| Dokumendiregister | Sotsiaalministeerium |
| Viit | 1.2-2/16-6 |
| Registreeritud | 03.03.2026 |
| Sünkroonitud | 04.03.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.2 Õigusloome ja õigusalane nõustamine |
| Sari | 1.2-2 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega (Arhiiviväärtuslik) |
| Toimik | 1.2-2/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Raili Sillart (Sotsiaalministeerium, Kantsleri vastutusvaldkond, Innovatsiooni vastutusvaldkond, Arendusosakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Karmen Joller Sotsiaalministeerium [email protected]
Teie 19.02.2026 nr 1.2-2/16-1 Meie 03.03.2026 nr 2.3-4/26/689-2
Arvamus eelnõudele Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks sotsiaalministri määruse
„Tervisevaldkonna seaduste muutmisega seotud valdkonna eest vastutava ministri määruste
muutmine“ eelnõu, sotsiaalministri määruse „Eesti geenivaramu põhimäärus“ eelnõu, Vabariigi
Valitsuse määruse „Vabariigi Valitsuse 1. detsembri 2016. a määruse nr 138 „Tervise infosüsteemi
põhimäärus“ muutmine“ eelnõu ning „sotsiaalministri määruse „Riikliku vereteenistuse
infosüsteemi põhimäärus“ eelnõu.
Meil on esitatud eelnõu osas järgmised tähelepanekud ja märkused.
Tervisevaldkonna seaduste muutmisega seotud valdkonna eest vastutava ministri määruste
muutmise eelnõu
1. Eelnõu §-iga 2 muudetakse sotsiaalministri 17.09.2008 määrust nr 53. Sama paragrahvi
punkt 2 näeb ette määruse §-i 2 pealkirja sõnastamist selliselt, et hetkel kehtiv pealkiri
„Tervise infosüsteemi edastatavad dokumendid“ muudetakse pealkirjaks „Tervise
infosüsteemi andmekoosseisud“. Seletuskirja järgi on muudatuse eesmärgiks sõnastada
pealkiri selliselt, et see võimaldaks reguleerida nii dokumente kui andmestikke. Samas
juhime tähelepanu, et pakutud sõnastus on eksitav, kuna viitab pigem tervise infosüsteemi
kogutavate andmete koosseisule, aga mitte andmekogusse edastatavate andmete
andmekoosseisule, mis seletuskirjast nähtuvalt on muudatuse tegelik eesmärk. Soovitame
sõnatada pealkirja selliselt, et oleks aru saada, et säte puudutab siiski vaid tervise
infosüsteemi edastatavate andmete koosseisu.
2. Eelnõu §-ga 5 muudetakse sotsiaalministri 21.08.2025 määrust nr 34, mis reguleerib vähi
sõeluuringute registri pidamist. Meil puuduvad tähelepanekud esitatud muudatuste osas,
kuid juhime tähelepanu 25.07.2025 esitatud arvamuses nr 2.3-5/25/2226-21 toodud
tähelepanekutele, mida määruse andja ei ole arvestanud. Juhtisime oma varasemas
arvamuses tähelepanu arhailistele ja sisututele sätetele, mis pigem risutavad põhimäärust
(nt §-id 3 ja 5). Samuti sellele, et reguleerimata on, kuidas toimub juurdepääs andmekogu
andmetele ehk kellel on õigus andmeid saada ja andmete saamise tingimused. Samas
eelnõu seletuskirja andmekaitsealases mõjuhinnangus on selgitatud, et peamised riskid
ongi just seotud andmete võimaliku väärkasutuse või loata juurdepääsuga.
Lisaks selgitasime, et põhimääruse § 13 ei ole kooskõlas AvTS § 439 lõikega 5, mille
1 Andmekaitse Inspektsiooni avalik dokumendiregister
2 (7)
kohaselt saab andmevahetus teiste andmekogudega toimuda üksnes läbi riigi infosüsteemi
andmevahetuskihi (X-tee) ja muid võimalusi seadus ette ei näe. Põhimääruse järgi on vähi
sõeluuringute registrile andmeid andvateks andmekogudeks rahvastikuregister, tervise
infosüsteem, vähiregister ja tervisekassa andmekogu, mille puhul on tegemist riigi
infosüsteemi kuuluvate andmekogudega ja andmevahetus nendega saab toimuda üksnes
X-tee kaudu. Juhul kui muu kokkulepitud elektroonset teabevahetust võimaldava viisi
puhul on silmas peetud andmevahetust, mis toimub uuringuid tegevate tervishoiuteenuse
osutajate vahel, siis tuleb põhimääruses see selliselt ka sätestada.
Probleemina oleme välja toonud ka isikuandmete andmekogus tähtajatu säilitamise, mis
on osade andmete puhul küsitav ning ei lähe kokku põhimääruse seletuskirjas toodud
eesmärkidega. Nagu oma varasemas arvamuses selgitasime, siis tähtajatu isikuandmete
säilitamine tähendab intensiivset riivet isiku privaatsusele ja saab olla pigem väga erandlik,
nõudes väga põhjalikku põhjendamist. Leiame jätkuvalt, et andmekogusse kogutavate
isikuandmete säilitamise tähtaega tuleb vajadusest ja eesmärgist lähtuvalt uuesti analüüsida
ning põhimäärust selles osas täiendada. Rõhutame, et IKÜM artikli 5 lõike 1 punktist e
tulenevalt ei tohi ükski isikuandmete hulk olla igavene. Isikuandmete säilitamiseks peab
olema konkreetne põhjus ning kui andmete töötlemise eesmärk on saavutatud ja kui ei ole
muid seadusest tulenevaid õigustusi, miks andmeid säilitada, siis tuleb andmed hävitada.
3. Täiendavalt juhime tähelepanu sellele, et rahvatervishoiu seaduse §-s 25 on küll
volitusnorm põhimääruse kehtestamiseks, kuid puuduvad põhimääruse raamid, st mida
on määruse andja kohustatud põhimääruses sätestama (nt andmekogu pidamise kord,
andmeandjad, andmevahetus teiste andmekogudega, vastutava/volitatud töötleja
ülesanded, juurdepääs ja väljastamise kord, muud korralduslikud küsimused). Selles osas
soovitame tutvuda Justiits- ja Digiministeeriumi juhisega2 (JDM juhis).
Eesti geenivaramu põhimäärus
4. Riigikogu menetluses oleva inimgeeniuuringute seaduse (IGUS) eelnõu (749 SE) § 7 lõike
1 punkti 1 järgi tuleb geenivaramu põhimääruses muu hulgas sätestada geenivaramu
vastutava ja volitatud töötleja ülesanded ning nõuded nende vahel sõlmitavale lepingule.
Esitatud põhimääruse eelnõu § 7 peakski pealkirjast nähtuvalt sisaldama geenivaramu
volitatud töötleja ülesandeid, mida aga põhimääruses välja toodud ei ole, vaid on viidatud
geenivaramu vastutava ja volitatud töötleja vahel sõlmitavale lepingule.
Eelnõu seletuskirjas on küll selgitatud, et eelnõu §-is 7 sätestatakse geenivaramu volitatud
töötleja ülesanded, kui järgmise lausega selgitatakse, et volitatud töötleja ülesanded ja
vastutus määratakse vastutava ja volitatud töötleja vahel sõlmitavas lepingus. Selline
lähenemine võimaldab paindlikkust, säilitades samas seadusest ja määrusest tulenevad
piirangud, vastutava töötleja keskse rolli ja vastutuse ning tagades järelevalve. Lisaks on
seletuskirjas seoses lepinguga märgitud, et lepingulise regulatsiooni kasutamine võimaldab
vastutaval töötlejal ja volitatud töötlejal täpsustada konkreetseid ülesandeid geenivaramu
töötlemisel. Siinjuures saab seletuskirjas tooduga nõustuda osas, et lepingulise
regulatsiooni kasutamine võimaldab täpsustada konkreetseid ülesandeid, kuid seda juhul,
kui põhimääruses on vastutava ja töötleja ülesanded loetletud, mida näeb kohustusliku
normina ette ka IGUS.
Andmekaitse Inspektsioon on andmekogude juhendis selgitanud, et põhimäärusega
reguleeritakse ka kohustuste jaotus andmekogu vastutava ja volitatud töötleja vahel. Seda
just põhjusel, et tööjaotus ja vastutus andmekogu töötlejate vahel oleks selge. Selleks ongi
2 Juhis eelnõude koostamiseks.pdf
3 (7)
mõistlik vastavalt tegelikule tööjaotusele kirjeldada põhimääruses, kes mida teeb (nt kes
haldab kasutajaõigusi, kes vastab päringutele, kes andmekogu arendab ja rahastab jne).
Sealjuures on oluline tuua välja erinevate volitatud töötlejate profiilid. Eriti oluline on see
geenivaramu puhul, kuna geenivaramu ei koosne ainult infosüsteemis3 töödeldavate
korrastatud andmete kogumist, vaid ka geenidoonorite koeproovidest, mille säilitamist on
vastutaval töötlejal samuti õigus edasi volitada. See aga tähendab volitatud töötlejale
täiendavaid nõudeid, aga ka ülesandeid ja vastutust seoses koeproovide säilitamisega ning
ilmselgelt erinevad selle volitatud töötleja ülesanded nende volitatud töötlejate
ülesannetest, kellele andmekogu vastutav töötleja andmekogu haldajana on volitanud edasi
andmekogu majutmise või andmekogu andmete töötlemise. Samuti võib volitatud
töötlejaks olla ka koeproovi võttev tervishoiuteenuse osutaja, kelle ülesanded omakorda
erinevad ülejäänud volitatud töötlejate ülesannetest.
Lisaks märgime, et ka JDM juhises on märgitud, et andmekogu põhimääruses tuleb
sätestada muu hulgas ka (kaas)vastutavate töötlejate ja volitatud töötleja ülesannete /
kohustuste / rollide jaotus – kui on kaasvastutavad töötlejad, siis kõigi vastutusvaldkond;
muudel juhtudel vastutava ja/või volitatud töötleja ülesanded. Peab olema arusaadav, kes
mida teeb ja mille eest vastutab.
Kokkuvõtvalt leiame, et põhimääruse eelnõu §-i 7 tuleb täiendada selliselt, et see
kajastataks andmekogu vastutava töötleja ja volitatud töötlejate vahelist tegelikku
tööjaotust nagu seda näeb ette ka IGUS § 7, täpsustades ülesandeid, pädevust ja vastutust
lepingus. Üksnes sellisel juhul saab öelda, et säte on kooskõlas ka IGUS-e eelnõu
seletuskirjas väljendatud seisukohaga, mille kohaselt peab geenivaramu andmetöötlusahel
olema tervikuna juhitav ja kontrollitav ning kus vastutav töötleja ei saa loovutada oma
otsustus- ega järelevalverolli volitatud töötlejatele.
Riikliku vereteenistuse infosüsteemi põhimäärus
5. Andmekaitse Inspektsioonile esitatud vereteenistuse infosüsteemi põhimääruse eelnõu § 2
loetleb andmekogu kaasvastutavate töötlejate ning § 3 volitatud töötleja ülesanded. Seega
peaksid need kaks paragrahvi andma ülevaate sellest, milliseid ülesandeid on kohustutud
täitma andmekogu vastutav töötleja (haldaja) andmekogu pidamisel, millised on
kaasvastutavate töötlejate kohustused seoses isikuandmete töötlemisega ning millised on
andmekogu volitatud töötleja ülesanded.
Juhime taaskord tähelepanu sellele, et andmekogude pidamisega seonduvat reguleerib
AvTS.
AvTS § 43⁴ lõike 1 järgi on andmekogul vastutav töötleja (haldaja), kes korraldab
andmekogu kasutusele võtmist, teenuste ja andmete haldamist ning vastutab andmekogu
haldamise seaduslikkuse ja andmekogu arendamise eest. Sama paragrahvi lõige 2 annab
andmekogu vastutavale töötlejale õiguse volitada edasi andmete töötlemist ja andmekogu
majutamist teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule
juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava
töötleja poolt ettenähtud ulatuses. Seega AvTS-ist tulenevalt peab igal andmekogul olema
vastutav töötleja ehk haldaja, kes korraldab andmekogu kasutusele võtmist, teenuste ja
andmete haldamist ning vastutab andmekogu haldamise seaduslikkuse ja andmekogu
arendamise eest.
3 KüTS § 2 punkti 37 järgi on infosüsteem seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt
ühes toimub mõne programmi kohaselt digitaalsete andmete automaatne töötlemine, või digitaalsed andmed, mida
eelnimetatud komponendid nende töö, kasutamise, kaitsmise või hooldamise jaoks salvestavad, töötlevad, saavad
päringuga või edastavad.
4 (7)
Siinjuures märgime, et iseenesest ei ole välistatud ka see, kui andmekogul on mitu
vastutavat töötlejat, kes täidavad andmekogu pidamisel erinevaid ülesandeid, kuid seda
eeldusel, et iga vastutav töötleja ka tegelikult vastutava töötleja funktsioone täidab. Seega,
et andmekogu pidamisel oleks tööjaotus ja vastutus andmekogu töötlejate vahel selge,
tuleks põhimääruses ülesandeid kirjeldadagi vastavalt tegelikule tööjaotusele ehk
põhimäärusest peab nähtuma mitme vastutava töötleja puhul nii nende omavaheline
tööjaotus kui ka tööjaotus andmekogu vastutava ja volitatud töötleja vahel.
Küll aga tuleb lahus hoida AvTS-ist tuleneva andmekogu vastutava töötleja roll ja
andmekogus olevate isikuandmete töötlemisel IKÜM-ist tulenev vastutava töötleja roll.
Eelnõu § 2 lõike 1 järgi Sotsiaalministeerium ja Tervisekassa kaasvastutavate töötlejatena
korraldavad koostöös volitatud töötlejaga e-teenuste loomist, arenduste väljatöötamist ja
infosüsteemi elektroonilist andmevahetust teiste andmekogudega ning täidavad muid
vastutavale töötlejale antud ülesandeid. Samas jääb ebaselgeks, milliseid ülesandeid
millises rollis tegelikult sättes nimetatud asutused täidavad.
Andmekaitse Inspektsioon on varasemalt andmekogudega seoses juhtinud tähelepanu
sellel, et andmekogude puhul tuleb eristada isikuandmete töötlemise vastutavat töötlejat ja
andmekogu vastutavat töötlejat, sh nende rollidega seotud kohustusi. Kui andmekogu
vastutava töötleja ülesanded on seotud andmekogu pidamisega, siis IKÜM näeb
isikuandmete vastavale töötlejale ette mitmeid kohustusi just seoses isikuandmete
töötlemisega.
IKÜM artikli 26 lõige 1 näeb ette, et kui kaks või enam vastutavat töötlejat määravad
ühiselt (või on seda nende eest teinud ametlikult juba seadusandja) kindlaks isikuandmete
töötlemise eesmärgid ja vahendid, siis on nad kaasvastutavad töötlejad. Kaasvastutavad
töötlejad peavad läbipaistval viisil omavahelise kokkuleppega määrama kindlaks
vastutusvaldkonnad ehk selle, kes milliseid ülesandeid peab täitma veendumaks, et
isikuandmete töötlemine vastab IKÜM-ist tulenevatele kohustustele. Siinjuures ei peaks
kohustuste määramisel piirduma ainult artikli 26 lõikes 1 tooduga, vaid see laieneb ka
teistele vastutava töötleja kohustustele IKÜM-i alusel. Kaasvastutavad töötlejad peavad
tagama, et kogu ühine töötlemine vastab täielikult IKÜM-ile. Kaasvastutavate töötlejate
vastutuse määramisel isikuandmete töötlemisel tuleb eelkõige arvesse võtta
andmesubjektide õiguste kasutamist ja teabe andmise kohustusi, kuid lisaks peaks
vastutuse jaotus hõlmama ka muid vastutava töötleja kohustusi, näiteks seoses üldiste
andmekaitsepõhimõtete, õigusliku aluse, turvameetmete, andmetega seotud rikkumisest
teatamise kohustuse, andmekaitse mõjuhinnangute, volitatud töötlejate kasutamise,
kolmandate riikide andmete edastamise ning andmesubjektide ja järelevalveasutusega
suhtlemisega.
Kuigi IKÜM kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku vormi ei täpsusta,
soovitab Euroopa Andmekaitsenõukogu õiguskindluse huvides ning läbipaistvuse ja
vastutuse tagamiseks sellise kokkuleppe sõlmida siduva dokumendina, näiteks lepingu või
muu liidu või liikmesriigi õiguse kohase õiguslikult siduva aktina, millele vastutavad
töötlejad on allutatud. Andmekogude puhul saaks selleks olla andmekogu põhimäärus.
JDM on oma juhises samuti selgitatud, et seaduse tasandil tuleb kindlaks määrata
isikuandmete vastutav töötleja (vastutav töötleja IKÜM-i mõttes). Isikuandmete vastutav
töötleja on see asutus, kelle seadusest tuleneva ülesande täitmiseks isikuandmeid
töödeldakse. Kui andmeid töödeldakse andmekogus, st andmekogu kaudu täidetakse
seaduses sätestatud ülesannet, siis vastutab andmekogu haldaja (vastutav töötleja AvTS-i
mõttes) ka selles andmekogus toimuva isikuandmete töötluse eest. Kui andmekogu kaudu
täidavad oma ülesannet mitu asutust, siis on nad koos andmekogu haldajaga
kaasvastutavad töötlejad. Sellisel juhul tuleb seaduse tasandil määrata kindlaks
5 (7)
andmekogu kaasvastutavad töötlejad ning andmekogu põhimääruses sätestada, kellel
millised kohustused on.
Antud juhul jääb selgusetuks, millised on need seadusest tulenevad ülesanded, mida
Sotsiaalministeerium ja Tervisekassa andmekogu kaudu täidavad ning mis muudavad nad
isikuandmete kaasvastutavateks töötlejateks. Pigem on Tervisekassa näol tegemist
andmekogu volitatud töötlejaga, kes koos Tervise ja Heaolu Infosüsteemide Keskusega
tegeleb arenduste väljatöötamise ja e-teenuste loomisega, sh abistab ühtlasi vastutavat
töötlejat andmesubjekti pöördumiste lahendamisel ja tagab andmekogu jätkusuutlikkuse,
täitmata sealjuures andmekogu vastutava, aga ka isikuandmete kaasvastutava töötleja
funktsiooni. Küll aga võib isikuandmete töötlemisel kaasvastutava töötlejana kõne alla
tulla hoopiski verekeskused, mille vereseadusest tulenevate ülesannete täitmiseks on
andmekogu vajalik.
Kokkuvõtteks leiame, et eelnõus tuleb läbipaistvuse ja vastutuse tagamiseks
andmekogu vastutavaid ja volitatud töötlejaid, isikuandmete kaasvastutavaid
töötlejaid ning nende kõigi ülesandeid puudutavad sätted uuesti üle vaadata ning
põhimäärust ja seletuskirja selliselt täiendada, et oleks selge, millist rolli keegi täidab
ning millised on selle konkreetse rolliga seotud ülesanded ja vastutus. Vastasel juhul
on oht, et täitmata jäävad nii IKÜM-ist, aga ka AvTS-ist ja KüTS-ist tulenevad vastutava
töötleja kohustused.
6. Eelnõu § 4 lõike 1 järgi koosneb andmekogu keskandmekogust ja andmelaost, mis
omakorda koosneb keskandmekogu ja andmeandjate edastatavatest pseudonüümitud
andmetest. Seega kuulub andmekogu koosseisu ka andmeladu, mille puhul jääb
selgusetuks, milliseid andmeid andmeladu sisaldab, sh mida tähendab andmeandjate
edastavad andmed. Sätte sõnastusest võib aru saada, et andmeladu koosneb lisaks
keskandmekogu andmetest ka sellistest andmetest, mida andmeandjad edastavad üksnes
andmelattu ja mis ei ole keskandmekogu andmeteks ehk tegemist oleks õigusliku aluseta
andmetöötlusega.
Samuti nähtub eelnõu §-it 15, et andmelao andmeid kasutatakse statistika ja analüüside
tegemiseks äriprotsesside toetamisel, poliitika kujundamisel, mõjude hindamisel ja
teabenõuetele vastamisel. Siinjuures juhime aga tähelepanu vereseaduse §-is 15 toodud
andmekogu eesmärgile, milleks on vere kvaliteetse käitlemise ja ravi kvaliteedi tagamine.
Andmekogude juhendis oleme selgitanud, et andmekogu volitusnorm peab andma vastuse
küsimusele, millisel eesmärgil, milliste ülesannete täitmiseks andmekogu luuakse,
sealjuures peab volitusnorm olema piisavalt konkreetne. Ilma selleta on raskendatud
kontroll andmekogu pidamise õiguspärasuse ja isikuandmete töötlemise ulatuse üle.
Samuti oleme andmeladude seire kokkuvõttes selgitanud, et andmelao seadustamisel tuleb
seaduses selgelt välja tuua andmelao kasutamise eesmärgid. Antud juhul saab aga
andmekogu asutamist lubavast volitusnormist lähtuvalt vereteenistuse infosüsteemi
andmeid töödelda üksnes vere käitlemisega seotud tegevusteks, mitte aga statistika või
analüüside tegemiseks, mis toetavad äriprotsesse või aitavad kujundada poliitikat.
Kokkuvõtvalt märgime, et andmeladu puudutav osa vajab põhimääruse eelnõus ja
seletuskirjas täiendamist. Vastasel juhul ei ole tagatud andmekogus toimuva andmetöötluse
läbipaistvus. Lisaks tuleb muuta vereseaduses toodud andmekogu eesmärki ja sõnastada
see selliselt, et sellest nähtuks, millisel eesmärgil ja milliste ülesannete täitmiseks
keskandmekogu andmeid töödeldakse ning millised on andmelao kasutamise eesmärgid.
7. Eelnõu § 5 lõike 1 punkti 4 järgi kogutakse andmekogusse ka muid doonorlusega seotud
andmeid. Juhime taas kord tähelepanu sellele, et AvTS § 435 lõike 1 järgi tuleb andmekogu
põhimääruses sätestada muu hulgas ka andmekogusse kogutavate andmete koosseis.
6 (7)
Andmekaitse Inspektsioon on andmekogude juhendis andmete koosseisu osas selgitanud,
et andmekogusse kogutavate andmete täielik loetelu ei pea olema seaduses, kuid
põhimäärus peab sisaldama ammendavat loetelu antud andmekogusse kogutavatest
andmetest. Samuti on JDM oma juhises märkinud, et andmekogu põhimääruses tuleb muu
hulgas sätestada andmekogusse kantavate andmete täpne/ammendav loetelu (vajaduse
korral saab esitada lisana) – nt isiku üldandmed või „isiku kohta käivad andmed“ ei ole
piisavalt ammendavad, kuna pole võimalik aru saada, mis on täpne andmekoosseis. Seega
ei sobi andmete töötlemise seaduslikuks aluseks niivõrd üldine säte, kuna see ei anna
vastust küsimusele, milliseid andmeid andmekogusse kogutakse.
8. Samuti ei nähtu eelnõust, milliseid andmeid edastavad vereteenistuse infosüsteemi teised
andmekogud. Näiteks edastab rahvastikuregister doonori isiku esindusõiguse ja teovõime
andmed, kuid eelnõust ega selle lisast ei nähtu, milliseid andmeid ühest andmekogust teise
edastatakse. Samuti ei ole selge, milliseid andmeid edastab näiteks retseptikeskus.
Andmekogude juhendi punktis 3.2 on toodud välja loetelu andmekogu pidamise olulistest
küsimustest, mida põhimäärusega reguleeritakse. Sealjuures on punktis 9 märgitud, et
põhimääruses tuuakse välja andmete allikad ehk millistest andmekogudest või kelle käest
(millistelt andmeandjatelt) andmeid saadakse. Seeläbi määratakse tegelikult ka kindlaks,
millised on andmekogu unikaalsed põhiandmed. Nimelt keelab AvTS § 43³ lõige 2 asutada
ühtede ja samade andmete kogumiseks eraldi andmekogusid, mis tähendab, et kui samu
andmeid kogutakse juba mõnda teise andmekogusse põhiandmetena, siis tuleks kasutada
seal olevaid andmeid, mitte neid isikutelt uuesti koguda. Samuti on JDM juhises selgitatud,
et andmekogu põhimääruses tuleb sätestada andmete allikad ehk andmeandjad koos nende
antavate andmetega. Andmekogu põhimäärus annab seega õiguse neid andmeid nõuda
ning ideaalis peaks sellele vastama kohustav norm neid andmeid esitada.Palume eelnõud
andmekogusse edastatavate ja sinna kogutavate andmete koosseisu osas kindlasti
täiendada.
9. Eelnõu § 10 lõike 2 kohaselt säilitatakse andmekogu töötlemistoimingute logiandmeid 30
aastat, mille puhul on tegemist ebatavaliselt pika tähtajaga. Peame vajalikuks rõhutada, et
kuna logid sisaldavad isikuandmeid, siis peab ka nende säilitamise tähtaeg piirduma rangelt
minimaalsega ning isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki
ei ole mõistlikult võimalik saavutada muude vahendite abil. Seega vajab nii pikk
säilitamise tähtaeg seletuskirjas täiendavat põhjendamist. Piisavaks põhjenduseks ei saa
pidada seletuskirjas toodud põhjendust, et säilitamine on sama pikk nagu teistel
tervisevaldkonna infosüsteemidel. Palume eelnõu selles osas täiendada ning põhjendada,
miks on vajalik logide 30-aastane säilitamine.
10. Eelnõu § 11 lõike 1 järgi on doonoril juurdepääs üksnes doonoriportaali andmestikule.
Seletuskirjas on selgitatud, et doonori ligipääs piirdub tema kohta doonoriportaalis
esitatud andmetega. Juhime tähelepanu sellele, et IKÜM-i artiklist 15 tulenevalt on
doonoril kui andmesubjektil õigus tutvuda kõigi temaga seotud andmetega. See aga
tähendab, et doonori juurdepääs ei saa piirduda üksnes nende andmetega, mida doonor on
ise esitanud, vaid doonoril on õigus tutvuda ka nt vereloovutuse andmestiku andmetega.
Lisaks on retsipiendil õigus saada teavet tema kohta vereteenistuse infosüsteemi kogutud
andmetest. Selliselt sõnastatud säte on eksitav.
11. Samuti juhime tähelepanu sellele, et lisaks vereseaduses toodud andmekogu eesmärgi
täiendamise vajadusele tuleb andmekogude puhul seaduses sätestada ka isikuandmete
kategooriad, milliseid andekogusse kogutakse. Ka antud eelnõu puhul soovitame tutvuda
JDM juhisega ning viia nii andmekogu asutamist lubav volitusnorm kui ka põhimääruse
eelnõu nende juhistega kooskõlla.
12. Ühtlasi märgime, et AvTS § 433 näeb ette, et enne andmekogu asutamist, aga ka
7 (7)
andmekogus kogutavate andmete koosseisu muutmist tuleb andmekogu tehniline
dokumentatsioon kooskõlastada AvTS-is ja selle alusel kehtestatud Vabariigi Valitsuse 28.
veebruari 2008. a määruses „Riigi infosüsteemi haldussüsteem“ sätestatud korras.
Kokkuvõtvalt rõhutame, et andmekogude kontekstis on Andmekaitse Inspektsiooni eesmärk alati
püüelda selle poole, et andmekogu reguleerivaid sätteid lugedes oleks lihtsalt, kiirelt ja üheselt
võimalik aru saada, miks ja kuhu mingeid andmeid kogutakse, milliseid andmeid kogutakse,
kui kaua neid säilitatakse ning kellega jagatakse. Aga vähetähtis ei ole ka see, et sätted annaksid
ülevaate sellest, kes milliseid ülesandeid seoses andmekogu pidamisega ja andmekogus olevate
isikuandmete töötlemisega on kohustatud täitma. Vastasel juhul ei ole tagatud andmekogus
toimuva andmetöötluse läbipaistvus ega ka vastutus. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Terje Enula
627 4144