eeskujuks kui süsteem,
mis tagab ühtsed reeglid ja keskse ülevaate ning aitab hoida andmetöötluse kontrolli all. Selles on
nähtud kui usaldusväärsuse, sh riigi terviku usaldusväärsuse tagajat. Seetõttu on meie hinnangul
oluline andmekogude registreerimise kohustuse säilitamine.
Lisaks leiame, et ennetava kontrolli puudumine võib kaasa tuua ka andmekirjelduste kvaliteedi ja
ajakohasuse jätkuva varieeruvuse, aga ka põhiandmete ebaühtlase määratlemise ja andmete topelt
kogumise ohu, mida samuti hakatakse likvideerima alles järelseire raames.
Siinjuures kordame juba varasemalt arutelude käigus öeldut, et proaktiivse kontrolli asendamine
tagantjärele järelevalvega ei tähenda lihtsust ja efektiivsust. Ennetamine on alati odavam, kui
tagajärgedega tegelemine. Järelkontroll on (inim)ressursimahukam ja sellest tulenevalt ka
kulukam protsess. Isikuandmete kaitse üldmääruse (IKÜM) artikkel 25 näeb ette vastutavale
töötlejale lõimitud ja vaikimisi andmekaitse põhimõtete järgimise kohustuse. See tähendab, et
mistahes andmetöötlusprotsesse luues on oluline arvestada andmekaitsepõhimõtetega võimalikult
varajases staadiumis. Seegi viitab vajadusele ja kohustusele ennetada andmekaitse küsimusi.
Andmekaitsepõhimõtetega vastavusse viimine hilises staadiumis või puuduste tuvastamine
järelkontrolli käigus ei tähenda kulusid mitte ainult järelevalveasutusele, vaid puuduste
avastamisel ka andmekogu vastutavale töötlejale (süsteemi ümbertegemine).
Kui aga seaduse väljatöötaja leiab, et järelkontroll on tõhusam, kuigi kulukam, ja see aitab
kiirendada andmekogu loomist ning ollakse valmis sellesse investeerima, siis on selline valik ka
arusaadav.
Kindlasti ei pea me mõistlikuks II alternatiivis ette nähtud kahe paralleelselt eksisteeriva süsteemi
(RIHA ja ATV) pidamist ning toetame andmekirjelduste, avaandmete ja n-ö andmekogude
kataloogi ühtsesse keskkonda (ATV) üleviimist, mille vahendusel oleks võimalik saada ülevaade
avaliku sektori andmekogudest, nende haldajatest, seotud õigusaktidest jm andmekogu pidamisega
seotud üksikasjadest. Nõustume, et see tagab kogu vajaliku teabe kättesaamise ühest kohast,
muutes andmevaldkonnast huvitatud isikute ja asutuste jaoks neile vajaliku teabe leidmise
hõlpsamaks.
III alternatiivi osas on VTK mõjude analüüsis märgitud, et pakutav lahendus kaotab osaliselt
tegevused, mida on peetud lisaväärtuseta käsitööks, kuid säilitab Riigi Infosüsteemi Ametile (RIA)
olulise kontrollmehhanismi, mis võimaldab tagantjärele toimuva seire kõrval ennetada
andmekogude asutamisele ja pidamisele seatud õigusalaseid ja tehnilise koosvõime alaseid
rikkumisi.
Sama on selgitatud ka IV alternatiivi osas – siiski ei ole registreerimine tulevikus IV alternatiivi
kohaselt enam seotud sellele täna eelneva, andmekogu dokumentatsiooni kooskõlastamisega, vaid
on andmekogu vastutava töötleja vaates sisuliselt automatiseeritav tegevus – viimast selle
mööndusega, et sarnaselt tänasele peab ATV haldaja (RIA) andmekogu registreerimise kinnitama,
mis võimaldab (jällegi, sarnaselt tänasele) kontrollida ka tehnilise realisatsiooni kooskõla
andmekogu dokumentatsiooni ja selle aluseks oleva õigusaktiga.
Kokkuvõtvalt toetame alternatiivi, mis säilitab andmekogu, sh kohaliku omavalitsuse andmekogu
registreerimise kohustuse koos ATV haldaja kontrolliga ehk õigusega tõkestada ennetavalt
nõuetele mittevastava andmekogu kasutuselevõttu. Leiame, et post-hoc nõuetelevastavuse seire
üksi ei ole piisav isikuandmete kaitse taseme hoidmiseks.
Siinjuures peame vajalikuks rõhutada, et kõikide pakutud variantide probleem on laiem – need
eeldavad väga head andmekaitsealast teadlikkust ja andmekaitsekultuuri kõrget taset avalikus
3 (7)
sektoris. Kahjuks ütleb tänane kogemus, et andmekaitseteadlikkus avaliku sektori asutuste seas on
ebaühtlane. Väga paljudes avaliku sektori asutustes ei ole jätkuvalt tähtsustatud andmekaitse
ekspertide vajadust ja rolli, kuni sinnamaani, et nii mõneski neist ei ole tänini
andmekaitsespetsialiste või on need ülesanded pandud teisejärgulisena mõne teise rolli juurde ehk
siis andmekaitsealane kompetents on olemas vaid paberil. Ehkki selline kohustus kehtib juba pea
kaheksa aastat, on see roll nii mõnelgi juhul alahinnatud ja -väärtustatud. See annab aga omakorda
alust kahelda asutuste isikuandmete kaitse teadlikkuse küpsuses ja võimekuses tagada piisav
isikuandmete kaitse tase andmekogudes. Mis ei tähenda, et vältimatult peaks säilitama eelkontrolli
või seda veelgi karmistama. Oluline on hoopis mõista, kui oluline roll on ja saab olema süsteemsel
ning tulemuslikul järelkontrollil, millesse investeerimisse ei tohiks suhtuda kergekäeliselt.
Järelevalvest
Nõuetelevastavuse seire osas on VTK-s rõhutatud, et seire puhul ei ole tegemist
haldusjärelevalvega, kuna asutused, kes täna on RIHA kooskõlastajad (v.a Andmekaitse
Inspektsioon) ei saa võimalike puudujääkide tuvastamisel reageerida haldusjärelevalve
meetmetega, kuid võivad võimaliku rikkumise avastamisel sellest teavitada Andmekaitse
Inspektsiooni, kes saab olukorrale seejärel juba oma AvTS-i 6. peatüki kohase järelevalvepädevuse
raames reageerida.
VTK koostajad on mõjude eelanalüüsis märkinud, et AKI kui teabe avalikustamise ning
andmekogude asutamise ja pidamise eest vastutava järelevalveasutuse jaoks tähendab IV
alternatiiv sarnaselt I ja III alternatiivile üleminekuvajadust tänaselt, n-ö reaktiivselt RIHA
kooskõlastusprotsessilt proaktiivsemat panustamist nõudvale riskipõhisele seirele ja samuti
tihedamat koostööd Justiits- ja Digiministeeriumiga, et AKI seisukohtadega oleks arvestatud juba
andmekogu aluseks oleva õigusakti VV reglemendi järgses kooskõlastusmenetluses (kui tegemist
on sellise õigusaktiga, mis VV reglemendi järgi kooskõlastamisele kuulub). AKI jaoks muutub ATV
lisaks kõigele muule ka tööriistaks, mille abil on võimalik haldusjärelevalvet läbi viia.
Järelevalverolli muutumine ja seirepõhisele nõuetelevastavuse kontrollile üleminek võib endast
aga kujutada võimalikku lisakoormust, mis võib nõuda täiendavat tööjõudu.
Kindlasti toovad muudatused kaasa Andmekaitse Inspektsiooni töökoormuse suurenemise nii
nõuetelevastavuse seire näol, aga ka avaandmete ja andmekirjelduste avalikustamist ning
kättesaadavaks tegemist puudutava järelevalve osas. VTK-s on välja toodud, et RIHA-s on
tänaseks 61% andmekoosseise puudu või aegunud. Isegi kui eeldada, et uute andmekogude puhul
suudetakse riske hinnata ja isikuandmete töötlus läbi mõelda, siis ebaselgeks jääb, kuidas tagatakse
juba olemasolevate andmekogude korrastatus. Viimase aasta jooksul ühiskonda raputanud
skandaalid andmekogudega viitavad süsteemsetele probleemidele, mida ei ole kõrvaldatud teatud
juhtudel ka siis, kui neile tähelepanu on juhitud. Mis tähendab, et kui ootus on süsteemsemale ja
jõulisemale järelkontrollile ka nende osas, on inspektsiooni koormuse kasv veelgi suurem.
Lisaks näeb VTK ette AI lahenduste läbipaistvuse standardi järgimist ning avaliku nimekirja
loomist. See aga tähendab, et Andmekaitse Inspektsioon peab hakkama hindama riskihinnanguid,
mõju põhiõigustele ja dokumentatsiooni kvaliteeti, mis omakorda võtab menetluslikult palju
ressursse.
Siinjuures peame vajalikuks juhtida tähelepanu ka Andmekaitse Inspektsiooni vastandlikele
rollidele, mis muudatustega kaasnevad. Nimelt tekib olukord, kus Andmekaitse Inspektsioon ühelt
poolt peab hakkama järelevalvemenetluse raames kontrollima avaandmete, mille hulka loetakse
ka isikuandmed, avalikustamist ja kättesaadavaks tegemist ning teisalt peab lahendama
järelevalvemenetluse raames andmete avalikustamisega seotud vastuväiteid.
Seega lisaks töökoormuse märgatavale suurenemisele tekib vajadus inspektsiooni töö
laialdasemaks ümberkorraldamiseks ja strukturaalsete muudatuste tegemiseks. Selgelt kõrgem
4 (7)
ootus inspektsiooni järelevalve võimekusele eeldab nii inimeste arvu suurendamist kui ka eraldi
struktuuriüksuse loomist, et tagada sõltumatus ja vältida huvide konflikti. Kui hetkel teostavad
teabenõuete täitmise, teabe avalikustamise ja asutusesiseseks kasutamiseks ettenähtud teabe
kaitsmise üle järelevalvet kaks ametnikku ning andmekogude pidamise üle üks ametnik, mis on
tänast mahtu arvestades juba liiga vähe, siis ilmselgelt ei ole võimalik nende jõududega
muudatustega kaasnevaid lisaülesandeid täita. See aga tähendab Andmekaitse Inspektsioonile
vajadust luua täiendavaid töökohti, mis omakorda nõuab olemasolevate ressursside täiendamist
arvestusega, et ühe töökoha kulu aastas on kokku 61 400 eurot, s.o tööjõukulu 56 400 eurot aastas
(4 700 eurot kuus) ja majanduskulu 5 000 eurot aastas (sh töökoha kulud, koolitused, tervise
edendamine, prillikompensatsioonid jms).
Andmekaitse Inspektsiooni seisukohtadega arvestamise osas andmekogu aluseks oleva õigusakti
kooskõlastusmenetluses selgitame, et juba täna on Andmekaitse Inspektsiooni kaasatud eelnõu
esimesse kooskõlastusringi arvamuse andjana. Seda küll mitte alati, mis on osutunud probleemiks
ja vajab plaanitava reformi käigus kindlasti lahendamist.
Justiits- ja Digiministeerium (JDM) on oma eelnõude koostamise juhises1 selgitanud, et IKÜM-i
kohaselt peab liikmesriik konsulteerima järelevalveasutusega (AKI), kui koostamisel on riigi
parlamendis vastu võetava õigusakti eelnõu või sellisel õigusaktil põhinev rakendusakt, mis on
seotud isikuandmete töötlemisega (vt IKÜM-i artikli 36 lõige 4). Tavaliselt on selle kohustuse
täitmiseks AKI kaasatud eelnõu esimese kooskõlastusringil arvamuse küsimisega. IKÜM-i artikli
52 järgi tegutseb AKI IKÜM-iga kooskõlas antud ülesannete täitmisel ja volituste kasutamisel
täiesti sõltumatult. Seetõttu ei ole JDM-il võimalik kohustada AKI-t andma sisendit valitsemisala
ühtse seisukoha kujundamiseks ning eelnõu koostaja peab ise eelnõu AKI-le kooskõlastamiseks
edastama.
Samuti näeb IKÜM artikli 58 lõige 3 punkt b ette Andmekaitse Inspektsiooni kui
järelevalveasutuse õiguse esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud
küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi
õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele.
Seega on Andmekaitse Inspektsioonil juba täna õigus oma arvamuse esitamiseks, kuid puuduvad
hoovad, mis sunniks andmekogu haldajaid Andmekaitse Inspektsiooni tehtud märkuste ja
soovitustega arvestama ning puudusi kõrvaldama. Oma senisele praktikale tuginedes võib öelda,
et märkused, mis ei ole seotud konkreetsete muudatustega, aga viitavad näiteks üldistele
puudustele andmekogu regulatsioonis (liigselt lai volitusnorm, säilitustähtaegade küsimus vms),
jäetakse pigem kõrvale märkusega, et hetkel on eesmärk muudatused ellu viia ja põhjalikuma
korrastamise juurde tullakse tagasi kunagi hiljem. Inspektsioonil puudub ülevaade, kui paljudel
juhtudel ka tegelikult hiljem selle juurde tagasi tullakse, kuid pigem on kahtlus, et seda juhtub
väga harva. Seetõttu ei saa tänast arvamuse andmist pidada preventiivse kontrolli osaks, kui
Andmekaitse Inspektsioonil puudub võimalus takistada nõuetele mittevastava andmekogu
kasutusele võtmist. Ilmselt ei aita seda tühimikku täita ka tihedam koostöö JDM-iga.
RIA kaasamine
VTK-st nähtuvalt omab RIA tähtsust nii ATV pidamisel kui ka andmekogude registreerimisel.
Arvestades mõlema asutuse rolli seoses andmekogudega, siis peame vajalikuks RIA kaasamist
Andmekaitse Inspektsiooni poolt järelevalvemenetluste läbiviimisel, aga ka vastupidi – RIA
järelevalvemenetlustes võimalust Andmekaitse Inspektsiooni kaasamiseks.
Ilmselt on sellist koostööd võimalik reguleerida koostööleppega, mis tähendab kohustust sõlmida
ka isikuandmete töötlemise kokkulepe, kuna üldjuhul eeldab järelevalvemenetlus ka isikuandmete
1 Juhis isikuandmete ja avaliku teabe töötlemise ning andmekogude reguleerimise kohta eelnõudes
5 (7)
töötlemist. Andmekaitse Inspektsiooni arvates on mõistlik juba seadusega reguleerida võimalus
kaasata järelevalvemenetluse raames vajadusel teine asutus ning reguleerida nendevaheline
andmetöötlus. Sellisel juhul ei peaks kaks riigiasutust sõlmima omavahelisi koostöökokkuleppeid
ja vastutava-volitatud töötleja lepinguid. Küll aga peab vastav regulatsioon vastama IKÜM artiklis
28 märgitud tingimustele.
Avaandmetega seotud probleemid
VTK 3. peatükis nähakse ette järelevalvepädevust ja -meetmeid puudutavad muudatused, millega
täiendatakse AvTS §-e 45 ja 51. Muudatuse eesmärk on anda Andmekaitse Inspektsioonile
sõnaselge õigus teostada haldusjärelevalvet selle üle, kas teabevaldaja on oma avaandmete ja
andmekirjelduste avalikustamist puudutavad kohustused täitnud. Samuti anda Andmekaitse
Inspektsioonile õigus ettekirjutuse abil juhtida teabevaldaja tähelepanu asjaolule, et viimane on
jätnud avaandmed või andmekirjeldused avalikustamata või nõutud vormingus kättesaadavaks
tegemata.
Muu hulgas on VTK-s selgitatud, et e-teenuseid, andmekogusid ja nende pidamist puudutavate
nõuete kõrval ei saa aga unustada, et igasugune avaliku võimu ülesandeid täites dokumenteeritud
teave kujutab endast ka „avalikku teavet“. Avalik teave, millele ei ole seatud
juurdepääsupiiranguid, kvalifitseerub omakorda AvTS § 31 lg 1 tähenduses „avaandmeteks“.
Lisaks on viidatud AvTS § 31 lõikele 4 ning § 29 lõigetele 5 ja 6, mis nõuavad, et avaandmed
peavad olema avalikkusele kättesaadavaks tehtud Eesti teabevärava kaudu ning seda masinloetaval
kujul, avatud vormingus ja koos neid puudutavate andmekirjeldustega.
Seega kuuluvad masinloetaval kujul avaandmetena avalikkusele kättesaadavaks tegemisele ATV
kaudu ka isikuandmed, kui nende andmete üldiseks kasutamiseks andmine ei kahjusta oluliselt
isiku eraelu puutumatust. Selleks näeb AvTS ette, et enne teabe üldiseks kasutamiseks andmist
peab teabevaldaja esmalt hindama teabe üldisele kasutamisele piirangute kehtestamise vajadust
ning seejärel hindama, kas piiranguta isikuandmete üldiseks kasutamiseks andmine võib
kahjustada isiku eraelu puutumatust ja kui kahjustab, siis anda see üldiseks kasutamiseks viisil,
mis ei kahjusta oluliselt isiku eraelu puutumatust.
Samas on Andmekaitse Inspektsioonile avaandmete seires antud tagasisides juhitud tähelepanu
sellele, et teabevaldajal on isikuandmete puhul keeruline eraelu riive mõju hinnata, kuna puudub
kogumis ülevaade sellest, millist teavet on inimese kohta võimalik muudest allikatest saada.
Siinjuures tuleb tagasiside andjaga nõustuda. Kuna avaandmete puhul on üheks nõudeks, et need
peavad olema ka masinloetavad, siis annab see võimaluse erinevaid infokilde kokku segades saada
inimese kohta kogumis sellist teavet, mis lõpuks võib riivata oluliselt tema eraelu puutumatust,
kuid mida teabevaldaja ei oska algselt ette nähagi. Seega võib öelda, et isikuandmete piiranguta
üldiseks kasutamiseks andmine on alati seotud eraelu puutumatuse riivega ning arvestades
mosaiigiefekti võib piiranguta avaldamine lõpptulemuseks viia eraelu puutumatuse olulise riiveni.
Avaandmetega seonduvast oleme kirjutanud ka oma 19.12.2025 antud arvamuses Euroopa
Komisjoni avaldatud digiomnibusi lihtsustamispaketile.2 Arvamuse punktis 18, mis puudutab
avaandmetega seotud muudatusi, oleme märkinud, et hetkel on avaandmete direktiivi erinevalt
ülevõtmine toonud kaasa piiranguta andmete taaskasutamise piiride erinevad tõlgendused.
Seetõttu on tervitatav avaandmete direktiivi ja andmehalduse määrus ühildamine, sh lähenemine,
et isikuandmeid ei tohi anda avaandmetena taaskasutamiseks ilma kaitsemeetmeid rakendamata.
Ühtlasi oleme leidnud, et avaandmete avaldamisel ja taaskasutamisel on oluline leida tasakaal
avatud juurdepääsu ja isikuandmete kaitse vahel, seda eelkõige juhul, kui avaandmed võivad
sisaldada isikuandmeid.
2 Andmekaitse Inspektsiooni avalik dokumendiregister
6 (7)
Seega peavad piiranguta andmete üldiseks kasutamiseks andmist puudutavad muudatused selgelt
välja tooma, kuidas avaandmed ja isikuandmed omavahel suhestuvad, sh kehtestama teabe
taaskasutamiseks andmisele konkreetsed nõuded (sh millal peaks seaduse alusel avalikustatava ja
isikuandmeid sisaldava teabe üldiseks kasutamiseks andmist piirama täiendavate meetmetega ning
millistega) ning andma teabevaldajale selged juhised üldisele kasutamisele piirangute
kehtestamise vajaduse hindamiseks3. Alternatiiv sellele on, et isikuandmed ei ole avaandmeteks.
Tehisaru algoritmi läbipaistvust puudutavad muudatused VTK-s on probleemina esile tõstetud, et avalikus sektoris puudub ajakohane ülevaade rakendatud
tehisaru kasutusjuhtudest. Seetõttu on tervitatavad muudatused, mis suurendavad avalikus sektoris
tehisintellekti kasutamisel läbipaistvust. Selleks kavandatakse kehtestada avalikule sektorile
tehisaru algoritmi läbipaistvusega seotud dokumenteerimise ja avalikustamise kohustus.
VTK-s pakutud muudatustest nähtuvalt on sihtrühm küll muu hulgas järelevalveasutused, kuid ei
nähtu lahendusi, kas ja mil viisil võiks järelevalveasutustele järelevalve selgemaks ja tõhusamaks
muutuda. Selles osas ei ole lahendusi välja pakutud ning seda ei aita mõista ka kavandatav AvTS
§ 331 sätte sõnastus. Seetõttu palume kaaluda kavandatava sätte muutmist selliselt, et
järelevalveasutusel on õigus enne tehisintellekti kasutusele võtmist kavandatava AvTS § 331 lõikes
2 nimetatud dokumentidele ligi pääseda. Küsimus ei ole niivõrd volituse või pädevuse aluse
loomises, kuna selle annab tehisintellekti käsitlev määrus4 järelevalveasutustele otse, vaid viisis,
kuidas võiksid dokumendid järelevalveasutusele kättesaadavad olla, et tagada
järelevalveasutustele selline mõju, nagu on VTK-s kirjeldatud.
Samuti juhime tähelepanu IKÜM-ist tulenevatele läbipaistvusnõuetele. Juhul kui avaliku sektori
tehisintellekti rakendust kasutatakse automatiseeritud otsuste tegemiseks, siis tuleb
andmesubjektile esitada teave IKÜM artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste,
sh profiilianalüüsi tegemise kohta. Lisaks tuleb, vähemalt nendel juhtudel, esitada sisuline teave
ka kasutatava loogika kohta ning selle kohta, millised on sellise töötlemise tähtsus ja
prognoositavad tagajärjed andmesubjekti jaoks. Seega tuleks meie hinnangul kaaluda
kavandatavasse AvTS §-i 331 ka IKÜM-ist tuleneva teabe dokumenteerimise ja esitamise
kohustuse lisamist (IKÜM artikkel 13 lõige 2 punkt f, artikkel 14 lõige 2 punkt g, artikkel 15 lõige
1 punkt h), et seeläbi suurendada ka isikuandmete töötlemise läbipaistvust automatiseeritud otsuste
tegemisel.
Lisaks viidatakse VTK-s, et oma olemuselt võivad sätted sobida hästi ka haldusmenetluse seaduse
eelnõusse, mis käsitleb automaatotsuseid. Samuti on meile teadaolevalt loomisel tehisintellekti
käsitleva määruse rakendamise seadus. Juhime tähelepanu sellele, et kui erinevad tehisintellekti
juurutamist ja kasutamist puudutavad nõuded on killustatuna erinevates seadustes, siis see ei
pruugi luua asjaosalistes selgust ja võib raskendada kõikide täitmiseks kohustuslike nõuete
hoomamist. Seda eelkõige tehisintellekti rakendajate vaatest.
Tehisintellekti käsitleva määruse artikli 71 kohaselt peavad suure riskiga tehisintellektisüsteemide
juurutajad (avaliku sektori asutused, ametid või organid) enne määruse lisas loetletud suure riskiga
tehisintellektisüsteemi kasutamist end registreerima ELi andmebaasis ning valima seal süsteemi,
mida nad kavatsevad kasutusele võtta5. Selleks on neil kohustus edastada EL andmebaasile
teatavad andmed. VTK kohaselt peaksid avaliku sektori tehisarul põhinevate lahenduste pakkujad
ja juurutajad samuti koostama enne süsteemi kavandamist, turule laskmist või kasutuselevõtmist
algoritmi läbipaistvuse standardi ning esitama JDM-ile. VTK-st ei nähtu, kas ja kuidas
3 Selgete juhiste puudumisele on viidanud Tallinna Strateegiakeskus 30.06.2023 saadetud kirjas (Andmekaitse
Inspektsiooni avalik dokumendiregister) 4 Tehisintellekti käsitlev määrus (2024/1689) 5 Vt ka tehisintellekti käsitleva määruse põhjenduspunkti 131, artikli 26 lõiget 8 ning artikli 49 lõikeid 3 ja 4
7 (7)
kavandatakse kahte andmete esitamise kohustust ühildada. Seega võivad AvTS-i kavandatavad
tehisintellekti algoritmi läbipaistvuskohustuse muudatused tuua teatud avaliku sektori asutustele
kaasa topelt andmete esitamise kohustuse, mis aga suurendab halduskoormust. Seejuures on
tehisintellekti määrusest tulenevad nõuded otsekohalduvad ja avaliku sektori asutustele
järgimiseks kohustuslikud.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Terje Enula
627 4144
Agnes Järvela
627 4145
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|