Siseministeeriumi edastatud õigusaktide eelnõudest peatuks kahel – politsei andmekogu (POLIS) andmekogu, millesse tehtud muudatuste osas küsiti arvamust kahel korral ning isikut tõendavate dokumentide seaduse ja teiste seaduste muutmise eelnõu, millega luuakse automaatse biomeetrilise identifitseerimissüsteemi andmekogu (ABIS).
Politsei andmekogu muutmise eelnõu
POLIS-e muudatused olid peamiselt seotud taaskord COVID-19 kriisiga või siis vähemasti sellest tõukunud. Esimene muudatus tuli arvamiseks juba aprillis ja teine juunis. Teadaolevalt vajas Terviseamet Politsei- ja Piirivalveameti (PPA) abi selleks, et kontrollida nii nakatunuid kui ka lähikontaktseid, kes on karantiini määratud, et need tõepoolest ka neile seatud liikumispiirangutest kinni peaksid. Ent selgus, et erinevate andmekogude vaheline andmevahetus ei olnudki ilma õigusakte muutmata võimalik.
Aprillis arvamiseks esitatud muudatuse eesmärgiks oli luua õiguslik alus andmete esitamiseks Terviseameti poolt POLIS-sse. Eelnõu kohaselt edastaks Terviseamet POLIS-sse andmeid ühiste infoobjektide, ennetava tegevuse ja otsimise andmestikku.
Inspektsioon juhtis esmalt tähelepanu sellele, et ehkki eelnõus oli märgitud, et Terviseameti õigus nakkushaiguste registrist (NAKIS) andmeid edastada PPA-le tuleneb NAKIS-e põhimääruse § 11 lõikest 11, siis tegelikkuses andis viidatud säte õigusliku aluse NAKIS-le juurdepääsuks, mitte andmete edastuseks. Lisaks ei võimalda POLIS-e põhimääruse § 22 lõige 2 POLIS-sse kanda mitmeid andmeid, sh andmeid isikute tervisliku seisundi ja seksuaalelu kohta, välja arvatud kuriteo ennetamiseks, tõkestamiseks, avastamiseks või tagaotsitava tabamiseks. COVID-19 nakatunu karantiini nõuete täitmine ei kuulu ilmselgelt ühessegi nimetatud kategooriasse.
Veel juhtis inspektsioon tähelepanu andmete säilitamise tähtaegadele. Nimelt sätestati küll, kui kaua Terviseameti andmeid aktiivsena säilitatakse, kuid jäi ebaselgeks, mis neist edasi saab. Eelduslikult kantakse arhiivi, kuid selgesõnaliselt seda välja öeldud ei olnud. Lisaks tuli märkida, et kui ka andmed kantakse arhiivi, siis POLIS-e põhimääruse § 25 sätestab arhiivile juurdepääsu õigused, kus öeldakse, et arhiivist on lisaks andmesubjektile endale õigus andmeid saada politseiametnikul ja muul isikul põhjendatud teadmisvajaduse olemasolul. Samas andmekaitsealane mõjuhinnang ei analüüsinud, millist riski see, et politseiametnik või muu isik võib ligipääsu saada ka COVID-19 haiguse diagnoosi saanud isiku andmetele. Samuti oli andmekaitsealane mõjuhinnang puudulik osas, mis puudutab teiste asutuste ligipääse POLIS-le ja seeläbi Terviseameti poolt edastatavatele andmetele. Nimelt sätestab POLIS-e põhimäärus § 19 lõige 2, kellel lisaks PPA-le on ligipääs POLIS-le.
Juunikuine POLIS-e põhimääruse muudatus kordas osati sama, mis eelnev, mis oli juba küsitavusi tekitanud. Kuna aprillikuise eelnõuga viidi juba sisse POLIS-e muudatused, kus piiritleti Terviseamet andmeandjana üksnes 2020. kevadel kehtestatud eriolukorraga, siis uues eelnõus sooviti luua säte, mis ilmselt oleks tulevikku suunatud, et Terviseamet oleks andmeandjaks POLIS-sse hädaolukorras, erakorralises seisukorras ja sõjaseisukorras, kuid piiritlemata siis 2020. aasta kevadise eriolukorraga.
Inspektsioon viitas, et kui eelmine POLIS-e põhimääruse eelnõu oli arusaadav selles osas, et andmeedastus on seotud nakkushaiguse leviku tõkestamisega, siis uue eelnõu puhul polnud võimalik aru saada, millistel juhtudel tekiks Tervisametil kohustus andmed PPA-le edastada. Nimelt võib olla hädaolukord välja kuulutatud väga erinevatel põhjustel ning aru ei olnud saada, kas andmeedastus toimuks mistahes hädaolukorra korral. Samuti jäi arusaamatuks, kas ja miks ning mis andmeid edastaks Terviseamet erakorralise seisukorra ja sõjaseisukorra ajal.
Taaskord tekkis küsitavusi andmete säilitamise kohta. Kuna seletuskirjas oli selgitatud, et organisatoorselt suudetakse tagada, et andmeid säilitatakse üksnes teatud sündmuseni, tuleks nii eelnõus selgesõnaliselt ka öelda. Nimelt toodi välja põhjusena, miks ei saa täpsemalt säilitamistähtaegu sätestada, soovimatus või võimatus uut infotehnoloogilist lahendust luua, kuid kinnitati, et organisatoorselt on lühemat säilitustähtaega võimalik tagada. Samuti ei selgunud, millest lähtuvalt oli hinnatud kavandatud säilitamistähtajad sobivaks ja eesmärgipäraseks.
Nii nagu eelmist eelnõud kommenteerides, tegi inspektsioon taaskord märkuse arhiivis säilitamise tähtaegade kohta – osati oli valitud tähtajaks lausa 50 aastat, kuid selgitusi, miks just selline tähtaeg, ei olnud. Kuna POLIS-e andmetele on ligipääs ka teistel asutustel, oli hinnatud mõjusid andmesubjektile ning leitud, et riive ei ole suur, mille osas jäime eriarvamusele. Nimelt ei anta kõigile sellisele asutustele, kellel on POLIS-le juurdepääs hädaolukorras, erakorralises seisukorras või sõjaseisukorras ülesandeid, mis õigustaksid Terviseameti poolt edastatavatele andmetele ligipääsu. Seletuskiri jäi selles osas napisõnaliseks ja keskendus viiruse vastu võitlemise vajaduse kirjeldusele, samal ajal, kui muudatus oli suunatud tulevikku ning olukorrad, mil Terviseamet peaks andmeid edastama, olid ühelt poolt laiendatud, kuid teisalt täpsustamata.
Võttes arvesse POLIS-e hetkel kehtivat regulatsiooni, tuleb siiski tõdeda, et kavandatav muudatus jäi ellu viimata.
Automaatse biomeetrilise identifitseerimissüsteemi (ABIS) andmekogu loomine
Üks olulisemaid eelnõusid Siseministeeriumi sulest 2020. aastal oli isikut tõendavate dokumentide seaduse (ITDS) ja teiste seaduste muutmise eelnõu, mis loob õigusliku aluse automaatse biomeetrilise identifitseerimissüsteemi (ABIS) andmekogu loomiseks.
Siseministeerium selgitab oma veebilehel, et automaatse biomeetrilise isikutuvastuse süsteemi andmekogu ehk ABIS saab olema keskne riiklik andmekogu, kus hakatakse säilitama täna erinevates andmekogudes ning erinevate riiklike menetluste raames kogutavaid biomeetrilisi isikuandmeid – näo- ja sõrmejäljekujutisi. ABIS andmekogu loomise eesmärgiks on aidata kaasa turvalisele identiteedihaldusele, avaliku korra ja julgeoleku tõhusamale tagamisele, kuritegevuse ennetamisele ja süüteomenetlustes tõendite kogumisele. ABIS aitab tõsta isiku tuvastamise ja isikusamasuse kontrollimise usaldusväärsust andes senisest veelgi paremal tasemel kindluse, et inimesel saab Eestis olla ainult üks identiteet1.
Inspektsioon juhtis tähelepanu2, et biomeetria on üldmääruse art 9 lõike 1 mõistes eriliigilised isikuandmed ning nende töötlemine on üldreeglina keelatud. Selliste andmete töötlemine on lubatud üksnes siis, kui andmete töötlemise õiguslik alus vastab üldmääruse art 9 lõikele 2 või õiguskaitse eesmärgil toimuva andmetöötluse korral IKS §-le 20. Mõlemal juhul on eelduseks, et õigusakt võimaldaks vastavat isikuandmete töötlust.
Oluline oli rõhutada, et biomeetriliste ehk siis eriliiki andmete alusel isikusamasuse tuvastamine ei saa muutuda reegliks ning nö tavameetodil isiku tuvastamine erandiks.
Kuivõrd eelnõuga ei muudeta mitte üksnes IDTS-i, vaid ka väga suurt hulka muid seadusi (14 erinevat seadust 3), siis viitas inspektsioon, et isikusamasus tuleb tuvastada ikkagi muudatusega hõlmatud juhtudel esmajärjekorras esitatud isikut tõendavas dokumendis oleva foto võrdlemisel isikuga. Kui sellest ei piisa, tuleks kasutusele võtta täiendavad meetmed. Kui asjaolusid arvestades on proportsionaalne ja vajalik kohe kasutada biomeetriat, siis selline andmetöötlus peaks olema erand ning erandit põhjendavad kaalutlused peavad tulenema seadusest või vähemalt selle seletuskirjast. Lisaks juhtis inspektsioon tähelepanu, et näiteks ID
TS-i § 116 lõige 1 näeb ette, et biomeetriliste andmete kogumine ja töötlemine toimub dokumendi taotleja nõusolekul. Sellises olukorras ei saa aga rääkida nõusolekust üldmääruse mõistes. Nimelt peab nõusolek olema antud vabatahtlikult, tagasivõetav ega tohi olla sõltuvuses vastusooritusest. Olukorras, kus isik taotleb isikut tõendavat dokumenti, millele kantakse ka biomeetrilised andmed ja ilma nendeta dokumenti luua ei ole võimalik, ei saa rääkida nõusoleku alusel andmetöötlusest. Seega eeldab selline olukord selget õiguslikku alust.
Veel ühe olulise aspektina tuli välja tuua, et eelnõu nägi ette sätted, millistel juhtudel on võimalik sisuliselt määratlemata juhtudel ning olukordades töödelda biomeetriat isiku tuvastamiseks (IDTS § 155 lõiked 6-8). Ka ABIS-e põhimääruse peatükis 5 kirjeldatakse, millistel juhtudel tehakse üks ühele (1:1) ning millal üks mitmele päring (1:n) ehk suurema osa ABIS-sse kantud andmete vastu. See omakorda tähendab, et ABIS-sse kantud andmeid kasutatakse ka muul eesmärgil, kui see, milleks need algselt kogutud on. Ent üldreeglina võib andmeid kasutada üksnes neil eesmärkidel, milleks need algselt on kogutud (üldmääruse art 5 lõige 1 punkt b). Inspektsioon juhtis tähelepanu ka veel sellele, et biomeetriliste andmete töötlemise võimaldamine teisesel eesmärgil lubamine ei tohi toimuda kergekäeliselt. Isikule, kelle andmeid töödeldakse, peab olema ettenähtav ja selge, et tema kohta kogutud andmeid võidakse kasutada ka muul eesmärgil ning millisel.
Ehkki eelnõu seletuskirja täiendati selles osas, jäädi selle juurde, et teisesel eesmärgil töötlemine on vajalik ning kooskõlas üldmäärusega. Seletuskirjas on selgitatud, et eelnõus on loodud õiguslikud alused andmete edasiseks töötlemiseks, mis on vajalikud avaliku korra ja julgeoleku tagamiseks ning hõlmavad loodava andmekogu üldise eesmärgi. Eelnõu näeb ette andmete töötlemise nende algsest kogumise eesmärgist erineval eesmärgil eelkõige isiku tuvastamisel ehk olukorras, kus avaliku võimu asutusele ei ole isiku identiteet teada. Võimalus kasutada vajadusel mõnes teises avalikus menetluses kogutud biomeetrilisi andmeid on isiku tuvastamisel väga oluline, sest selle käigus tuleb kindlaks teha isiku identiteet. Isiku tuvastamisel peab pädev asutus veenduma erinevate andmete ning vajadusel ka biomeetriliste andmete alusel ja põhjalike päringute tulemusel, et isik on see, kes ta väidab end olevat. Avaliku võimu asutustel on seadusest tulenev kohustus isik tuvastada ning õigus ja kohustus teha toiminguid üksnes õige isiku suhtes ning seetõttu peavad avaliku võimu teostajad olema veendunud, et isik on just see,
kellena ta esineb. Õigus võtta isiku tuvastamiseks ja isikusamasuse kontrollimiseks isikult biomeetrilisi andmeid ja neid töödelda on kehtivas õiguses sätestatud.
Inspektsioon nägi siin kõige suurema murekohana, et kas ja kui selge saab ikkagi olema regulatsioon inimeste jaoks. Ehk kas igale isikule on selgelt mõistetav ja arusaadav ning ka ettenähtav, et kui tema biomeetrilisi andmeid kasutatakse tema isiku üldiseks tuvastamiseks, siis neid võidakse tegelikult kasutada mingis muus olukorras ka teistel eesmärkidel.
1 Vt ka https://www.siseministeerium.ee/et/eesmark-tegevused/automaatse-biomeetrilise-isikutuvastuse-susteemi-andmekogu-ehk-abis
2 Tähelepanekud puudutavad inspektsioonile esitatud eelnõu versiooni mitte kevadel 2021. Riigikogu menetluses olevat
3 Vt ka https://www.riigikogu.ee/tegevus/eelnoud/eelnou/8bf5e47e-e45f-43c2-81896bb875bf51fc/Isikut%20t%C3%B5endavate%20dokumentide%20seaduse%20muutmise%20ja%20sellega%20seonduvalt%20teiste%20seaduste%20muutmise%20seadus
- Kommenteerimiseks logi sisse või registreeru