2025. aasta oli tihe aasta nii siseriiklikus õigusloomes kui ka Euroopa Liidu omas. Andmekaitse Inspektsioon esitas oma arvamuse 98 siseriiklikule seaduseelnõule ja Euroopa Liidu õigusakti ettepanekule. 2024. aastal oli samaks näitajaks 65, seega on meie kaasamine õigusloomeprotsessi kasvavas trendis.
See tõdemus toob meid ka esimese tähelepaneku juurde. Kuigi inspektsioon on üha enam õigusloomesse kaasatud, kui loodav õigusakt puudutab isikuandmete töötlemist, ei ole kõik õigusloojad endale siiski veel inspektsiooni kaasamise vajadust teadvustanud ja ei ole harvad olukorrad, kus meieni- jõuab info menetluses oleva olulise isikuandmete töötlemist puudutava õigusakti kohta alles siis, kui see on juba Riigikogu laual või hoopiski vastu võetud. Kui tahame olla täpsed, peaksime muidugi pigem rääkima meie kaasamise kohustusest, mis tuleneb otse IKÜM-i artikli 36 lõikest 4: see ütleb, et liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.
Tervitatav on, et üha enam on hakatud meid kaasama ka enne seda, kui eelnõu ametlikule kooskõlastamisele saadetakse. Kui oleme algusest peale protsessis kaasas, aitab see meil paremini aru saada loodava normi eesmärgist ja sisust ning anda mõistlikus ajaraamis parimat tagasisidet. Oluline on seejuures märkida, et kui meid ka kaasatakse normide väljatöötamise protsessis eri aruteludesse, ei asenda see seda, et eelnõu saadetakse ametlikult arvamuse saamiseks, kui eelnõu kooskõlastusringile läheb. Meie jaoks on oluline näha paberile pandud lõpptulemust, et saaksime veenduda, kas arutelude käigus on üksteisest õigesti aru saadud ja kas tulem peegeldab meie ettepanekuid.
Minnes siit edasi sisuliste küsimuste juurde, on alljärgnevalt välja toodud mõned tähelepanekud, mis on meie lauale jõudnud eelnõude peamised murekohad.
Eesmärk. Igasuguse isikuandmete töötlemise puhul on alati kõige olulisem esimese asjana sõnastada, mis on töötlemise eesmärk ehk vajadus, mis isikuandmete töötlemise tingib. Ikka veel näeme aeg-ajalt sõnastusi – õnneks küll kahaneval hulgal –, kus andmete töötlemise eesmärk on piltlikult öeldes töödelda andmeid.
Eesmärgi sõnastamisel tuleb silmas pidada ka seda, et see peab olema piisavalt selgelt piiritletud ja selle sisu üheselt mõistetav. Vastasel juhul on raske hinnata, kas seaduses nimetatud andmete töötlemine on eesmärgiga kooskõlas ja kas päriselt ei ole eesmärk saavutatav ilma nende andmete töötlemata.
Andmekogude osas tahaks veel eraldi rõhutada, et norm peab andma vastuse küsimusele, millisel eesmärgil ja milliste ülesannete täitmiseks on vaja andmekogu asutada. Näiteks „avaliku korra kaitsmine“ andmekogus tehtava andmetöötluse eesmärgina on liiga lai, sest see ei anna vastust küsimusele, milliste ülesannete lihtsustamiseks on andmekogu vajalik.
Isikuandmete koosseis. Seaduses peab ammendavalt sätestama eesmärgi täitmiseks töödeldavate isikuandmete kategooriad, põhjendades seletuskirjas iga kategooria töötlemise vajadust. Andmekogude puhul ei pea seaduse tasandil üksikasjalikult loetlema kõiki isikuandmeid, kuid esitada tuleb isikuandmete kategooriad selliselt, et oleks võimalik aru saada, mis liiki andmeid kogutakse. Lisaks seadusele tuleb andmekogude puhul kehtestada ka põhimäärus ja see peab sisaldama andmekogusse kogutavate andmete täpset ammendavat loetelu. Näiteks ei saa põhimäärusesse kirja panna, et andmekogus sisalduvad „muud andmed“, vaid kirja tuleb panna nende muude andmete loetelu.
Volitusnorm. Selge on see, et kõiki detaile ei ole alati kas võimalik või mõistlik (või mõlemat) seaduse tasandil sätestada ning nähakse ette volitusnorm täpsemaks reguleerimiseks, näiteks ministri määrusega. Sageli eksitakse volitusnormi sõnastamisel sellega, et norm ei kata kõike, mida hiljem täpsustada soovitakse. Kui seaduse säte ei anna näiteks ministrile selgesõnalist volitust reguleerida isikuandmete säilitustähtaegu (olukorras, kus seaduses on määratletud maksimaalne tähtaeg), siis ei ole ka ministri määrusega võimalik tähtaegu sätestada (vt ka järgmine lõik). Seega tuleb kogu andmetöötluse protsess paralleelselt õigusloomega läbi mõelda ja kõik see, mida soovitakse reguleerida madalama taseme õigusaktiga, täpselt seaduse volitusnormi kirja panna.
Säilitustähtajad. Isikandmete säilitamine kindlalt määratud tähtajaga – sealjuures arvestades, et andmeid ei tohi töödelda (sh säilitada) pikemalt kui eesmärgi täimiseks vajalik – on üks IKÜM-i (artikkel 5) isikuandmete töötlemise aluspõhimõte. Kuna alati ei ole seaduse tasandil võimalik täpset säilitustähtaega määrata, võib seadusesse kirja panna maksimaalse tähtaja ning seda küsimust detailsemalt reguleerida näiteks ministri määrusega, eeldusel, et seaduses on olemas selge volitusnorm (vt ka eelmine lõik). Kui andmete kustutamine toimub perioodiliselt, tuleb ära kirjeldada, milline on kustutamise protsess ja see peab alati toimuma maksimaalse tähtaja sees. Andmete kustutamata jätmine pärast tähtaja saabumist tähendab andmete edasist töötlemist, kuid seda juba ilma õigusliku aluseta. Seega juhul, kui andmete kustutamine toimub kindlaksmääratud perioodi jooksul (nt üks kord kuus või aastas), siis tuleb ka kustutamise tähtaega eraldi reguleerida.
Andmekogude osas tasub välja tuua veel paar täiendavat mõtet nende spetsiifikast tulenevalt.
1 Esiteks, kuna AvTS keelab samade andmete kogumise eri andmekogude põhiandmetena, tuleb välja tuua, mis on selle andmekogu unikaalsed põhiandmed ja millised andmed on saadud teistest andmekogudest. Sealjuures on oluline mainida, et kui samu andmeid kogutakse juba teise andmekogusse, tuleb need võtta sealt, mitte hakata looma nende kogumiseks uut paralleelset andmekogu. See omakorda tähendab, et põhimääruses tuleb selgelt ära reguleerida, millistest teistest andmekogudest (andmeandjad) milliseid andmeid saadakse (andmekoosseis).
2 Teiseks, andmekogu põhimääruses peab kindlasti kirjas olema see, milline asutus millist rolli seoses andmekogu pidamisega täidab ning millised on tema rolliga seotud ülesanded. See tähendab, et tuleb kirjeldada, milliseid ülesandeid täidab andmekogu vastutav töötleja ja milliseid volitatud töötleja, kui ta on määratud (näiteks kes haldab kasutajaõigusi, kes vastab päringutele, kes arendab andmekogu jne). Siinjuures tuleb aga eristada IKÜM-ist tulenevat isikuandmete vastutava töötleja rolli ja AvTS-ist tulenevat vastutava töötleja ehk andmekogu haldaja rolli. Kui andmekogu kaudu täidavad seadusest tulenevat ülesannet mitu asutust, siis võib tegemist olla isikuandmete kaasvastutavate töötlejatega ning sellisel juhul tuleb isikuandmete kaasvastutavad töötlejad juba seaduse tasandil kindlaks määrata. Andmekogu põhimääruses tuleb sätestada, milliseid IKÜM-ist tulenevaid kohustusi milline kaasvastutav töötleja täidab. See on muu hulgas oluline nende ülesannete osas, mis puudutavad andmesubjektide õigusi ja nende teostamist (näiteks kes vastab IKÜM-i artiklis 15 kirjeldatud juurdepääsutaotlustele, kes teavitab vajadusel andmesubjekte andmelekkest jms).
3 Kolmandaks on meile silma jäänud, et tihti ei käi andmekogu arendamine käsikäes õigusloomega. Näiteks on 2025. aastast välja tuua juhtum, kus andmekogu varasemalt kehtivad sätted tühistati seoses uue andmekogu arendamisega, mis ei saanud aga tähtaegselt valmis. Kuna uut põhimäärust vastu ei võetud, toimus andmetöötlus edasi, sh andmevahetus teiste osapooltega, kuid mingil perioodil puudusid reeglid, kuidas ja millistel tingimustel andmevahetus toimub.
4 Neljandaks on täiesti omaette küsimus kõikide nende andmekogudega, mille põhimäärused on tehtud nii ammu, et need baseeruvad veel kunagi kehtinud andmekogude seadusel. Need põhimäärused ei ole tihti kooskõlas tänaste nõuetega, mis põhimäärustele ette on nähtud ja tuleks tegelikult andmekogu haldajatel uuendada.
Lõpetuseks toome välja veel üks markantse näite, kus just ühe sellise andmekoguga seotud muudatused jõudsid meie lauale, aga üllatuslikult ei olnud eelnõuga esialgu plaanis põhimääruses vananenud ja andmetöötluse tegelikkusele mittevastavaid sätteid muuta.
- Kommenteerimiseks logi sisse või registreeru