Mida arvad plaanitavatest teadus- ja ajaloouuringu isikuandmete töötlemise nõuete muudatustest?

Keda mõjutab?

• andmesubjektid

• teadusuuringu tegijaid

Millised on plaanitavad lahendused?

1. Kaitsemeetmed nõusolekuta isikuandmete töötlemisel (VTK lk 3-5 ja lisa 1)

• Isikuandmete kaitse seadus (edaspidi IKS) § 6 lg 1 kohaselt on üldine reegel, et nõusolekuta isikuandmete töötlemine teadus- ja ajaloouuringu ning riikliku statistika vajadusteks on lubatud eelkõige pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul andmetega. Andmete pseudonüümimise tingimusi aga kõnealuses sättes kindlaks määratud ei ole. Seega võiks näiteks inimese nime asendada numbriga ja väita, et tegemist on pseudonüümitud andmetega. Lisaks tekitab segadust IKS § 6 lg 2, mille kohaselt justkui võiks teadusuuringu jaoks saadud pseudonüümitud andmeid kasutada ka täiendavaks uuringuks üksnes juhul, kui nimeliselt on määratud, kellel on juurdepääs depseudonümiseerimist võimaldavatele andmetele. Tegelikult tuleks aga olukorras, kus on vaja teadusuuring läbi viia isiku tuvastamist võimaldavate andmetega, teha uus taotlus teadusuuringu läbiviimiseks, mille menetlemisel hinnatakse uuesti IKS § 6 tingimuste täitmist. Samuti on tekitanud segadust IKS § 6 üldine tõlgendamine, st millistel tingimustel võib pseudonüümitud kujul andmeid töödelda ning millistel tingimustel võib teadusuuringu läbiviimisel töödelda isiku tuvastamist võimaldavaid andmeid.
• VTK kohaselt soovitakse ette näha täpsemad tingimused, millele andmetöötlus peab vastama, et oleks täidetud isikuandmete kaitse üldmääruse (IKÜM) nõuded ning andmesubjekti õigused oleksid kaitstud. VTK-s on pakutud järgmises sõnastuses võimalik IKS §-i 6 täiendused:
  • Pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul võib isikuandmeid ja eriliiki isikuandmeid töödelda, kui on täidetud kõik järgmised tingimused: 
    1) enne isikuandmete üleandmist teadus- või ajaloouuringu või riikliku statistika vajadustel töötlemiseks isikuandmed pseudonüümitakse või kasutatakse muid asjakohaseid kaitsemeetmeid vastava päringu saanud andmekogus enne isikuandmete või eriliiki isikuandmete edastamist; 
    2) analüüsi ja uuringut tehes teostamisel ei või teha lisatoiminguid, mille tagajärjel saab isiku tuvastada; 
    3) analüüsi ja uuringu tulemus, sealhulgas tulemuse töötlemine ei võimalda tuvastada isikut, kelle isikuandmeid või eriliiki isikuandmeid töödeldi; 
    4) töödeldavate isikuandmete või eriliiki isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemääraselt andmesubjekti õigusi ega avaldata kahjulikku mõju andmesubjektile.
  • Andmesubjekti nõusolekuta tema kohta käivate andmete töötlemine andmesubjekti tuvastamist võimaldaval kujul on lubatud üksnes juhul, kui on täidetud kõik järgmised tingimused: 
    1) pärast tuvastamist võimaldavate andmete eemaldamist ei ole andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada; 
    2) teadus- või ajaloouuringu või riikliku statistika tegija hinnangul on selleks ülekaalukas avalik huvi; 
    3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi.

2. Täidesaatva riigivõimu asutuse tehtud analüüsid ja uuringud (VTK lk 5-8)

• Kehtiv seadus kitsendab ülemäära asutuste ringi, kellel on lubatud analüüse ja uuringuid teha. IKS § 6 lg-s 5 on sätestatud, et teadusuuringuks loetakse ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. Siinkohal on oluline, et välja on toodud kaks tingimust, mis peavad olema täidetud. Esmalt, et analüüse ja uuringuid teeb just täidesaatev riigivõim, ning teiseks, et uuringud ja analüüsid on vajalikud poliitika kujundamiseks. Selline regulatsioon tekitab õigusselgusetust. Lisaks ei ole otstarbekas asutuste uuringute tegemise õigust siduda üksnes poliitika kujundamisega. Asutustel on vajalik analüüse ja uuringuid teha ka muul otstarbel, nt teenuste arendamiseks jne. Lisaks kohalikel omavalitsustel ei ole üldse õiguslikku alust analüüside ja uuringute tegemiseks.
• VTK kohaselt on eesmärk luua ühtne arusaam, millised asutused võivad IKS § 6 alusel analüüse ja uuringuid teha. Muudatus tehakse õigusselguse huvides, sest ka kehtiva seaduse tõlgendamise kaudu on valitsusasutused ja nende hallatavad asutused saanud siiani uuringuid teha.
• VTK näeb antud olukorra lahendamiseks ette kolm võimalikku lahendust:
  • 1. variant – luua KOV-idele IKS-is eraldi õiguslik alus isikuandmete töötlemiseks analüüside ja uuringute teostamisel (VTK lisa 2 lahendus).
  • 2. variant – laiendada asutuste analüüside ja uuringu tegemise õigust (VTK lisa 3 lahendus) lisaks täidesaatva riigivõimu asutustele ka KOV-idele.
  • 3. variant – laiendada teadusuuringu tegemise õigust (VTK lisa 1 lahendus) KOV-idel
• Hetkel täidesaatva riigivõimu asutusel ei ole võimalik teha kiireid andmetel põhinevaid otsuseid, kuna hetkel kehtiv regulatsioon näeb ette aeganõudva menetlusprotsessi. Kui poliitika kujundamise uuringuks on vaja töödelda isikuandmeid, siis IKS § 6 lg 5 kohaselt on selle eelduseks Andmekaitse Inspektsiooni hinnangut IKS tingimuste täitmise kohta. Kui aga uuringu tarbeks on vajalik eriliiki isikuandmete töötlemine, siis tuleb läbida nö topeltkontroll – esmalt eetikakomitee hinnang, mille kohustus tuleneb IKS § 6 lõikest 4, ning sellele lisaks on vaja AKI hinnangut.
• VTK näeb võimaliku lahendusena luua asutustele analüüside ja uuringute läbiviimiseks selged ja täpsed normid, milliste tingimuste täitmisel on võimalik andmeid töödelda senisest kiiremini, tagades samas andmesubjektide õigused, sh vähendades riivet andmesubjekti põhiõigustele. Silmas tuleb pidada, et tingimused peavad olema piisavalt selged, et isikuandmete töötlemisel kasutatakse turvalisi, privaatsustehnoloogiatele tuginevaid tehnilisi lahendusi, mitte lihtsustatud pseudonüümimist. Võimaliku seadusemuudatuse ettepanek on toodud VTK lisas 3.
• Kehtivat regulatsiooni on aeg-ajalt tõlgendatud selliselt, et asutus, kes on mitme andmekogu vastutav töötleja, võib poliitika kujundamise uuringu eesmärgil oma erinevate andmekogude andmeid kokku panna (omavahel seostada). VTK näeb lahendusena sätestada seaduses selgelt, et kui mitme andmekogu vastutav töötleja on sama asutus, siis tuleb nende andmekogude andmete seostamisel analüüsi ja uuringu läbiviimiseks lähtuda IKS §-s 6 sätestatud tingimustest, ettepanek on toodud lisas 3

3. Tehnoloogiaarendus, sh tehisaru arendamine (VTK lk 8-9)

• IKÜM põhjenduspunkti 159 kohaselt tuleb teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid. Tehisaru arendamine on osa tehnoloogiaarendusest. Eelnevat arvesse võttes kohaldub ka tehisaru andmetöötlusele IKS § 6 juhul, kui tehisaru arendamisel soovitakse kasutada isikuandmeid. Loomulikult peab tehisaru arendamine toimuma esmajärjekorras anonüümitud andmetega. Arvestada tuleb kõikide IKÜM-is sätestatud andmetöötluse põhimõtetega, sh andmete minimaalsuse ja eesmärgipärasuse põhimõtetega. Tehisaru arendamisel tuleb hinnata, milliseid isikuandmeid on tarvis konkreetse eesmärgi saavutamiseks töödelda. Andmetöötlus peab toimuma selliselt, et oleks tagatud isikute põhiõiguste kaitse.
• VTK kohaselt teadusuuringu eesmärgil toimuvat isikuandmete töötlemist tuleb IKÜM-i kohaselt tõlgendada laialt nii, et see hõlmab ka tehnoloogiaarendust, mille alla kuulub ka tehisaru arendus. Seega tehisaru arendamisel toimuvale andmetöötlusele kohaldub IKS §-is 6 sätestatu. Täpsustus, et täidesaatva riigivõimu asutuse analüüsid ja uuringud sisaldavad endas ka tehnoloogiaarendust, on pakutud VTK lisa 3 kohases IKS § 6 sõnastuses ning eelnõu seletuskirja saab selle kohta lisada selgituse. Siinkohal ootame teie arvamust, kas näete vajadust tehnoloogia arendamise jaoks täiendava sätte loomiseks.

4. Eetikakomiteed ja Andmekaitse Inspektsiooni hinnang (VTK lk 9-12)

• Aastani 2019 kehtinud IKS-is oli sätestatud tingimus, et eetikakomitee peab olema asutatud seaduse alusel. Hetkel kehtivas IKS-is sellist tingimust ei ole. Seega võib hetkel kehtiva regulatsiooni kohaselt eetikakomitee luua igaüks, kes seda soovib. Samuti puudub läbipaistvus eetikakomitee töös, sh ei ole nõudeid, milliseid kompetentse peaks eetikakomitee omama jne. Silmas tuleb silmas pidada, et eetikakomitee peab IKS-i järgi andma hinnangu IKS § 6-i sätestatud tingimuste täitmisele ning seetõttu peab olema andmekaitse valdkonnas kompetentne.
• VTK näeb käesoleva probleemi lahendamiseks ette kaks eri võimalust:
  • 1. Variant – kõik teadusuuringud, sh asutuste analüüsid ja uuringud allutada teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse alusel loodava eetikakomitee pädevusse, kes hindab nii uuringu eetilisust kui ka andmekaitse aspekte. See tagab ühtsete põhimõtete rakendamise ja võimaldab valdkonda reguleerida paindlikult. Ühtne uks tagab selguse nii andmesubjektile kui teadusuuringu tegijale.
  • 2. Variant – nö tavalised teadusuuringu allutada TAIKS-i alusel loodava eetikakomitee pädevusse. Asutuste analüüside ja uuringute puhul jääb kehtima senine loogika, et IKS tingimuste täitmist kontrollib AKI. Praktikas on AKI vajaduse korral eetikakomitee hinnangut lisaks küsinud, aga täna seadus sellist võimalust ette ei näe. Seega tuleks selline võimalus seadusega lisaks ette näha. Lisaks ei oma AKI sellist kompetentsi ja peaks väikses riigis otsima sama kompetentsi, mis on eetikakomiteedes juba olemas.

5. Eri andmekogude andmete ühildamine (VTK lk 12-13)

• Teadusuuringu läbiviimiseks on sageli vaja ühildada mitme erineva andmekogu andmed. VTK kohaselt tuleb lahendada küsimus, kes riigi vaatest võiks lubada erinevate andmekogude andmeid kokku panna (seostada) ja võimalusel muuta enne teadusuuringu tegijale edastamist kujule, mis ei võimalda andmesubjekti tuvastada. Eriti terav on see küsimus haldusorganil, kelle haldusalas on kas palju andmeid (andmekogusid) või kelle haldusalas on nö väärtuslikud andmed (terviseandmed, maksuandmed vms). Reeglid on ähmased ja sama võimekust mitmes kohas üleval hoida (nt turvalist keskkonda hallata) ei ole ilmselt ressursisäästlik ega ka mõttekas
• Võimalik lahendus VTK kohaselt oleks luua õiguslik alus erinevate andmekogude andmete kokku panemiseks ning kehtestada nõue viia andmed enne riigi andmekogudes olevate andmete edastamist teadusuuringu läbiviijale tuvastamist mittevõimaldavale kujule. Võimalikud lahendused andmete kokkupanemisel võivad olla järgmised:
  • Andmed paneb kokku selle andmekogu vastutav töötleja, kelle andmekogust soovitakse saada kõige tundlikuma sisuga andmed. Siinkohal tuleb ka sisustada kriteeriumid, mille alusel andmete tundlikkust tuvastada.
  • Andmed paneb kokku üks seadusega kindlaks määratud asutus, kes omale selle ülesande saab.

6. Uuringud, milles kasutatakse erinevaid õiguslikke aluseid andmete töötlemiseks (VTK lk 13).

• IKS § 6 sätestab tingimused olukorraks, kus andmetöötlus toimub andmesubjekti nõusolekuta. Samas tuleb silmas pidada, et on palju uuringuid, milles osalejate valimi koostamiseks töödeldakse andmeid IKS § 6 alusel ning edasine andmetöötlus, sh küsimustikele vastamine toimub andmesubjekti nõusoleku alusel. Siinkohal on aga oluline, et juhul, kui uuring hõlmab erinevates etappides erinevaid andmetöötluse õiguslikke aluseid, on vaja kogu andmetöötlusprotsess eetikakomiteele ja AKI-le ja andmete väljastamise otsuse tegijale (andmekogu vastutavale töötlejale) ära kirjeldada. Võttes eelkõige arvesse küsimuste laadi ja soovitud saavutatavat eesmärki, peab olema võimalik hinnata kogu andmetöötlusprotsessi, mitte üksnes valimi moodustamist. Nt võib teatud juhtudel küsimustik, mis valimi alusel isikutele edastati, põhjustada vaimseid läbielamisi ning enne sellise kompleksse uuringu läbiviimist tuleks sellele anda ka hinnang eetilisest aspektist.
• VTK kohaselt on eesmärk luua selgus, et olukorras, kus uuring koosneb mitmest etapist ja osa andmetöötlusest toimub IKS § 6 alusel ja teine isiku nõusoleku alusel ning uuring vajab eetikakomitee ja/või AKI hinnangut, tuleb uuringu läbiviimise taotluses kirjeldada kogu andmetöötlusprotsess, et oleks võimalik anda hinnang uuringule kogumis. Kuna see on praktikas tekitanud vaidlusi ja norm võimaldab mitmeti tõlgendamist, palub ministeerium arvamust, kas võiks kaaluda normi täiendamist.

Millal jõustuvad muudatused?
Hetkel ei ole teada, millal plaanitavad muudatused jõustuvad.

Anna teada, mida arvad plaanitavatest muudatustest. Tagasisidet ootan hiljemalt 8. maiks e-posti aadressile ireen@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille saadan Justiits- ja digiministeeriumile.