Sa oled siin

Küsimus-vastus

01.11.2019

Küsimus-vastus teabe avalikkuse teemal

Korduma kippuvad küsimused

Kas lepingud peaksid sisaldama punkti selle kohta, et leping ja/või selle lisad sisaldavad (või ei sisalda) teavet, mille avalikuks tulemine võib kahjustada ärisaladust?

Konkurentsiseaduse § 63 lõike 2 kohaselt määrab ettevõtja kindlaks ja märgib ära teabe, mida ta põhjendatult loeb oma ärisaladuseks. Seadus ei täpsusta, kas see kindlaks määramine peab toimuma lepingus. Mõistlik on eeldada, et kui leping sisaldab ärisaladust, siis on see ka lepingus fikseeritud, mis ei tähenda aga seda, et kui lepingu mingi osa sisaldab ärisaladust, siis ei võimaldata (ka teabenõude korras) kogu lepingule juurdepääsu.
 
Kas arvete registrikannetele ja dokumentidele laieneb avalikustamise kohustus? Kas lepinguga seotud arvete juurdepääsupiirangud tulenevad lepingust? 
Tulenevalt AvTS § 12 lõikest 2 raamatupidamisdokumente ei pea dokumendiregistrisse kandma. Seega ei pea ka dokumendiregistris arveid registreerima ega neid avalikustama. See kas lepinguga seotud arvete juurdepääsupiirangud tulenevad lepingust oleneb eelkõige lepingu sisust, mida on ärisaladuseks tunnistatud. Samas tuleb tähelepanu pöörata AvTS § 36 lõige 1 punktile 9, mille kohaselt ei saa tunnistada AK-s dokumente riigi, kohaliku omavalitsuse või avalik-õigusliku juriidilise isiku eelarvevahendite kasutamise ning eelarvest makstud tasude ja hüvitiste kohta. Seega üldist seisukohta anda ei ole võimalik ning igat juhtumit tuleb eraldi vaadata.
Kas see on karistatav, kui ma arvuti tagant lahkudes ei logi infosüsteemist välja ja keegi teine minu asemel infosüsteemis andmeid vaatab?
KarS § 157 ja 157 (1) kohaslt karistatkse rahatrahviga kuni 300 trahviühikut  kutse- või ametitegevuses teatavaks saanud isikuandmete ebaseadusliku avaldamise eest isiku poolt, kellel oli seadusest tulenev kohustus andmeid mitte avaldada ning delikaatsete isikuandmete ebaseadusliku avaldamise või neile ebaseadusliku juurdepääsu võimaldamise eest. Andmete avaldamise alla arvatakse ka infosüsteemile juurdepääsu võimaldamine.
Kas asutus võib teistele asutustele võimaldada juurdepääsu oma dokumendihaldussüsteemi sisevaatele?
Juurdepääsu võib võimaldada ainult sel juhul, kui teine asutus vajab dokumendihaldussüsteemis olevaid dokumente oma tööülesannete täitmiseks ning asutus peaks need muidu e-posti või DVK kaudu teisele asutusele edastama. Siiski võib sellisel juhul juurdepääsu võimaldada ainult juhul, kui selliste dokumentide jaoks on loodud eraldi sarjad. Siis võib juurdepääsu võimaldada ainult konkreetsele sarjale või võimalusel saadetakse üksikdokument töövoo kaudu. Kogu dokumendihaldussüsteemi sisevaatele juurdepääsu võimaldamine on lubamatu, kuna dokumendihaldussüsteemid sisaldavad ka hulgaliselt piiranguga teavet, mida ei ole lubatud edastada selleks õigust mitteomavatele isikutele. AvTS § 38 lg 3 kohaselt on piiranguga teabele juurdepääsuõigus riigi- või kohaliku omavalitsuse ametnikul oma ametiülesannete täitmiseks.
 
Kuna ükski seadus ei näe ette kohustust võimaldada asutusel oma dokumendihaldussüsteemi sisevaatele juurdepääsu teistele asutustele, siis ükski asutus seda teiselt nõuda  ka ei saa. Samuti vastutab iga asutus selle eest, et tema dokumendihaldussüsteemis olevat piiranguga teavet ei avalikustataks selleks õigust mitteomavatele kolmandatele isikutele.
Kas juurdepääsupiirang dokumendile välistab täiesti teabe saamise?
Kui ma küsin asutuselt teabenõude korras teavet, aga saan vastuseks, et dokumendile puudub ligipääs sellele seatud juurdepääsupiirangu tõttu, siis kas ma ei saagi teavet?
 
Kõigepealt tasub kahte asja meeles pidada. Esiteks, kõik avalike ülesannete täitmisega seotud dokumendid on oma olemuselt avalik teave. Teiseks, seadusandlus lubab teatavatele dokumentidele ning teabele kehtestada juurdepääsupiiranguid. Näiteks võivad avalike ülesannete käigus loodud või saadud dokumendid sisaldada teavet, mille avalikuks tulekul võib olla oluline riive kellegi eraelule.  
 
Esmajärjekorras tulenevad juurdepääsupiirangu alused avaliku teabe seadusest. Lisaks tuleb arvestada võimalusega, et juurdepääsupiirangud ning juurdepääsu korrad võivad tuleneda ka valdkondlikust eriseadusest või välislepingust – neis olukordades avaliku teabe seadust ei kohaldata. Näiteks reguleerib kriminaalmenetluse kestel menetlusteabe avalikustamist kriminaalmenetluse seadustik.
 
Teinekord võib olla ka nii, et ühele dokumendile on pandud kuni mitu juurdepääsupiirangu alust. Näiteks võib mõnda IT-lahendust kirjeldav dokument sisaldada nii ärisaladust kui teavet tehnoloogiliste lahenduste kohta – kõik need on eraldi juurdepääsupiirangu alused.
 
Teabenõude täitmisest ei saa asutus keelduda ainuüksi põhjusel, et küsitud dokument sisaldab muuhulgas juurdepääsupiiranguga teavet. Sel juhul tuleb dokument väljastada nii, et edastatakse ainult see osa teabest või dokumendist, millele piirangud ei laiene. Kui juurdepääsupiiranguga teave on näiteks põhidokumendi lisa(de)s, pole alust põhidokumendi väljastamiseks. Kui piiranguga on ainult osa dokumendist, siis kas kaetakse see osa kinni või eemaldatakse enne väljastamist juurdepääsupiiranguline teave.
 
Kui teabevaldaja ei ole põhjendanud, millised juurdepääsupiirangu alused soovitud teabele kehtivad, siis saab teabenõude esitaja seda üle küsida.
 
Kokkuvõtlikult võib öelda, et kui soovitud dokument sisaldab juurdepääsupiirangulist teavet, siis igaühel on õigus avaliku teabe seaduse alusel saada seda osa teabest või dokumendist, millele juurdepääsupiirangud ei kehti. Kui soovitud teavet ei väljastata, tuleb seda teabevaldajal põhjendada.

Juurdepääsupiirang

Mida peab asutus tegema, kui sissetuleval dokumendil ei ole piirangut, kuid see peaks olema?
 
Sellisel juhul võib teabe tunnistada asutusesiseseks kasutamiseks mõeldud teabeks ka asutus, kes dokumendi sai, kuid sellest tuleb teavitada ka dokumendi saatjat.
Kas AK märke võib teha kogu dokumendile, juhul kui dokument ise isikuandmeid, ärisaladust kahjustavat teavet vms ei sisalda, küll aga selle lisad?
Juhul, kui lisad on eraldi dokumendina, siis märgitakse juurdepääsupiirang ainult lisadele. Kui aga lisasid dokumendist lahutada ei saa, siis kehtestatakse juurdepääsupiirang kogu dokumendile ja seda dokumendiregistri kaudu ei avalikustata. Teabenõude esitamisel tuleb see väljastada osas, mis ei too kaasa juurdepääsupiiranguga teabe avalikustamise.
Kas hangete pakkumused on juurdepääsupiiranguga teave?
Riigihangete seaduse § 110 lõike 5 kohaselt on pakkumus konfidentsiaalne kuni eduka pakkumise selgumiseni. Pakkumuses sisalduvat teavet võib avalikustada üksnes eelnimetatud seaduses sätestatud juhtudel ja ulatuses.
Millised kohtudokumendid on juurdepääsupiiranguga? Kes peab kohtudokumentidele piirangu kehtestama?
AvTS § 35 lõige 1 punkt 1 kohaselt on kogu kriminaal- ja väärteomenetluses teave juurdepääsupiiranguga välja arvatud teave, mis avalikustatakse eelnimetatud seadustikes sätestatud tingimustel. Samuti võib teabevaldaja tunnistada AK-s tsiviilkohtumenetluses riigi, kui menetlusosalise, huvisid kahjustada võiva teabe kuni kohtulahendi tegemiseni. Kui üldjuhul peab teabe tunnistama asutusesiseseks kasutamiseks teabe looja, siis kui kohus ei ole seda märget teinud võib selle teha ka teabe saaja ning teavitada sellest teist poolt.
Millistele teenistussuhteid reguleerivatele käskkirjadele laieneb registrikannete ja dokumentide avalikustamise kohustus? 
Teenistussuhteid reguleerivad käskkirjad tuleb dokumendiregistris registreerida ja kui on tegemist digitaalse dokumendiga, siis tuleb neile võimaldada dokumendiregistri kaudu ka juurdepääs, kui käskkiri ei sisalda isiku eraelu kahjustada võivaid andmeid või muud piiranguga teavet.
 
Ametniku/teenistuja nime avalikustamine käskkirjas ei anna alust dokumendile piirangu kehtestamiseks. Juhul kui käskkiri sisaldab ka eraelu puudutavat teavet (näiteks puhkuse andmine lapsinvaliidi hooldamiseks vms), siis kehtestatakse dokumendile juurdepääsupiirang. Sellist dokumenti on võimalik küsida teabenõude korras ning sellisel juhul väljastatakse dokument ulatuses, mis piiranguga teavet ei sisalda.
 
Kui kauaks saab kehtestada juurdepääsupiirangu siseauditi aruannetele?
AvTS § 35 lõige 1 punkti 18 kohaselt on teabevaldajad kohustatud tunnistama asutusesiseseks kasutamiseks mõeldud teabeks siseauditi aruanded enne nende kinnitamist asutuse juhi poolt. Seega kehtib juurdepääsupiirang siseauditi aruannetele kuni lõpparuande valmimiseni ja kinnitamiseni mitte aga viis aastat. Juurdepääsupiirangu kehtimise seisukohalt ei oma tähtsust kes lõpparuande kinnitab - kas asutuse juht või auditi juht. Juurdepääsupiirangu seadmise seisukohalt omab tähtsust, kas tegemist on töödokumendiga (eelnõuga) või juba kinnitatud aruandega.
 
Ka juhul kui peale aruande koostatakse veel eraldi kokkuvõte ning asutuse sisekorra kohaselt kinnitatakse ainult kokkuvõte, kehtib juurdepääsupiirang ka põhidokumendile kuni kokkuvõtte kinnitamiseni.
 
Kust leiab juurdepääsupiirangute seadmise õiguslikud alused?
Dokumentidele juurdepääsupiirangu seadmise õiguslikud alused on kirjas avaliku teabe seaduse § -s 35. Teabe asutusesiseseks tunnistamise alused.

Dokumendiregister

Kas riikliku järelevalve käigus tehtud ettekirjutustele ja otsustele rakendatakse AvTS-i või väärteomenetluse seadustiku nõudeid? Kas nad peavad olema avalikustatud üksnes dokumendiregistri kaudu või ka veebilehel?

Kuna järelevalvemenetluse käigus tehtud otsuse puhul on tegemist haldusotsusega (näit vaideotsus, ettekirjutus), siis nende otsuste avalikustamisel rakendatakse AvTS-is sätestatud nõudeid, juhul, kui mingi valdkonna eriseadus ei näe avalikustamise osas ette erisusi. Väärteomenetluse seadustikus sätestatud nõudeid saab rakendada üksnes väärteomenetluse dokumentide kohta. Kui kohtu poolt väärteomenetluses tehtud otsuste avaldamine toimub analoogiliselt kriminaalmenetluses tehtud otsustega, siis kohtuvälises menetluses tehtud otsuste avalikustamine toimub samasugustel tingimustel nagu kriminaalmenetluses tehtud otsuste avalikustamine (KrMS § 4081 lg-d 2 ja 3), arvestades kohtuvälise menetluse erisusi. Kohtuvälises menetluses tehtud otsuse avaldamine ei tähenda aga otsuse avalikustamist internetis nagu on kohustuslik kohtuotsuste puhul. Avaldamine VTMS § 62 lg 2 puhul tähendab eelkõige võimalust ja luba vajalikus osas tehtud otsuse kohta andmete andmist massiteabevahenditele ning kolmandatele isikutele. Oluline on aga, et sealjuures ei avaldataks andmeid suuremas ulatuses, kui on ette nähtud KrMS § 4081 lg-s 2 ja 3 kohtuotsuste avalikustamise puhul.

Kuidas tagada, et avalduse ja märgukirja saatnud kodaniku nimi ei ole dokumendiregistri kaudu leitav avalikkusele, küll aga asutuse töötajatele?
Kuna dokumendiregistrisse võib vajadusel kanda palju rohkem andmeid, kui seda kuvatakse dokumendiregistri avalikus vaates, siis selleks, et kõik registrisse kantud andmed ei oleks avalikud on olemas vastavad IT lahendused.
Mis ajast alates peavad dokumendid olema dokumendiregistri kaudu kättesaadavad?
Alates 2009 aastast. Dokumente varasemast ajast peab väljastama teabenõude korras, kuid võib teha kättesaadavaks ka dokumendiregistri kaudu.

Teabenõue

Kelle poole saab teabenõudega pöörduda ja millist infot võib küsida?

Teabenõue on üks ametlik pöördumisvormidest olemasoleva dokumendi, näiteks käskkirja saamiseks. Teabenõudega saab pöörduda eelkõige riigi- ja kohalike omavalitsusasutuste ning nende hallatavate asutuste poole. Sellisteks asutusteks on näiteks ministeeriumid riigiametid, valla-ja linnavalitsused, ülikoolid, munitsipaalkoolid ning lasteaiad jms.

Kui teil on vaja olemasolevat dokumenti, siis teabenõudega pöördumise eeliseks on see, et vastajal tuleb anda vastus viie tööpäeva jooksul pärast teabenõude registreerimist. Juhul, kui soovitud teabe väljastamiseks kulub rohkem aega, peab vastaja sellest ikkagi viie tööpäeva jooksul teada andma.

Oluline jätta meelde
  1. Juhul, kui küsite sellist teavet, milleks tuleb läbi töötada erinevaid dokumente ja selle põhjal vastus kokku panna, siis see on juba selgitustaotlus, millele peab vastama 30 päeva jooksul.
  2. Juhul, kui küsite iseenda isikuandmeid, siis see pole see ei teabenõue ega selgitustaotlus, vaid hoopis pöördumine või taotlus iseenda andmete saamiseks ja sellele võite oodata vastust samuti 30 päeva jooksul. 
Teabenõudega saate küsida asutuses olemasolevaid dokumente, mis on saadud või loodud avalikke ülesandeid täites. Näiteks, asutuse käskkiri on juba loodud dokument, mida võib teabenõudega saada, kui sellele ei kehti avaliku teabe või eriseadusest tulenevat juurdepääsupiirangut. Tuues võrdluseks küsimuse, kui palju kulus raha teenuste finantseerimiseks erinevatest allikatest mingil kindlal perioodil, siis see võib olla juba selline teave, mis eeldab mitmest dokumendist andmete kogumist. Selle alusel koostatakse teie jaoks uus dokument ja see võtab juba kauem aega ning seda käsitletakse selgitustaotlusena, millele vastatakse 30 päeva jooksul.

Kas võib keelduda teabenõude korras suurte dokumendikogumite väljastamisest? 

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged. It was popularised in the 1960s with the release of Letraset sheets containing Lorem Ipsum passages, and more recently with desktop publishing software like Aldus PageMaker including versions of Lorem Ipsum.
Kui küsitavas teabes on isikuandmeid, mida siis teha? 
Teabevaldaja kui isikuandmete töötleja ei tohi väljastada teiste isikute isikuandmeid, kui see võib:
-          kahjustada teise isiku õigusi ja vabadusi;
-          ohustada lapse põlvnemise saladuse kaitset;
-          takistada kuriteo tõkestamist või kurjategija tabamist;
-          raskendada kriminaalmenetluses tõe väljaselgitamist.
 
Kui soovitud teave sisaldab isikuandmeid kui juurdepääsupiirangulist teavet, siis tuleb teabe väljastamisel see osa kinni katta. 
 

Juurdepääsetavus ja andmekaitsetingimused

Mis on andmekaitsetingimused ja miks neid on vaja?
Andmekaitsetingimused aitavad inimesel omada ülevaadet, mida tema andmetega tehakse ja andmetöötleja saab paremini kontrollida andmetöötluse protsesse.

Andmekaitsetingimused on oma sisult dokument, mis kirjeldab erinevatesse andmesubjektide kategooriasse kuuluvate isikuandmete töötlustoiminguid. Kui andmetöötlejal on kasutada näiteks klientide, patsientide, töötajate, veebikülastajate või muu liigituse alusel saadud isikuandmed, peab ta kokku koondama kõikide andmesubjektide kategooriad ning kirjeldama ära nendega tehtavad toimingud.

Ettevõtte või asutuse andmekaitsetingimuste dokumendi n-ö vundament peaks vastama vähemalt neljale „milline on“ küsimusele.
  1. Milline on andmete kogumise õiguslik alus?
  2. Milline on andmete elutsükkel ehk kui pikalt andmeid erinevates andmetöötlusprotsessides kasutatakse?
  3. Milline on teie roll erinevate andmete töötlemisel, kas olete vastutav, kaasvastutav või volitatud töötleja?
  4. Milline on inimese võimalus saada infot enda andmete kohta?

Olulised on ka vastused kolmele „kas“ küsimusele.

  1. Kas toimub andmete automaattöötlus?
  2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
  3. Kas on esitatud andmetöötleja enda kontaktandmed?

Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest ning sellest, kui palju see haarab töötlustoiminguid ja andmesubjektide gruppe. Oluline, et andmekaitsetingimused on sõnastatud lihtsalt ja inimesele arusaadavalt. Tingimused peavad olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad, nt võrgulehel.

Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see andmekaitsetingimustest. Läbipaistvus tähendab usaldusväärsust ja tänapäeva ühiskonnas võib seda põhjendatult pidada digivisiitkaardi osaks.

Läbipaistvuse põhimõttest ja andmekaitsetingimuste nõuetest Isikuandmete töötleja üldjuhendi peatükis 10

Kes peavad täitma juurdepääsetavuse nõudeid ja milline on tähtaeg?

WCAG 2.1 nõuded kehtivad avaliku sektori asutustele, allaasutustele, SA-dele, äriühingutele, kes osutavad esmatähtsaid teenuseid või avaliku sektori teenuseid erivajadustega inimestele. Lugege täpsemalt Veebilehetedele juurdepääsetavusest.

Vastavalt õigusaktile Euroopa Parlamendi ja nõukogu direktiiv 2016/2102 on kehtestatud kolm daatumi, kuna nõuded hakkavad kehtima: 

  1. Kui veebileht on esmakordselt avaldatud pärast 23.09.2018, siis tuleb veebileht juurdepääsetavaks muuta alates 23.09.2019
  2. Kui veebileht on esmakordselt avaldatud enne 23.09.2018, siis tuleb veebileht juurdepääsetavaks muuta alates 23.09.2020. 
  3. Mobiilirakendustele hakkavad nõuded kehtima alates 23.06.2021.

Andmekaitsespetsialist

Mis ajast ja kellele kehtib kohustus määrata andmekaitsespetsialist?
25. mail 2018. a jõustunud isikuandmete kaitse üldmäärus sisustas uue mõiste, milleks on andmekaitsespetsialist (ingl. k. DPO ehk Data Protection Officer). 
Määruse artikkel 37(1) sätestab, millised isikuandmete töötlejad peavad andmekaitsespetsialisti määrama. Nendeks on
  1. avaliku sektori asutus või organ,
  2. andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine,
  3. andmetöötlejad, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

Põhjalikum käsitlus andmekaitsespetsialisti määramise kohta "Kes peavad määrama andmekaitsespetsialisti? ja Isikuandmete töötleja üldjuhendi peatükis 3 Andmekaitsespetsialist