Juridica

Siinse artikli autor mäletab hästi oma esimese passi taotlemist 1990-ndate alguses. Selleks tuli kõigepealt minna majavalitsusse ja saada sealt tõend elukoha kohta, seejärel minna Statistikaametisse ja saada sealt endale isikukood, edasi käia fotograafi juures ning maksta pangas kohapeal riigilõiv ja saada selle kohta dokument. Lõpuks tuli minna järgmisse asutusse, kus oli võimalik täita taotlus ja anda kõik need dokumendid menetlusse passi saamiseks. Kolmkümmend aastat hiljem oleme harjunud vaid paari hiireklõpsuga maksusid deklareerima, juhiluba pikendama ja muid dokumente taotlema. Eeldame, et riigil on kõik vajalikud andmed olemas ning oleme nördinud, kui see nii ei ole. Näiteks pahandas üks ema ajakirjanduses: „Peale selle ei suuda meie kuulus e-riik kaitseväele infot edastada ja ma pean minema tõestama, et mu poeg ei oska rääkida ja on ettearvamatu käitumisega […]”. ^*1 Teine inimene sai nn koroonakriisi ajal riigilt e-kirja, mis oli nii eesti, vene kui ka inglise keeles. „Ma võin ju „hea Eesti inimene“ olla, aga kindlasti ei soovi ma olla riigiga suhtluses dorogoi või dear. Seejuures: miks lihtsalt hea, aga mitte kallis, nagu võõrkeeltes? […] Kas tõesti kõikvõimas e-riik ei tea, et olen eestikeelne?“ ^*2

On selge, et andmete ühekordse küsimise põhimõte, mille kohaselt küsib riik inimeselt andmeid vaid kord ja võimaldab neid vajaduse korral edaspidi kasutada ka teistel haldusorganitel, vähendab bürokraatiat ja asjaajamisele kuluvat aega ning aitab säästa inimeste ja ettevõtjate raha. E-riigi ülesehitamisel on aga seni põhjalikuma tähelepanu alt välja jäänud tõsiasi, et kui on tegemist isikuandmetega, siis tähendab ühel ametkonnal olemasolevate isikuandmete edastamine või neile juurdepääsu võimaldamine teisele ametkonnale isikuandmete töötlemist algsest eesmärgist erineval eesmärgil. Eesmärgi piirangu põhimõtet ^*3, mille kohaselt tuleb isikuandmeid koguda täpselt ja selgelt piiritletud ning õiguspärastel eesmärkidel ning neid ei tohi hiljem töödelda viisil, mis on nende eesmärkidega vastuolus, peetakse andmekaitseõiguse üheks nurgakiviks ^*4. Eesmärgi piirangu põhimõte aitab ennetada olukorda, kus vastutav töötleja kasutab andmeid mingitel muudel eesmärkidel kui see, milleks neid esialgu koguti. Andmete kasutamise raadius on seega (haldusülesannete puhul seadusandja poolt) piiratud. Eesmärgi piirangu mõte ja eesmärk on aidata tagada inimesele andmetöötluse läbipaistvust, aga ka põhiõigust informatsioonilisele enesemääramisele ning inimväärikust laiemalt, et inimene teaks, kes, millal, millist informatsiooni ja millistel asjaoludel tema kohta saab ja mida ta sellega teeb.

Oma andmete üle kontrolli kadumise pärast ei ole eriti põhjust muretseda siis, kui inimene ise taotleb haldusorganilt mingit luba või toimingut, juhul kui vastava loa või toetuse andmise täpsemaid tingimusi reguleerib seadus ning e-iseteeninduskeskkonnas on ülevaade taotlusest ja tõenditest olemas. E-riigi järgmise tiigrihüppega soovitakse meid aga kanda proaktiivsete ja sündmusteenuste ajastusse, kus riigi infopoliitiline eesmärk on tagada seal, kus vähegi võimalik, riigi teenused isikule nähtamatult. ^*5 Räägitakse ka personaalsest riigist, kus andmed annavad võimaluse ennetada inimeste pöördumisi. ^*6 Haldusmenetluse keeli ei alustata haldusmenetlust sel juhul mitte taotluse alusel, vaid haldusorgani initsiatiivil, kasutades lihtsamat algoritmi, mis kontrollib üksnes mõne fakti olemasolu (näiteks automaatne perehüvitis) ^*7, või keerulisemat algoritmi, mis võiks näiteks selekteerida isikud, kellele peaks pakkuma nõustamist prognoositava tulevase töötuks jäämise tõttu. ^*8 Maksupettuste tuvastamise riskiinstrumendid tuvastavad võimalikke maksudest kõrvalehiilijaid ^*9, politsei andmeanalüütika sõelub välja võimalikud riskipered ja -aadressid ^*10, satelliidifotod aitavad leida pindalatoetuse saajaid, kes on jätnud tähtajaks heina niitmata ^*11. Tundub olevat vaid aja küsimus, millal igal haldusorganil on oma algoritmiline abimees võimalikke korrarikkujaid või proaktiivsete teenuste vajajaid tuvastamas. Aga ka need on näited, mil ühel eesmärgil kogutud isikuandmeid kasutatakse teistel eesmärkidel.

Eestis on päris palju tähelepanu pööratud sellele, et andmekogu loomise eesmärk oleks seaduses konkreetselt kindlaks määratud; see tuleneb ka määrusandlusvolitusele esitatavatest nõuetest. 2005. aastal rõhutas toonane õiguskantsler Allar Jõks, et „ulatuslikud andmekogud ning moodsad infotöötlemise vahendid muudavad ametnike ja poliitikute töö märksa hõlpsamaks. Seejuures ei teadvustata aga kahjuks, et isikuandmete töötlemisega riivatakse inimeste põhiõigusi, milleks on meie põhiseadusest tulenevalt vaja seadusandjalt väga selgeid volitusi“. ^*12 Õiguskantsler tõi esile seadusandja ülesande määrata andmekogusse kogutavate andmete eesmärgid ja raamid, täidesaatev võim ei tohi hakata ise oma äranägemisel sinna eesmärke lisama. ^*13

Artiklis analüüsitakse, kas ja millise põhiõiguse kaitsealas on andmete eesmärki muutev töötlemine, kui isikuandmed väljastatakse (või võimaldatakse otsejuurdepääs) teisele haldusorganile ülesannete täitmiseks, ning kuidas on see riive väljendunud senises õigusloomes seadusereservatsiooni põhimõtet lähtekohaks võttes.

II. Isikuandmete ristkasutus kui põhiõiguste riive

A. Põhiseaduse § 26 või § 19 – kaitseala määratlemine isikuandmete kaitse kontekstis

Kui avalik võim talletab isikuandmed andmekogus, ei ole ühest vastust küsimusele, millist põhiõigust riivab isikuandmete kogumine. PS § 26 tagab põhiõigusliku kaitse eraelu puutumatusele, PS § 19 vabale eneseteostusele, sh informatsioonilisele enesemääramisele. Põhiõiguse eraelu puutumatusele ja põhiõiguse vabale eneseteostusele piiriklauslid on erinevad. PS § 19 lg 1 on lihtsa piiriklausli ehk seadusereservatsiooniga, PS § 26 aga kvalifitseeritud piiriklausliga põhiõigus – seetõttu ei ole asjakohase põhiõiguse määratlemine mitte ainult intellektuaalselt huvitav, vaid ka praktilise tähendusega küsimus. Eesti Vabariigi põhiseaduse kommentaaride esimeses, 2002. aasta väljaandes määratles Madis Ernits õigust informatsioonilisele enesemääramisele kui PS § 19 lg-st 1 tuleneva vaba eneseteostuse üht aspekti. Informatsioonilise enesemääramise õigust sisustati eeskätt kui igaühe õigust ise otsustada, kas ja kui palju tema kohta andmeid kogutakse ja salvestatakse. ^*14 2001. aastal ilmunud Juridica eriväljaandes põhiõigustest Eesti põhiseaduses oli Robert Alexy soovitanud tuletada PS § 19 lg-s 1 sisalduvast enesemääramise õigusest üleüldise õiguse informatsioonilisele enesemääramisele, kuivõrd PS §-d 26 ja 42 hõlmavad ainult osa selle õiguse tahkudest. ^*15

Samas, kommentaaride 2002. aasta väljaandes oli aga inimese põhiõiguslik kaitse tema andmete töötlemisega seotud ohtude eest paigutatud ka PS § 26 kaitsealasse, võttes seejuures arvesse Euroopa Inimõiguste Kohtu (EIK) praktikat Euroopa inimõiguste konventsiooni (EIÕK) kohaldamisel. EIK on lähtunud eraelu mõiste avarast tõlgendusest, mille kohaselt eraelu mõiste ammendava definitsiooni andmine ei ole võimalik. ^*16 Eraelu ei piirdu EIK praktika järgi üksnes isiku sisemise sfääriga, vaid see hõlmab ka õiguse luua ja arendada suhteid teiste inimeste ja välismaailmaga, eeskätt omaenda isiksuse arendamiseks ^*17, aga eraeluks on vajalikud ka ärilised suhted. ^*18 Eraelu kaitsealas on seetõttu ka avaliku võimu poolt isiku kohta käiva informatsiooni kogumine ja talletamine. ^*19 Sel põhjusel leidis Uno Lõhmus 2002. aasta kommentaaris PS § 26 kohta, et eraelu puutumatust ohustavad järelikult ka isikuandmete kogumine, säilitamine ja juurdepääsu võimaldamine kolmandatele isikutele, nähes seejuures samuti erilist kaitsevajadust just moodsast infotehnoloogiast lähtuvate ohtude eest: „See oht on tehnoloogia arenguga kasvanud, sest moodne tehnoloogia võimaldab valida, võrrelda ja risttöödelda lühikese aja jooksul tohutut hulka andmeid ning luua isikust täieliku pildi.“ ^*20

2017. aasta kommentaarides on Katri Jaanimägi ja Liiri Oja asetanud põhiõiguse informatsioonilisele enesemääramisele PS § 26 kaitsealasse. ^*21 Samas väljaandes tõdes Madis Ernits seoses PS §-de 26 ja 19 kaitsealade piiritlemisega, et kas ja kuivõrd kaitseb PS § 19 lg 1 esemeline kaitseala lisaks õiguslikule vabadusele ka isiku integriteeti, s.t kitsamat isikusfääri ja selle säilimise õiguslikke põhitingimusi, sõltub sellest, kuidas tõlgendada PS § 26 ja piiritleda terminit „eraelu“. Ernits selgitas, et üks võimalus on lähtuda EIK poolt EIÕK art-le 8 antud eraelu väga ulatuslikust tõlgendusest, millega muutuks PS § 26 kaitseala oma ulatuse tõttu sisuliselt konkureerivaks üldiseks vabaduspõhiõiguseks. Teine võimalus on tõlgendada eraelu semantilisest argumendist lähtuvalt kitsalt isiku erasfääri kaitsegarantiina, mis hõlmab nt päevikumärkmed, kirjavahetuse, kehasfääri. Kuldne kesktee võiks Ernitsa hinnangul peituda lahenduses, mille kohaselt püütakse isiku integriteedi kaitse aspekte paigutada esmalt PS § 26 kaitse alla, lähtudes seejuures eraelu kaitse avarast kontseptsioonist. Kui see ei õnnestu, tuleks pöörduda üldise vabaduspõhiõiguse (PS § 19 lg 1) juurde. Arvestades Riigikohtu avarat kontseptsiooni toetavat seisukohta, mille kohaselt esemeliselt kaitseb PS § 26 kõiki eraelu valdkondi, mis ei ole kaitstud eriõigustega ^*22, võib Ernitsa hinnangul süstemaatilise selguse huvides eelistada kolmandat teed ^*23.

Madis Ernitsa arvamusega haakuvad Katri Jaanimägi ja Liiri Oja Eesti Vabariigi põhiseaduse 2020. aasta kommenteeritud väljaandes. Nad leiavad, et põhjendatud oleks sisustada PS § 26 pigem avara kaitsealaga eraelu garantiina, mis hõlmab ka seni PS § 19 lg-st 1 tuletatud isiksuspõhiõiguse kaitsevaldkonnad (eelkõige enesemääramis- ja enesekujutamisõigus). ^*24 „Sellise tõlgenduse puhul kaitseks PS § 26 ulatuslikult kogu isiku integriteeti, tema füüsilist ja vaimset puutumatust, PS § 19 lg 1 oleks aga üldine vabaduspõhiõigus. Selliselt mõistetuna on PS § 26 inimväärikuse põhimõtte (PS § 10) elementaarsem väljendus ja esimene tagatis.“ ^*25

Riigikohtu praktikas on isikuandmete töötlemine asetatud üldjuhul eraelu puutumatuse kaitsealasse, nimetamata informatsioonilise enesemääramisõiguse aspekti. ^*26 Riigikohtu hinnangul võib isikuandmete töötlemine, sh nende kättesaadavaks tegemine kolmandatele isikutele, riivata PS §-s 26 sätestatud igaühe õigust perekonna- ja eraelu puutumatusele ning ahendab isiku privaatsfääri tervikuna. ^*27 Riigikohus on küll nimetanud põhiõigust informatsioonilisele enesemääramisele, kuid ei ole teinud katset seda põhjalikumalt sisustada. Riigikohtu põhiseaduslikkuse järelevalve kolleegium mainis juba 1994. aastal nn operatiivtehniliste erimeetmete asjas põhiõigust informatsioonilisele enesemääramisele: „Põhjaliku seadusandliku regulatsiooni puudumine ja varjatus jätab aga isiku ilma õigusest informatsioonilisele enesemääratlusele, valida käitumisjoont ja end kaitsta.“ ^*28 1997. aastal nimetas Riigikohus informatsioonilise enesemääramise õigust inimväärikuse alla kuuluvaks põhimõtteks. ^*29 Riigikohus on põhiõigust informatsioonilisele enesemääramisele maininud veel vaid üksikutel juhtudel. Nii leidis Riigikohtu kriminaalkolleegium riikliku järelevalve käigus tehtud kontrollostule hinnangut andes lakooniliselt, et kontrollostu tehes sekkub täitevvõim „samuti õigusesse informatsioonilisele enesemääramisele (PS § 19)“. ^*30 Riigikohtu halduskolleegium seevastu ei nimetanud konkreetset põhiseaduse sätet, kui leidis, et haldusmenetluses menetlusväliselt isikult menetlusosalise isikuandmeid sisaldava dokumendi nõudmine riivab menetlusosalise „informatsioonilist enesemääramisõigust sõltumata registreerimismenetluse lõpptulemusest, muu hulgas põhjusel, et kaebajal puudub võimalus otsustada haldusorganile esitatavate andmete sisu üle“. ^*31 Riigikohtu tsiviilkolleegium on seevastu viidanud informatsioonilisele enesemääramisõigusele PS § 26 kaitseala kontekstis. ^*32

Ka õiguskantsler on proovinud piiritleda PS §-de 26 ja 19 kaitseala. Õiguskantsleri varasemas praktikas on leitud, et näiteks endiste KGB-laste töökohtade avalikustamine riivas nii PS §-st 19 tulenevat informatsioonilise enesemääramise õigust kui ka PS §-st 26 tulenevat eraelu puutumatust. Informatsioonilist enesemääramisõigust selgitas õiguskantsler igaühe õigusena otsustada, kas ja kui palju tema kohta andmeid kogutakse ja salvestatakse, märkides, et see hõlmab ka õigust enda kohta käivat informatsiooni vabalt kasutada ning eeldada, et riik ei piiraks seda õigust, võttes isikult otsustusõiguse enda andmete kasutamise kohta. ^*33 2005. aastal analüüsis õiguskantsler väga põhjalikult riigi eri andmekogudes toimuvat andmetöötlust ning leidis, et isikuandmete töötlemise kaudu riivatakse enamasti isiku õigust eraelu puutumatusele, mis on igaühele tagatud PS §-s 26, ent asjassepuutuvaks võib osutuda ka PS §-s 19 sätestatud üldine vabadusõigus, millest on tuletatav isiku õigus informatsioonilisele enesemääramisele. ^*34

Õiguskantsler on möönnud võimalust, et kõik isikuandmete töötlemise juhud ei ole PS § 26 kaitsealas. Sellisel juhul kuuluvad isikuandmete töötlemise juhud, mis jäävad eraelu kaitsealast väljapoole, PS §-st 19 tuleneva informatsioonilise enesemääramisõiguse alla. Kuigi üldjuhul kaitseb isikuid liigse andmetöötluse eest PS §-st 26 tulenev põhiõigus eraelu puutumatusele, tuleb PS § 19 lg 1 alusel isikut väliste negatiivsete mõjutuste eest kaitsta ka juhtudel, mis jäävad eraelu kaitseala sfäärist välja. Hinnates näiteks isikuandmete töötlemist statsionaarse automaatse kiirusmõõtesüsteemi andmekogus, märkis õiguskantsler 2013. aastal: „Otsustus, kas isikuandmeid kaitsta PS § 26 või § 19 lg 1 alusel, tuleb vajadusel teha konkreetse üksikjuhtumi asjaolusid silmas pidades. Kui pelgalt kiiruse ületamise fakti võib paigutada PS § 19 lg 1 kaitsealasse, siis näiteks sõidukis viibijate koosseis ja sõidu sihtkoht kujutavad pigem eraelu riivet. Seega kokkuvõttes, kui isikuandmete töötlemine ei lange PS § 26 kaitsealasse, tulenevad piirangud andmetöötlusele informatsioonilise enesemääramise õigusest PS § 19 lg 1 alusel.“ ^*35

Ametis olev õiguskantsler on isikuandmete töötlemise paigutanud (ilma informatsioonilist enesemääramisõigust nimetamata) PS § 26 kaitsealasse, mille lahutamatuks osaks peab ta õigust isikuandmete kaitsele. ^*36

Vahekokkuvõttena märkigem, et kuigi eelneva põhjal võib järeldada, et isikuandmete töötlemine riivab eraelu puutumatust, ei ole kohtupraktikas ühe või teise põhiõiguse olemust isikuandmete kogumise ja töötlemise kontekstis väga põhjalikult lahti mõtestatud.

B. Eraelu puutumatuse ja informatsioonilise enesemääramisõiguse sügavam olemus

Küsimust, kumma õiguse alla paigutada kaitse isikuandmete töötlemisega kaasneva riive eest, Euroopa Inimõiguste Kohtus ei teki, kuivõrd Euroopa inimõiguste konventsioonis puudub konkureeriv inimõigus. Saksa Liidukonstitutsioonikohus kujundas põhiõiguse informatsioonilisele enesemääramisele 1983. aastal tuntud rahvaloendusotsuses (Volkszählungsurteil), pidades seejuures silmas esmajoones isiku õigust ise otsustada tema kohta käivate andmete kasutuse ja selle ulatuse üle. Saksa põhiseaduses ei ole eraldi põhiõigust eraelu puutumatusele. Nelikümmend aastat tagasi selgitas liidukonstitutsioonikohus, et isiku selline õigus vajab eraldi kaitset, sest riigiasutused ei tugine otsustusprotsessides enam käsitsi kogutud dokumentidele ja toimikutele, vaid elektrooniline andmetöötlus võimaldab otseselt või kaudselt tuvastatava isiku isiklike või muude faktiliste asjaolude detailseid andmeid tehniliselt piiramatus koguses salvestada ja iga ajal, distantsist hoolimata, neid andmeid kasutada. Lõimitud infosüsteemide ja teiste andmekogude ristkasutamise tulemusel on võimalik suuremas või väiksemas ulatuses profileerida inimeste isiksusi, ilma et kõnealune isik saaks andmete õigsust ja nende edasist kasutamist piisaval määral kontrollida. Inimene, kes enam ei tea, milliseid tema andmeid salvestatakse ja milleks neid (veel) kasutatakse, võib hakata oma vabadusi ise piirama, proovides mitte üldisest normist erineva käitumisega silma paista ning loobuda näiteks arvamus- ja meeleavaldusvabadusest. See ei kahjusta mitte üksnes üksikisikute individuaalset kujunemisvabadust, vaid võib ohustada isegi vaba demokraatlikku ühiskonda, mis põhineb fundamentaalselt just kodanike enesemääramise vabadusel. ^*37

Nii inimväärikusest kui ka üldisest isiksusõigusest tuletatud põhiõigust informatsioonilisele enesemääramisele võib Saksa Liidukonstitutsioonikohtu hinnangul piirata, kui selleks on seaduslik alus, milles on piirangu eeldused ja ulatus sätestatud õigusselguse põhimõtet arvestades. Silmas tuleb pidada ka proportsionaalsuse põhimõtet. Lisaks tuleb just automatiseeritud andmetöötluse puhul seada senisest enam organisatoorseid ja menetluslikke kaitsemeetmeid, mis aitaksid tasakaalustada selle põhiõiguse rikkumise ohtu. ^*38 Eri andmekogude ristkasutusest tulenevat inimese enda kontrolli kaotust oma andmete üle tasakaalustas kohus eesmärgi piirangu põhimõtte rõhutamisega, mille kohaselt tohib avalik võim isikuandmeid koguda ainult kindlal eesmärgil ega tohi koguda andmeid igaks juhuks – eelnevalt määratlemata eesmärkidel. ^*39 Moodsa andmetöötlusega kaasnevat eri andmekogude ristkasutust silmas pidades on liidukonstitutsioonikohtu hinnangul vajalik ka põhiõiguslik kaitse eesmärgist irduva töötlemise vastu, mis paneb seadusandjale kohustuse kindlaks määrata andmetöötluse eesmärgid. ^*40 Põhiõigus informatsioonilisele enesemääramisele peab seega kaitsma üksikisikuid moodsa andmetöötluse tingimustes nii isikuandmete kogumise, salvestamise ja kasutamise kui ka nende andmete edastamise ning juurdepääsu võimaldamise eest. ^*41

Saksa Liidukonstitutsioonikohtu 1983. aasta otsus ei sündinud ainuüksi natsi-Saksamaal toime pandud massilise inimõiguste rikkumiste ja holokausti õppetundidest. ^*42 Juba varem, 1960-ndatel oli USA-s saanud alguse tõsisem diskussioon privaatsuse üle, ^*43 milles osalesid ka sotsiaalteadlased ja ühiskond tervikuna. Teise maailmasõja järgne ühiskond oli oluliselt muutunud seoses tööstuse arengu ja linnastumisega, aga ka tarbimisühiskonna tekkimisega. Tarbimisühiskonda peeti samuti ohuks privaatsusele, kuivõrd uute toodete turustamiseks on vaja koguda tarbijate kohta võimalikult palju teavet. ^*44 USA ettevõtetes üha rohkem levinud arvutid võimaldasid andmeid kiiresti töödelda, mistõttu nähti arvutitehnoloogia arengus uut ohtu privaatsusele – inimesed võivat muutuda pelgalt objektiks, mis on kaitseta kõigi erasektori ja avaliku võimu infohuvide eest; lisaks võimaldavad arvutid isikuandmeid koondada, siduda ja kasutada teistes kontekstides. ^*45

1960-ndatel, infoühiskonna arengu algusjärgus privaatsuse mõistet selgitada püüdnud kirjamehed võtsid lähtekohaks Samuel Warreni ja Louis Brandeisi 1890. aastal avaldatud artikli ^*46, milles esimest korda põhjendati privaatsuse õigusliku kaitse vajadust ^*47. Warreni ja Brandeisi sõnul peaks igal inimesel olema õigus otsustada, kui suurel määral tema mõtteid, tundeid ja meeleseisundit teistele edastatakse. ^*48 See üks enim tsiteeritud õigusteaduslikke artikleid sündis samuti ajendatuna tehnoloogia (fotokaamerate ja trükipressi) kiirest arengust ning selle mõjust ühiskonnale. ^*49 Warreni ja Brandeisi privaatsuse käsitlust proovis edasi arendada William Prosser, kes ei pidanud privaatsust väärtuseks omaette, vaid keskendus privaatsusele tsiviilõigusliku deliktiõiguse mõttes. ^*50 Prosseriga ei nõustunud Edward Jerome Bloustein, kes rõhutas, et Warreni ja Brandeisi artiklist tuleneb eeskätt püüe kaitsta isiksuse puutumatust, mille määratlemisel tuleks tema hinnangul lähtuda indiviidi iseseisvusest, väärikusest ja terviklikkusest – need omadused määratlevad inimese kui ainulaadse ja ennast määratleva olendi. ^*51 Kõige mõjukamaks autoriks kujunes Alan Westin, kes sõnastas mitmel pool maailmas kanda kinnitanud privaatsuse definitsiooni: „Privaatsus on üksikisikute, gruppide või institutsioonide õigus määrata, millal, kuidas ja mil määral nende kohta käivat teavet teistele edastatakse.“ ^*52 1960-ndate lõpus ennustas Westin personaalse isikutunnuse alusel inimeste elektrooniliste identiteetide teket, inimese kogu elukaart hõlmavate andmete talletamist, nentides ka juba mitmesuguseid algatusi andmevahetuseks asutuste vahel ning kritiseerides ka rahvaloenduse jms statistilistel eesmärkidel kogutud isikuandmete kasutamist täitevvõimu poolt, nähes erilist ohtu autoritaarsetes režiimides. ^*53 Westiniga nõustusid ka teised autorid ning leidsid, et üksikisiku vaates seisneb põhiline probleem teda puudutava informatsiooni ning selle õigsuse üle kontrolli kaotamises, ühiskonna seisukohast aga jälgimisühiskonna tekkimise ohus ^*54, aga ka informatsiooni asümmeetrias ühelt poolt üksikisiku ja teiselt poolt nii riigi kui ka eraõiguslike korporatsioonide vahel ^*55.

Eelnevast nähtub, et privaatsus on kujunenud tihedas seoses inimväärikuse ja enesemääramisõigusega, võttes arvesse just tehnoloogia arengust lähtuvaid ohtusid. Ka Saksa Liidukonstitutsioonikohtu rahvaloendusotsus asetub 1960-ndatel alguse saanud sisuka privaatsusdiskussiooni konteksti. Olles põhjalikumalt tutvunud privaatsuse ja informatsioonilise enesemääramisõiguse olemusega ning arvestades, et Põhiseaduse Assamblees eraelu puutumatuse olemuse teemal laiemat mõttevahetust ei tekkinud ^*56, on võimalik, et informatsiooniline enesemääramisõigus jaguneb Eesti põhiseaduse §-de 26 ja 19 vahel, nagu Madis Ernits välja pakkus. Seejuures tuleb pidada õigustatuks lähenemist, et isikuandmete töötlemisega kaasnev riive asetatakse esmajoones PS § 26 eraelu kaitsealasse ning PS § 19 kaitsealasse pigem erandjuhtudel.

C. Kas isikuandmete töötlemine algsest erineval eesmärgil kuulub eraelu puutumatuse põhiõiguse kaitsealasse?

Niisiis riivab isikuandmete kogumine avaliku võimu poolt eraelu puutumatust. Andmete ühekordse küsimise põhimõtte rakendamine tähendab seda, et ühel haldusorganil olemas olevaid andmeid jagatakse teiste haldusorganitega, kelle haldusmenetlustes vastavad andmed tähtsust omavad. Teine haldusorgan võib olla näiteks liiklusjärelevalvet teostav liikluspolitseinik, kes kontrollib Transpordiameti liiklusregistrist juhiloa kehtivust ja tehnoülevaatuse olemasolu, aga ka näiteks teise ametiasutuse algoritm, mis sõelub eri andmekogude põhjal välja mittetöötavad noored ⁵⁷ või võimalikud abivajavad eakad inimesed ^*58. Mõnel puhul on seadusandja määranud mitu andmete kogumise eesmärki, nagu näiteks rahvastikuregistri eesmärk on tagada haldusorganite ülesannete täitmiseks vajalikud kontaktandmed, aga ka andmestik Eesti rahvastiku üle arvestuse pidamiseks. ^*59 Seevastu liiklusregistri eesmärk on liiklusseadusest tulenevalt üksnes aidata Transpordiametil pidada arvestust sõidukite ja juhiloaga isikute üle. ^*60 Kui liikluspolitsei kasutab liiklusregistri andmeid liiklusjärelevalveks või kohalik omavalitsus parkimisjärelevalveks, kujutab see endast isikuandmete töötlemist algsest erineval eesmärgil. Uno Lõhmus on tõdenud, et isikuandmeid töödeldakse mõnikord lausa üllatavatel eesmärkidel, kui märkas rahandusministri teadaannet selle kohta, et 2014. aasta andmetel oli kuni viie aasta vanuste Toyota Land Cruiseri maasturite kasutajate hulgas kõige rohkem miinimumpalga saajaid ja kahe kolmandiku kasutajate sissetulek oli väiksem kui 1200 eurot kuus. ^*61 Juhul kui nende andmete alusel tuvastatakse võimalikke maksupettureid, kujutab ka see endast isikuandmete esialgsest eesmärgist irduvat töötlemist. Kui isikuandmete edasise töötlemise eesmärk ei ole kaetud isikuandmete kogumise eesmärgiga – eeskätt juhtudel, kui ühe haldusorgani kogutud isikuandmeid kasutavad teised haldusorganid oma ülesanneteks –, tuleb küsida, kas eraelu puutumatust riivab ka isikuandmete eesmärki muutev töötlemine või on kord juba riigi kätte talletunud isikuandmete edasine töötlus põhiseaduse kaitse alt väljas.

Eestis on küsimus isikuandmete esialgsest eesmärgist irduva töötlemise lubatavusest kerkinud teravamalt ainult jälitusteabe kontekstis. Riigikohus on rõhutanud, et „[j]älitusteabe kasutamine selle kogumise algsest ajendist erineval eesmärgil on võimalik üksnes siis, kui selleks esineb ülekaalukas avalik huvi ja sellest lähtuvalt on seaduses sätestatud selge õiguslik alus“. ^*62 Riigikohtu hinnangul jälitustoimingutega – kus isikuandmete kogumine jääb (esialgu) puudutatud inimese eest varjatuks – kaasneva põhiõiguste riive intensiivsus tingib vajaduse sätestada riivet tasakaalustavad ning riigi omavoli välistavad menetlustagatised, kusjuures Riigikohus näeb riivet nii jälitustoimingu tegemises kui ka jälitustoiminguga saadud andmete edasises töötlemises, sh kasutamises, edastamises ja säilitamises. ^*63 Riigikohus ei paiguta eesmärgi piirangu põhimõtet otsesõnu eraelu kaitsealasse ^*64, vaid leiab, et „Põhiseaduse §-st 14 tulenevalt peab seadus sätestama juhud, mil on lubatav jälitusteabe edastamine kasutamiseks haldusorganitele. Seadus peab selgelt ja täpselt sätestama sellisel kujul isiku põhiõigustesse sekkumise ulatuse ja tingimused“, rõhutades seejuures, et mida intensiivsem on riive, seda detailsem peab olema täitevvõimu meetmeid lubav volitusnorm. ^*65

Hinnates isikuandmete avalikustamist haldusorgani poolt, on Riigikohtu halduskolleegium leidnud, et „[e]raelu puutumatuse riivena käsitatakse muu hulgas isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist“. ^*66 Eesmärgi muutust nimetamata on Riigikohus siiski leidnud, et iga järgnev toiming isikuandmetega on eraldiseisev riive: „Põhiõigusi riivav haldustoiming saab olla õiguspärane üksnes juhul, kui see tugineb seaduses sätestatud õiguslikule alusele, on kooskõlas menetlus- ja materiaalõigusega ning on demokraatlikus ühiskonnas vajalik, s.t proportsionaalne (PS § 3 lg 1 esimene lause ja § 10, haldusmenetluse seaduse § 107 lg 1 teine lause).“ ^*67

Põhiõigusi riivavaks tuleb pidada kõiki isikuandmetega tehtavaid toiminguid, mis ei ole enam kaetud esialgse eesmärgiga, milleks isikuandmed seadusest tulenevalt koguti. Riive on seega nii isikuandmetele juurdepääsu võimaldamine teise haldusorgani nimel tegutsevatele ametnikele kui ka see, kui andmeid sõelub teise ametiasutuse algoritm, selleks et selekteerida proaktiivse haldusakti või toimingu adressaadid. Ohud, mille eest põhiseadus peab kõnealustel juhtudel indiviididele kaitset pakkuma, on tegelikult samad, mille eest hoiatas Westin ning mida rõhutas Saksa Liidukonstitutsioonikohus oma rahvaloendusotsuses. Riive muudab intensiivsemaks asjaolu, kui isikuandmeid on töödeldud inimesele nähtamatult; kui ta ei teagi, et taustal toimunud profileerimise tulemusena on mingi ametkond liigitanud ta nõustamist vajavaks, problemaatiliseks või isegi ohtlikuks isikuks. Üks viga algandmetes võib määrata eeskujuliku kodaniku ohtlikuks või tegelikult abi vajava inimese toimetulevaks isikuks. See, et tulevikus toimiks üha enam avaliku võimu teenuseid inimestele nähtamatult, proaktiivselt, tähendab, et üha rohkem kasutatakse isikuandmeid esialgsest eesmärgist erineval eesmärgil.

Vahekokkuvõttena võib märkida, et põhiõigus eraelu puutumatusele peaks tagama ka kaitse isikuandmete esialgsest eesmärgist erineval eesmärgil töötlemise eest. Iga uus algsest eesmärgist kõrvale kalduv toiming on eraldiseisev riive, millele kohaldub seadusereservatsiooni põhimõte.

D. Kas Eesti Vabariigi põhiseadus on üldse kohaldatav?

Enne veel, kui asuda põhjalikumalt analüüsima PS §-st 3 tulenevat seadusereservatsiooni põhimõtet isikuandmete ristkasutamise kontekstis, kerkib üks ootamatu küsimus: kas Eesti Vabariigi põhiseadus on üldse kohaldatav? 2018. aastal jõustus otsekohalduv Euroopa Liidu isikuandmete kaitse üldmäärus (IKÜM), ^*68 mis asendas senise andmekaitsedirektiivi. Otsekohalduva määruse kehtestamist põhjendati tõdemusega, et 1995. aasta andmekaitsedirektiiv ei taganud inimeste põhiõiguste piisavat kaitset, kuivõrd direktiivi oli liikmesriigiti liiga erineval viisil üle võetud ja rakendatud. Samuti on info- ja kommunikatsioonitehnoloogia võrreldes varasema, 1995. aasta andmekaitsedirektiivi ajastuga mõõtmatult arenenud, tuues kaasa varasemast erinevaid ohtusid. ^*69

Riigikohtus ei ole veel arutatud küsimust, kas üldse ja kui palju ruumi jääb Eesti põhiõiguslikule kaitsele otsekohalduva isikuandmete kaitse üldmääruse kohaldamisalas. ^*70 Saksa Liidukonstitutsioonikohus asus 2019. aastal seisukohale, et EL-i õiguse esimuse põhimõtte alusel ei ole liikmesriigi põhiõigused kohaldatavad EL-i direktiividele, mis ei anna liikmesriigile kaalutlusõigust, ning samuti EL-i poolt täielikult harmoneeritud valdkonnale, kus õigusliku instrumendina on kehtestatud isikuandmete kaitse üldmäärus. ^*71 Täielikult harmoneeritud EL-i õiguse valdkonna puhul tuleb riigisiseste regulatsioonide hindamisel tugineda EL-i põhiõiguste harta artiklitele 7 (eraelu austamine) ja 8 (isikuandmete kaitse).

Kui riik reguleerib isikuandmete töötlemise õiguslikke aluseid IKÜM-i kohaselt lubatud ulatuses, ^*72 on ka Eestis kohtupraktikast ja teaduskirjandusest tulenev arusaam, et Eesti põhiseaduslikust korrast tulenevad nõuded on kohaldatavad ning kohtulikult kontrollitavad. ^*73

III. Seadusereservatsiooni põhimõtte väljendumine eesmärki muutva töötlemise reguleerimisel

A. Seadusereservatsiooni põhimõte

Põhiseadus lubab õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega (PS § 11), arvestades seejuures ka PS §-st 3 tulenevat seadusereservatsiooni põhimõtet. Riigikohus on seadusereservatsiooni põhimõtet konkretiseerides märkinud, et ainult riivet lubava seadusenormi olemasolust ei piisa ning olulisuse põhimõttest tulenevalt peab seaduse tasemel olema määratletud nii sekkumise tingimused ^*74 kui ka sekkumise ulatus – lubatava haldustegevuse sisu ja ulatus; kusjuures mida intensiivsemalt isiku põhiõigust riivatakse, seda täpsem peab olema selliseks riiveks alust andev regulatsioon. ^*75 Vähem intensiivseid põhiõiguste piiranguid võib kehtestada täpse, selge ja piirangu intensiivsusega vastavuses oleva volitusnormi alusel määrusega. ^*76 Põhiõiguste piiramise volitust ei saa tuletada üksnes pädevus- või ülesandenormist, millega seadusandja annab teatud haldusorganile pädevuse kontrollida nõuete täitmist teatud valdkonnas või määrab kindlaks haldusorgani ülesanded. ^*77 Kuna isikuandmete kasutamine teiste haldusorganite poolt nende ülesannete täitmiseks riivab eraelu puutumatust, tuleb järgnevalt välja selgitada, kas ja kuidas isikuandmete juurdepääsude regulatsioonid arvestavad seadusereservatsiooni põhimõtet. Riive intensiivsuse hindamisel tuleb seejuures silmas pidada, et isikuandmete väljastamine ja otsejuurdepääsu andmine kujutavad endast erinevaid riiveid. Kui üks haldusorgan pöördub teise poole isikuandmete väljastamiseks, tuleb andmekogu haldajal hinnata, kas isikuandmete väljastamiseks on õiguslik alus ja eesmärk ^*78, siis andmekogule otsejuurdepääsu andes avatakse piltlikult öeldes uks varakambrisse, kus teine haldusorgan saab seal talletatud andmeid kasutada kas neid vaadates, nendest oma menetluse tarbeks koopiaid tehes vmt, ilma et keegi eelnevalt igakordse päringu või muu andmetöötluse õiguspärasust kontrolliks. Otsejuurdepääsu andmine kujutab seega intensiivsemat riivet kui andmete väljastamine.

B. Pilk ajalukku – seadusliku aluse nõue andmekogude seaduses

Riigi infopoliitilist suundumust andmete suuremale ristkasutusele võib märgata juba 1990-ndate lõpust alates. Riigikontroll kritiseeris 2001. aasta põhjalikus auditis, et enamik aastatel 1993–1999 loodud andmekogudest olid liiga asutusekesksed ning andmekogude ristkasutus liiga vähene. Riigikontroll nägi andmekogudevahelises suuremas koostöös nii avaliku halduse otsuste kvaliteedi paranemist kui ka olulist kokkuhoiuvõimalust. ^*79 Riigikontrolli aruandes on ühe probleemina esile toodud tõsiasi, et puuduvad andmekaitse ristkasutuse standardid, seda mõtet siiski lähemalt selgitamata. ^*80 Samal ajal (1997–2008) kehtinud andmekogude seadus nõudis andmete ristkasutuseks seaduslikku alust ja Andmekaitse Inspektsiooni luba. ^*81

1999. aasta infoühiskonna aastaraamatus tõdetakse, et „[p]ositiivse poole pealt tuleb veel märkida, et registrite asutajad ning töötlejad on enam ja enam hakanud mõtlema registrite omavahelisele koostööle e andmete ristkasutusele“. ^*82 2000. aastal käis peaministri nõunik Linnar Viik välja idee ühendada kõik andmekogud omavaheliste juurdepääsude kaudu. Põhjendustena toodi muu hulgas välja, et „suletud ja asutusekesksed andmebaasid on vaja muuta avatuks ja orienteerida teenuseid pakkuvateks. Infovahetus andmebaaside vahel on keeruline, ebamugav ja kallis. Unikaalsete tarkvaraliste liideste loomine on väga töömahukas. Seetõttu kasutatakse praegu sageli infovahetuseks paberit ja käsitsi tippimist“. ^*83

2001. aastal tõdeti, et riigi registreid ja andmebaase reguleeriv 1997. aastal jõustunud andmekogude seadus on juba ajale jalgu jäänud, sest „[…] seadus ei võimalda efektiivselt juurutada uuemaid suundi andmetöötluses […]“. ^*84 Nähtavasti peeti silmas ristkasutuse regulatsiooni, mille kohaselt oli igaks juurdepääsu loomiseks (ristkasutuseks) vaja eraldi seaduslikku alust. Samal aastal nimetati ka ühe tähtsama arendusvaldkonnana riiklike registrite korrastamist ning nende ristkasutuse tagamist. ^*85 2003. aastal sõnastati uue andmekogude regulatsiooni põhipostulaadid. Lähtekohaks oli taas andmekogude ulatuslik ristkasutus: „Peamine eesmärk on luua integreeritud registrite süsteem. Avaliku halduse jaoks oluline info peaks olema kättesaadav kas ühest kohast või ühtsest integreeritud ja andmete ristkasutuses olevast süsteemist. Infosüsteemide integreerimine avaliku halduse piires on aluseks võimalusele pakkuda uusi innovatiivseid avalikke elektroonilisi teenuseid. Integreeritud registrite süsteem võimaldab rakendada uusi halduskorralduse põhimõtteid: kodanikukesksus, paindlikkus, kiirus, väiksem raha- ja ajakulu nii kodanikule kui ka riigile.“ ^*86

Sellegipoolest tuli praktikas ette olukordi, kus ristkasutus loodi ilma selgesõnalise seadusliku aluseta. Näiteks tuvastas õiguskantsler 2007. aastal, et piirivalve infosüsteemi koguti alates 2003. aastast teavet järgmistest andmekogudest: sissesõidukeeldude riiklikust registrist, ärandatud sõidukite andmebaasist, infosüsteemist POLIS ning Kodakondsus- ja Migratsiooniameti (KMA) väljaantavate isikut tõendavate dokumentide andmekogust. ^*87Otsejuurdepääsud olid seadusliku aluse asemel loodud siseministri ja politseipeadirektori käskkirjade ning KMA ja Piirivalveameti vahel allkirjastatud isikuandmete üleandmise aktiga. ^*88 Õiguskantsler rõhutas, et PS § 3 lg 1 esimesest lausest tuleneva halduse seaduslikkuse põhimõtte järgi ei saa sellist andmekogude seadusega vastuolus olevat andmete edastamise õigust luua andmekogu põhimääruse, siseministri käskkirja ega isikuandmete üleandmise aktiga, kui andmekogude seadus nõuab ristkasutuseks seaduslikku alust. ^*89

Alates 2008. aasta 1. jaanuarist on andmekogude seadus kehtetu ning avaliku võimu andmekogusid puudutav regulatsioon paikneb avaliku teabe seaduses. ^*90

IV. Andmekogude ristkasutus avaliku teabe seaduses

2008. aasta 1. jaanuaril jõustunud andmekogude õiguse reformiga kadus kehtivast õigusest ka ristkasutuse seadusliku aluse nõue. Reformi eesmärk oli arendada riigi infosüsteem ühtseks teenusepõhiseks andmeruumiks, et luua senise killustatud ja ülemäära detsentraliseeritud riigi infosüsteemi asemele terviklik koostoimeline riigi infosüsteem. ^*91 Toonases andmekogude õiguse reformis ei tekkinud küsimust, kus ja kuidas tuleb reguleerida, millised haldusorganid ja millistel eesmärkidel otsejuurdepääsuga teise andmekogu andmeid saama hakkavad. Küll aga sätestati kohustus reguleerida seadusega või selle alusel antud õigusaktiga andmekogu asutamine ^*92 ja andmekogu põhimääruses vastava andmekogu andmeandjad. ^*93 Andmeandja all peetakse silmas riigi- või kohaliku omavalitsuse asutusi või muid avalik-õiguslikke või eraõiguslikke isikuid, kui neil on seadusega või selle alusel antud õigusaktiga sätestatud kohustus andmekogusse andmeid esitada või kui nad teevad seda vabatahtlikult. ^*94 Kohustust reguleerida andmesaajaid või haldusorganeid, kellele antakse andmekogus kasutaja (või vaatleja) õigused, ei kehtestatud. Seega on praegu enamasti andmekogude põhimäärustes reguleeritud, milliste andmekogude andmed on selle andmekogu andmeandjad, kuid seda, kes vastava andmekogu andmeid püsivalt veel kasutavad, selle algse andmekogu regulatsioonist üldjuhul ei leia.

2008. aasta esimesel päeval jõustus ka isikuandmete kaitse seaduse uus redaktsioon, milles sätestati, et isikuandmete edastamine või nendele juurdepääsu võimaldamine kolmandale isikule andmete töötlemiseks on lubatud andmesubjekti nõusolekuta, kui kolmas isik, kellele andmed edastatakse, töötleb isikuandmeid seaduse, välislepingu või Euroopa Liidu Nõukogu või Euroopa Komisjoni otsekohalduva õigusaktiga ettenähtud ülesande täitmiseks. ^*95

Alates 2019. aasta 1. aprillist on aga andmekogude peatükis täpsustus, mille kohaselt lähtutakse andmekogusse andmete kogumisel andmete ühekordse küsimise põhimõttest. Muudatusettepanek lisati eelnõusse Riigikogus teiseks lugemiseks ilma erilisi põhjendusi nimetamata. ^*96

A. Erinev praktika eesmärki muutva töötlemise reguleerimisel

1. Andmekogu asutav seadus

Seadusandja on üksikutel juhtudel täpselt määranud, millised haldusorganid või isikud veel ja milliste konkreetsete ülesannete täitmiseks vastavast andmekogust andmeid saavad ehk teisisõnu on seadusandja määranud kindlaks esialgsest eesmärgist irduva töötlemise lubatavuse piirid. Näiteks maksusaladust sisaldava teabe kasutamise juhud teiste haldusorganite ülesannete täitmiseks on ammendavalt reguleeritud maksukorralduse seaduses. ^*97 Kohtuekspertiisiseaduses on nimetatud ametkonnad, kellele väljastatakse riiklikusse sõrmejälgede registrisse ja riiklikusse DNA-registrisse kantud andmeid. ^*98 Enamasti aga isikuandmete teistele haldusorganitele väljastamise või neile juurdepääsu andmise eesmärke seaduse tasemel reguleeritud ei ole.

2. Eriseaduses ette nähtud õigus saada andmeid riigi andmekogudest

Kehtivast õigusest võib leida sätteid, milles on antud üldine õigus saada andmeid andmekogudest. Näiteks on politsei ja piirivalve seaduses (PPVS) reguleeritud taustakontroll, mille raames võib PPA tuvastada isiku isikusamasuse ning töödelda andmekogudes isiku kohta peetavaid isikuandmeid:

„1) isiku käesoleva seaduse § 3 lõigete 4 ja 42 alusel määratud objektile ja objektiga seotud territooriumile lubamise otsustamisel;

2) Politsei- ja Piirivalveametile või Siseministeeriumile või tema hallatavale riigiasutusele teenuse osutamisega seotud isiku sobivuse hindamisel;

3) kaitstava isiku ohutuse tagamisel;

4) Politsei- ja Piirivalveametisse või Siseministeeriumisse või tema hallatavasse riigiasutusse või valitsusasutusse praktikale või Siseministeeriumisse või tema hallatavasse riigiasutusse teenistusse või tööle kandideerija sobivuse hindamisel, arvestades ülesandeid ameti-, töö- või praktikakohal, millele isik kandideerib“. ^*99

Seadusandja on määranud kindlaks konkreetsed asjaolud (nt isikule määratud karistus), mille korral antakse PPA-le õigus töödelda isikuandmeid, sh eriliiki isikuandmeid (s.t nt terviseandmeid, andmeid poliitiliste vaadete või seksuaalse sättumuse kohta), ja koguda tõendeid. Samas ulatuses, s.t õigus koguda andmeid (mistahes) andmekogudest, antakse aga ka õigus töödelda era- ja perekonnaelu andmeid. ^*100 On küsitav, kas niivõrd ulatuslikku sisustamist võimaldava määratlemata õigusmõiste kasutamine eraelu puutumatuse põhiõigusesse sekkumise ulatuse kindlaks määramisel vastab siiski seadusereservatsiooni ja ka parlamendireservatsiooni põhimõtetele. Teenistussuhte puhul peab era- ja perekonnaelu mõistet sisustama koostoimes tingimustega, mida seadusandja on seadnud politseiteenistusse asumisel. PPVS sätestab nii tingimused, mis peavad olema täidetud politseiteenistusse asumisel, kui ka tõsiasjad, mis välistavad politseiteenistuse. Muu hulgas peab politseiametnik vastama kutsesobivusnõuetele ^*101, sh olema aus ja seaduskuulekas ning hea suhtlemisoskusega ^*102.

Milliseid teistel haldusorganitel olemasolevaid isikuandmeid ja millises ulatuses taustakontrolliks esialgsest erineval eesmärgil kasutatakse, ei ole hoomatav. Seejuures ei kontrollita inimeste andmeid ulatuslikult mitte üksnes teenistusse või tööle asumisel, vaid ka „tema teenistuses või tööl olemise ajal, kui on põhjendatud kahtlus, et esineb asjaolu, mis välistaks isiku teenistusse või tööle võtmise“. ^*103 Eelnõu koostajad on ise seletuskirjas optimistlikult leidnud, et „[p]olitsei ja piirivalve seaduse § 7⁵⁹ annab Politsei- ja Piirivalveametile vajadusel aluse taustakontrolli läbiviimiseks, samas määratleb piirid, milliseid isikuandmeid võib töödelda ning milliseid asjaolusid võetakse isiku sobivuse hindamisel arvesse. […] Politsei ja piirivalve seaduse § 7⁶⁰ loetleb politsei õigused taustakontrolli läbiviimisel. Sellega on sätestatud haldusorgani piirid taustakontrolli läbiviimisel, samal ajal annab säte andmesubjektile teavet, millist infot tema kohta võidakse taustakontrolli läbiviimisel koguda“. ^*104 Seadusetähest jäävad haldusorgani piirid siiski ebaselgeks.

Sarnane ulatuslik volitus on sätestatud ka kaitseväeteenistuse seaduses (KVTS), milles reguleeritakse kaitseväekohustust, kaitseväeteenistust ja asendusteenistust:

„Kaitseministeeriumil, Kaitseressursside Ametil ja Kaitseväel on käesolevas seaduses sätestatud ülesannete täitmiseks õigus teha päring andmekogust ning õigus saada riigi- ja kohaliku omavalitsuse asutuselt ning avalik-õiguslikult ja eraõiguslikult juriidiliselt isikult haldusakti andmiseks ning toimingu tegemiseks nende valduses olevaid andmeid ja tõendeid kaitseväekohustuslase hariduse, elukoha, kontaktandmete, kodakondsuse, õppe- või töökoha, karistatuse, mootorsõiduki juhtimise õiguse, jahipidamisõiguse, kalastuskaardi, relvaloa, relvasoetamisloa, väikelaeva ja jeti juhtimise õiguse ning perekondliku ja majandusliku olukorra kohta“. ^*105

Eelnõu seletuskirjas on põgusalt selgitatud üksnes vajadust saada andmeid „jahipidamisõiguse, kalastuskaardi, relvaloa ning relvasoetamisloa, väikelaeva ja jeti juhtimise õiguse kohta“, ent kuidagi pole põhjendatud, milliseid olukordi on silmas peetud, mil on vaja KVTS-s sätestatud „ülesannete täitmiseks“ õigust teha päring ja saada mistahes andmekogust andmeid „perekondliku ja majandusliku olukorra kohta“. ^*106

Kehtivas õiguses leidub veel mitu näidet, kus haldusorganile on antud õigus saada andmeid riigi andmekogudest, kuid seaduses on konkreetselt piiritletud elulised asjaolud. Näiteks on tollil õigus keeldude ja piirangutega seotud kaupade Eestisse sisseveo ja Eestist väljaveo nõuete rikkumise ohu hindamiseks ning liidu finantshuvide kaitsmiseks saada põhjendatud taotluse alusel riigi andmekogust tasuta andmeid „kauba veoga seotud erilubade ja registrikannete ning logistika, sõidukite ja isikute kohta“, ^*107 vanglateenistusel on õigus vangiregistrisse vangistusseaduse (VangS) § 5³ lg-s 1 nimetatud andmete saamiseks teha päringuid ning saada andmeid teistest riigi, kohaliku omavalitsuse üksuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku andmekogudest või ristkasutuse korras teistest andmekogudest ^*108, korruptsioonivastases seaduses ettenähtud huvide deklaratsiooniga seoses on kontrollijal õigus teha päringuid ja saada andmeid deklarandi kohta „deklaratsiooni kontrollimiseks“ vajalikus ulatuses krediidiasutustelt ja riigi või kohaliku omavalitsuse andmekogudest ^*109. Värske muudatusena on 2022. aasta 8. mail jõustunud seadusemuudatus, milles nähakse ette, et „[k]ohaliku omavalitsuse üksus kontrollib riigi infosüsteemi kuuluvatest andmekogudest, kas isikule ja tema pereliikmetele kuulub sõidukeid liiklusseaduse tähenduses ja kinnisasju, et teha selgeks isiku ja tema perekonna varaline seis ning võimalus tagada toimetulekuks piisavad elatusvahendid“. ^*110 Seega on siin toimetulekutoetuse puhul kehtestatud selge seaduslik alus liiklusregistri andmete kasutamiseks normis piiritletud eesmärgil.

Seadusereservatsiooni põhimõte eesmärki muutva töötlemise korral on tagatud, kui seadusandja sätestab piisavalt konkreetselt piiritletud asjaolud, mida ametiasutus teistest andmekogudest kontrollida saab. Sel juhul on seadusandja määranud kindlaks isikuandmete töötlemise ulatuse ka eesmärki muutva töötlemise korral. Juhtudel, kus seadusandja on andnud täitevvõimule õiguse küsida teistest andmekogudest üldsõnaliselt andmeid näiteks era- ja perekonnaelu kohta, sh eriliiki isikuandmeid (nt terviseandmeid, millest teha järeldusi perekonnaelu kohta), on kooskõla eesmärki muutva töötlemise vastavusest seadusereservatsioonile (sh olulisuse põhimõttele) küsitav, kuivõrd isikuandmete teisel eesmärgil töötlemise raadiuse ulatuse määramine on üsna ulatuslikult libisenud täitevvõimule. Eriliiki isikuandmete ja isiku perekonnaelu puudutavate andmete kogumisega kaasneb intensiivne isiku põhiõiguste riive, mistõttu on kaheldav, kas eelkäsitletud õigusnormid on kooskõlas olulisuse põhimõttega, mille kohaselt „[m]ida intensiivsemalt isiku põhiõigust riivatakse, seda täpsem peab olema selliseks riiveks alust andev regulatsioon“. ^*111 Ivo Pilving on isikuandmete aktiivse avalikustamise kui intensiivse riive kontekstis leidnud, et üldsõnaline säte ei ole piisav, seadusandlik volitus peab olema sõnaselge: „Vastasel juhul võiks seadusandja kõik riivealused seadustes asendada üldise volitusega „õigusi võib piirata, kui ametnik seda vajalikuks peab“.“ ^*112

3. Uurimispõhimõte ja tõendamine haldusmenetluses

Haldusmenetluse seaduse (HMS) kehtestamisel andis seadusandja haldusorganile haldusmenetluse läbiviimisel ulatusliku kaalutlusõiguse, mis on raamistatud seadusereservatsiooni, proportsionaalsuse, eesmärgipärasuse ja efektiivsuse põhimõtetega. ^*113 HMS § 5 lg 2 näeb ette, et haldusmenetlus viiakse läbi eesmärgipäraselt ja efektiivselt, samuti võimalikult lihtsalt ja kiirelt, vältides üleliigseid kulutusi ja ebameeldivusi isikutele. Uurimispõhimõte paneb haldusorganile kohustuse selgitada välja menetletavas asjas olulise tähendusega asjaolud ja vajaduse korral koguda selleks tõendeid omal algatusel.

„Haldusmenetluse käsiraamatu“ autorid on selgitanud, et HMS-i koostamisel püüti nii palju kui võimalik arvestada ka „tänapäevase klienditeeninduse põhimõtteid, mis on samuti osaks heast haldustavast“. ^*114 Sellest tulenevalt: „[k]ui vähegi võimalik, peab otsuse tegemiseks pädev asutus suhtlema info kogumiseks teiste asutustega, mitte nõudma, et inimene esitaks teise asutuse käes olevate andmete kohta tõendeid. Seni oli tavaline, et kodanikku sunniti lubade ja muude soodustuste taotlemisel tööle riigiasutuste vahelise käskjalana. Tänapäeva infotehnoloogia võimaldab infot nt riigilõivu maksmise või äriregistrisse kantud andmete kohta edastada asutuste vahel ilma eriliste lisakuludeta, mistõttu kodaniku või ettevõtja jooksutamine on tarbetu“. ^*115 Käsiraamatus märgiti veel, et uurimispõhimõtte rakendamisel tuleb arvestada ka isikuandmete kaitse põhimõtetega ^*116, kuid konkreetsemalt isikuandmete kaitse õigusest tulenevaid nõudeid ei käsitletud.

Uurimispõhimõtet konkretiseeritakse HMS § 38 lg-s 1, mille kohaselt on haldusorganil õigus nõuda haldusmenetluse käigus menetlusosalistelt ning muudelt isikutelt nende käsutuses olevate tõendite ja andmete esitamist, mille alusel haldusorgan teeb kindlaks asja lahendamiseks olulised asjaolud.

Kui HMS § 38 alusel tõendite ja andmete nõudmist on kohtupraktikas käsitletud pigem menetlustoiminguna ^*117, siis riikliku järelevalve menetluses ohu ennetamiseks, väljaselgitamiseks, tõrjumiseks või korrarikkumise kõrvaldamiseks vajalike andmete väljanõudmine on haldusakt, mille täitmist saab vajaduse korral survestada ka sunniraha nõudega ^*118. Riikliku järelevalve menetluses on seadusandja lisaks täpsustanud, et „dokumentide nõudmine ohu ennetamiseks ei ole lubatud teabe ja dokumentide korral, mida on võimalik saada seaduse alusel asutatud andmekogust, välja arvatud juhul, kui teabe saamine andmekogust ei ole korrakaitseorganist sõltumatul põhjusel võimalik“. ^*119 Eelnõu seletuskirja kohaselt: „KorS-i tuuakse sisse riigihalduses juba valitsev põhimõte, mille kohaselt ei saa isikult küsida teavet, mille ta kord juba riigile selle erinevate organite kaudu esitanud on.“ ^*120

2018. aasta Euroopa Liidu andmekaitseõiguse reformi tuules lisati HMS-i (nagu ka paljudesse teistesse eriseadustesse) üldvolitus isikuandmete töötlemiseks: „Haldusorgan võib haldusmenetluses haldusakti andmise, toimingu tegemise või halduslepingu sõlmimise eesmärgil töödelda isikuandmeid menetletavas asjas vajalike asjaolude kohta, kui seadusega või selle alusel antud õigusaktidega ei ole ette nähtud teisiti.“ Sarnased üldvolitused ei anna siiski iseseisvat õigust isikuandmeid töödelda, vaid sarnaselt alapeatüki D.2. lõpus esitatud vahekokkuvõttega peab ka siin seadusandja olema lisaks sätestanud haldusakti andmist või toimingu sooritamist võimaldavad või välistavad kriteeriumid. Ka eelnõu seletuskirja järgi ei nähtud kõnealust sätet iseseisva üldvolitusena, vaid õiguslik alus isikuandmete töötlemiseks tuleneb HMS § 7 lg 5 koosmõjus valdkonnaspetsiifilistest õigusaktidest tulenevate normide ja eesmärkidega. ^*121 Samamoodi on ka siin seadusereservatsiooni põhimõttest lähtuvalt problemaatiline, kui õigusaktides sisalduv määratlemata õigusmõiste – nagu näiteks „usaldusväärsus“ – võimaldab haldusorganil endal otsustada eraelu riive piiride ulatuse üle.

4. Juurdepääsude reguleerimine andmekogude põhimäärustes

Avalikkuses tekkis elav diskussioon automaatse biomeetrilise isikutuvastuse süsteemi (ABIS) andmekogus talletatud isikuandmete erinevate kasutusvõimaluste üle. ABIS-esse koguti inimeste näokujutised ja sõrmejäljed arvestusega, et neid võidakse hiljem eri menetlustes kasutada. Eelnõuga seoses diskuteeriti muu hulgas selle üle, et eelnõu ei taga andmesubjektidele õigusselgust ning annab andmetöötluseks ulatuslikuma õiguse, kui on andmete kogumise eesmärk. Eelnõu kooskõlastamisel leiti, et „[e]elnõuga tehtavad muudatused raskendavad tulevikus andmesubjektidel tuvastamist, kes ja millisel õiguslikul alusel nende biomeetrilisi andmeid töötleb. Palume eelnõu muuta viisil, mis tagab andmete kasutamise vaid neil eesmärkidel, milleks neid seaduse alusel kogutakse“. ^*122 ABIS-e loomisega seoses toodi esile asjaolu, et isikuandmete koondamine ühte andmebaasi teeb nendele ligipääsu liiga lihtsaks, võimaldades seejuures biomeetriliste andmete kogumist ühel ja kasutamist hoopis teisel eesmärgil: „Enamus eestlasi on oma sõrmejäljed andnud passi taotlemisel, teadmata, et neid saab kasutada kriminaalmenetluses.” ^*123

Igal Eestis elaval Eesti kodanikul peab olema isikutunnistus. ^*124Isikut tõendava dokumendi taotlemine eeldab foto ja sõrmejälgede andmist. ABIS-esse kantakse isikut tõendava dokumendi taotlejaga seotud andmetest foto või näokujutis ning sõrmejäljekujutised. ^*125 Samad andmed kantakse ka isikut tõendavate dokumentide andmekogusse. ^*126Isikut tõendavate dokumentide seadusest tuleneb, et dokumendi kasutaja kohta dokumendi väljaandmise menetluse käigus kogutud biomeetriliste andmete (sh fotod, näo- ja sõrmejäljekujutised) töötlemine on lubatud ainult seaduses sätestatud juhtudel ja tingimustel. ^*127

Seega, kui tahta täpselt teada, millised ametkonnad ja millisel eesmärgil veel isikute fotosid kasutada tohivad, tuleb võtta ette põhjalikum uuring Riigi Teatajas. Näiteks on liiklusseaduses sätestatud, et liiklusseaduses ettenähtud ülesannete täitmiseks on registripidajal õigus esitada päringuid ja saada andmeid karistusregistrist, rahvastikuregistrist, isikut tõendavate dokumentide andmekogust ja teistest riigi või kohaliku omavalitsuse andmekogudest. Majandus- ja kommunikatsiooniministri määrusest ilmneb, et juhtimisõiguse taotlemisel Transpordiametis kasutatakse isikut tõendavate dokumentide andmekogus olevat allkirja- ja näokujutist või fotot, kui see ei ole vanem kui viis aastat. ^*128 Notariaadiseadus näeb ette, et ametitoimingu õigsuse tagamiseks kontrollib notar toiminguga seotud andmeid asjakohastest registritest. ^*129 Notariaadimäärustikus on ette nähtud, et notar võib (kahtluse korral peab) tuvastada ametitoimingus osaleja isikusamasuse Politsei- ja Piirivalveameti andmebaasi abil. ^*130 Seaduses on küll esitatud näidete puhul juurdepääsu andmekogudele puudutatud, kuid sellegipoolest on küsitav, kas biomeetriliste isikuandmete puhul on seadusandja piiritlenud eesmärgimuudatusi piisavalt õigusselgelt.

Isikut tõendavate dokumentide andmekogu põhimääruse kohaselt otsustab andmekogu vastutav töötleja kolmandatele isikutele infosüsteemide andmevahetuskihi kaudu andmetele juurdepääsu andmise selleks seadusest tuleneva aluse olemasolul ning kooskõlas avaliku teabe seaduse ja isikuandmete kaitse seadusega. Vajaduse korral sõlmitakse andmesaajaga leping, kus sätestatakse nende andmete koosseis, millele võimaldatakse juurdepääs, ning andmetele juurdepääsu andmise õiguslik alus, eesmärk, tingimused, kord ja viis. ^*131

Mitmetes põhimäärustes on sätestatud, et kõnealust andmekogu pidava asutuse juht otsustab, kas teisel asutusel on neid andmeid vaja, ja sõlmib siis lepingu, milles täpsustatakse muu hulgas andmete saamise õiguslik alus ja eesmärk. ^*132 Sellist lepingut on võimalik – Riigikohtu praktikat arvesse võttes – mõista haldusesisese kokkuleppena, mis sarnaneb halduseeskirjaga, mis abistab ressursside planeerimisel ja töö korraldamisel, kuid peab jääma seadusega seatud piiridesse. ^*133

B. Euroopa Liidu õiguse mõju eesmärki muutva töötlemise reguleerimisele

1. Eesmärgi piirangu reguleerimine

Kuivõrd IKÜM-i kohaldamisala tuleb mõista väga avaralt, nii et see hõlmab ka e-riigile omased toimingud ja otsused, tuleb eesmärki muutva töötlemise reguleerimisel otsida pidepunkte ka IKÜM-ist. ^*134 Isikuandmete töötlemine andmekogus toimub IKÜM art 6 lg 1 punkti e alusel, mille alla kuuluvad olukorrad, kus isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, samuti võib see toimuda punkti c alusel, mille kohaselt on isikuandmete töötlemine vajalik vastutava töötleja juriidilise kohustuse täitmiseks. ^*135

IKÜM art 6 lg-s 3 täpsustatakse, et punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse kas liidu või vastutava töötleja suhtes kohaldatava liikmesriigi õigusega ning „[i]sikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks“. Isikuandmete töötlemise eesmärgi piiritlemist nõuab ka Euroopa Liidu põhiõiguste harta art 8 lg 2, mille kohaselt tuleb isikuandmeid töödelda asjakohaselt ning kindlaks määratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. Eesmärgi piirangu põhimõte tuleneb IKÜM art 5 lg 1 punktist b, mille kohaselt isikuandmeid kogutakse täpselt ja selgelt kindlaks määratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus.

Kuigi juba IKÜM-i põhjenduspunktides tõdetakse, et „[a]valiku ja erasektori osalejate, sealhulgas füüsiliste isikute, ühenduste ja ettevõtjate vaheline isikuandmete vahetus on suurenenud kogu liidus. Liikmesriikide ametiasutusi kutsutakse liidu õiguses üles tegema koostööd ja vahetama isikuandmeid, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel“, ^*136 reguleerib IKÜM isikuandmete töötlemist algsest eesmärgist erineval eesmärgil vastuoluliselt. Ühelt poolt deklareeritakse, et liikmesriik võib säilitada oma senise avaliku halduse andmetöötluse süsteemi (vrd art 6 lg 2) ja reguleerida avaliku halduse puhul ka eraldi oma seadustes täpsemalt eesmärgi piirangut just isikuandmete töötlemisel avalike ülesannete täitmisel, reguleerides „üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut“ (art 6 lg 3). ^*137 Teiselt poolt reguleerib eraldi muul eesmärgil töötlemist ka art 6 lg 4, milles on üsna ranged tingimused eesmärgi muutuseks.

IKÜM-i kommentaarides on leitud näiteks nii seda, et art 6 lg 2 on üksnes deklaratiivse tähendusega ja tegelikult ebavajalik ^*138, kui ka seda, et see moodustab koostoimes lõikega 3 volitusnormi liikmesriigi jaoks ^*139, aga ka seda, et lõiked 2 ja 3 on mõlemad täiesti eraldi volitusnormid, kusjuures lõige 2 annab õiguse arvata avaliku halduse andmetöötlus, millel puudub mõju EL-i ühisturule, IKÜM-i kohaldamisalast üldse välja ^*140. Art 6 lg-t 4 on peetud eraldiseisvaks volitusnormiks, mille alusel liikmesriik saab reguleerida teisel eesmärgil töötlemist ^*141, aga ka üldse mitte volitusnormiks, kuivõrd volitusnorm tuleneb üksnes lõikest 4 koostoimes lõigetega 2 ja 3 ^*142. Leitakse samuti, et lõiget 4 tuleb pidada sätteks, mis reguleerib eesmärgi muutmise lubatavust, samal ajal kui üksnes lõike 3 alusel saab liikmesriik reguleerida uue eesmärgi esialgse eesmärgiga ühildumise teatavaid üksikasju. ^*143 Samuti on leitud, et art 6 lg-s 4 toodud eesmärgi ühilduvuse hindamise kriteeriumid tähistavad liikmesriigi seadusandja kaalutlusruumi välimise piiri. ^*144 Segadusse ei heida kuigi palju valgust ka üldmääruse põhjenduspunktid, milles on selgitatud, et „[k]ui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks“ ning et „[l]iidu või liikmesriigi õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks.“ Eriarvamused ei püsi mitte ainult õigusteadlaste käsitlustes, vaid näiteks Saksamaal on eri seaduste seletuskirjades tuginetud eesmärki muutva töötlemise reguleerimisel teatud juhtudel art 6 lg-le 4, teatud juhtudel aga lõigetele 2 ja 3, eriliiki isikuandmete puhul aga hoopis artiklile 9. ^*145

Autori hinnangul tuleks IKÜM-i mõista selliselt, et liikmesriik tohib art 6 lg-te 2 ja 3 alusel reguleerida täpsemalt andmetöötlust, mis toimub art 6 lg 1 punktide c ja e alusel (avalike ülesannete täitmine ja juriidiline kohustus), ja sel puhul tohib liikmesriik reguleerida ka eesmärgi piirangut, lähtudes seejuures art 6 lg-s 4 esitatud tingimustest. IKÜM-i põhjenduspunkt 41 viitab seejuures asjaolule, et liikmesriik on põhiõiguste piiramisel samuti seotud oma põhiseadusliku korraga. Seejuures tuleb arvestada, et andmetele juurdepääsu avamine nii andmete väljastamise kui ka otsejuurdepääsu võimaldamise teel teisele ametiasutusele tema ülesannete täitmiseks kujutab endast seaduslikku alust vajavat põhiõiguste riivet. Lisaks tuleb silmas pidada, et reguleerides IKÜM art 6 lg 3 alusel „üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, [ning] eesmärgi piirangut“, tuleb tagada põhjenduspunktis 41 viidatud õigusselgus ja proportsionaalsus. IKÜM nõuab, et andmetöötlus peab olema inimestele läbipaistev. EL-i järjepidev kohtupraktika on ka rõhutanud, et andmekaitseliste normide puhul '>peab olema tagatud „põhiõiguste ja ‑vabaduste kaitse kõrge tase“. ^*146

2. Läbipaistvus kui täiendav mõõdupuu

2018. aasta Euroopa Liidu andmekaitsereformi eesmärk oli tagada esmajoones andmetöötluse läbipaistvus ja kontroll oma isikuandmete üle, arvestades üha enam digiteerunud era- ja avalikku sektorit, kus andmete jagamine ja uutel eesmärkidel kasutamine on üha laialdasem praktika. ^*147 Seejuures on Euroopa Kohus rõhutanud, et kontroll oma isikuandmete üle on osa põhiõigusest eraelu puutumatusele: „Lisaks on Euroopa Kohus harta artikli 7 kohta juba leidnud, et selles artiklis tunnustatud põhiõigus eraelu puutumatusele eeldab, et andmesubjekt saab veenduda, et tema isikuandmeid töödeldakse õigesti ja seaduslikult. Vajaliku kontrolli teostamiseks peab sellel isikul olema õigus tutvuda teda käsitlevate töödeldavate andmetega […]“. ^*148

Läbipaistva andmetöötluse tagamiseks seati üldmääruses kõigile isikuandmete vastutavatele töötlejatele, sh haldusorganitele, kohustus avaldada veebis andmekaitsetingimused, milles tuleb teavitada inimesi andmete töötlemise üksikasjadest, sh isikuandmete töötlemise õiguslikust alusest ja eesmärgist „kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt“. ^*149 Läbipaistvuse tagamiseks on juhuks, kui isikuandmed ei ole saadud inimeselt endalt, vaid näiteks teise haldusorgani andmekogust, ette nähtud lisakohustus andmesubjekti sellest eraldi teavitada. ^*150 Peale selle, kui teiselt ametkonnalt isikuandmed saanud haldusorgan kavatseb kõnealuseid andmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, peab vastutav töötleja esitama andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase IKÜM art 14 lg-s 2 osutatud täiendava teabe. ^*151 Kõnealust ulatuslikku informeerimiskohustust ei ole, kui „isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks“. ^*152

Seega tuleneb IKÜM-ist, et õigusaktist peaks olema arusaadav, kes ja milleks isikuandmeid kogub ning milleks neid veel võib kasutada. Ka Andmekaitse Inspektsioon on näinud murekohana asjaolu, et „[k]ui andmete algse kogumise eesmärk on seaduses kirjas, siis see, milleks neid veel võidakse kasutada, tuleneb teistest seadustest. Nii ei tekigi inimesel andmekogu asutamist ette nägevat seadust lugedes terviklikku ülevaadet sellest, kes ja milleks tema andmeid veel kasutab“. ^*153

V. Kokkuvõte

Andmekaitseõiguse isaks nimetatud Spiros Simitis ^*154 tõdes juba 1986. aastal, et asutustevaheline vaba infovahetus võib aidata säästa aega ja raha ning suurendada halduse efektiivsust, mistõttu esmapilgul tundubki ainuõige luua otsejuurdepääsud eri andmekogudele, rakendades lisaks andmekogude pidevat sõelumist, et osutada teenuseid optimaalselt või tuvastada aegsasti ebaseaduslikke teenuse saajaid. Simitis hoiatas, et pelgalt tehnokraatlik ja majanduslikust efektiivsusest lähtuv arusaam avaliku võimu tegevusest võib küll aidata kaasa haldusaparaadi ratsionaliseerimisele ja stabiliseerimisele, kuid andmetöötluse põhiseaduslikud aspektid tõrjutakse seejuures üha enam kõrvale. Ta rõhutab, et demokraatlikul õigusriigil on omad „püsikulud“, millest efektiivsust eesmärgiks seades ei saa loobuda.^{^*155}

Põhiõigus eraelu kaitsele ja õigus informatsioonilisele enesemääramisele kujunesid välja vastukaaluna tehnoloogia kiirele arengule, kus üha enam arvutitest sõltuvas ühiskonnas arenes järjest suurem võimekus koguda rohkem andmeid, et neid ka eri ametkondadega jagada. Inimväärikust teeniv enesemääramisõigus eeldab, et inimene teab, milliseid tema andmeid talletatakse, kes andmeid kogub ja milleks neid hiljem veel kasutatakse. 2002. aastal hoiatas toonane õiguskantsleri nõunik Tiina Ilus: „Mida rohkem töödeldakse isikuandmeid ning mida rohkem eri andmebaase ristkasutatakse, seda vähem omab andmesubjekt selle üle kontrolli ning väheneb isikuandmete töötlemise läbipaistvus. Et sellises olukorras andmetöötluse läbipaistvus ning selgus siiski võimalikult suures ulatuses tagada, peab isikuandmete ristkasutamine tuginema selgele seaduslikule alusele, et andmesubjektidele oleks õigusaktidest üheselt selge, millised asutused milliseid isikuandmeid töötlevad.“ ^*156 2008. aastal kehtima hakanud õigusest isikuandmete ristkasutuseks selge seadusliku aluse nõude kaotamine tõi kaasa arusaama, kus enamasti piisabki ristkasutuseks haldusmenetluse uurimispõhimõttest ja tõendamisest koos seadusandja poolt haldusorganile antud pädevuse, talle pandud ülesannete ning haldusakti andmise või toimingu sooritamise tingimuste määratlemisega, et seadusereservatsiooni põhimõte oleks täidetud. Asjade käiku tõi pöörde 2018. aastal jõustunud Euroopa Liidu isikuandmete kaitse üldmäärus, mis lubab liikmesriigil reguleerida isikuandmete töötlemist esialgsest eesmärgist erineval eesmärgil, arvestades lisaks liikmesriigi põhiseadusest tulenevatele nõuetele ka üldmäärusest tulenevate täiendavate nõuetega, eeskätt läbipaistvuse põhimõttega.

Seadusandja määrab isikuandmete töötlemise eesmärgiga kindlaks isikuandmete lubatava töötlemise raadiuse. Ka isikuandmete esialgsest erineval eesmärgil töötlemise raadius tuleb kindlaks määrata seaduse tasemel. Seadusereservatsiooni põhimõte on täidetud, kui andmekogu asutamist reguleeriv seadus sätestab selle kasutamise eesmärgid ka teistele haldusorganitele. Samuti võib lugeda seadusereservatsiooni põhimõtte täidetuks, kui seadusandja sätestab piisavalt täpselt, millistel tingimustel saab haldusakti anda või toimingu sooritada. Seadusereservatsiooni vaatepunktist on problemaatilisem isikuandmete edasisel töötlemisel olukord, kus haldusakti andmise või toimingu sooritamise volitusnormi koosseisutunnused sisaldavad ulatuslikku hindamisruumi võimaldavat määratlemata õigusmõistet.

Ka informaatikateadlane Dan Bogdanov on tõdenud, et probleem isikuandmete töötlemise läbipaistvusega kerkib esile eriti andmete ulatuslikul ristkasutusel: „Eestis juurutatud once only põhimõtte valguses peaks olema avalikkusele läbipaistev, millistel teisese kasutuse eesmärkidel ühtesid ja samu isikuandmeid töödeldakse. […] Kodaniku vaatest on oluline jälgida, et andmetele juurdepääs oleks eesmärgipärane ja piisavalt kontrollitud ega väljuks põhiseadusega kehtestatud raamidest.“ ^*157 Bogdanov tabas naelapead – just kodaniku (ja mitte haldusõiguse eriosa õigusaktides ja andmekogude põhimäärustes orienteeruva riigiametniku) vaatest tuleb reguleerida isikuandmete teisese kasutuse olukorrad, tagades andmetöötluse läbipaistvust teenivate normidega inimeste põhiõiguse informatsioonilisele enesemääramisele.

Märkused:

^* Artikkel põhineb 26.–27.05.2022. a toimunud konverentsil „Haldusmenetlus 20“ peetud ettekandel.

^*1 A. T. Orav. E-riik ei jõua puudega inimeseni. Ema peab kaitseväele tõestama, et poeg ei oska rääkida. – Eesti Päevaleht 18.09.2019. Arvutivõrgus: [Link] (13.05.2024)

^*2 K. Tarand. Hoia, laadi, püsi, kanna, pese! – Sirp 30.10.2020. Arvutivõrgus: [Link] (13.05.2024).

^*3 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27.04.2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) art 5 lg 1 p b.

^*4 Article 29 Data Protection Working Party. Opinion 03/2013 on purpose limitation, lk 4. – Arvutivõrgus: [Link] (13.05.2024).

^*5 Majandus- ja Kommunikatsiooniministeerium. E-teenused toimivad peagi nähtamatult. 25.05.2017. Arvutivõrgus: [Link]. Vt ka M. Juha. Proaktiivne profileeriv personaalne e-riik. Kas inimese osalus ja läbipaistvus jäävadki unarusse? – Juridica 2023/6, lk 501−513.

^6 M. Mets: „Mis aga tegelikult võiks olla personaalne riik? Mul on pakkumine. Kõige muu kõrvalt, kus riigiga asjaajamine võiks olla veel lihtsam ja probleemivabam, võiks kasutada erasektorist tuttavat tehisintellektipõhist churn prediction*’it.“ M. Mets. Mis võiks tegelikult olla personaalne riik? Mul on pakkumine. – Digigeenius 03.05.2023. Arvutivõrgus: [Link] (13.05.2024). Vrd ka T. Riisalo. Personaalne riik tuleb. Klõps ja kogu asjaajamine. – Eesti Päevaleht 29.06.2023. Arvutivõrgus: [Link] (13.05.2024).

^*7 Sotsiaalkindlustusamet. Sotsiaalkindlustusamet avas esimese proaktiivse avaliku teenuse. 14.10.2019. – Arvutivõrgus: [Link] (13.05.2024).

^*8 Eesti Teadusagentuur. Programmi RITA tegevuse 1 projekti „Masinõppe ja AI toega teenused“ lõpparuanne, mai 2022, lk 24. – Arvutivõrgus: [Link] (13.05.2024).

^*9 M. Belkin. Maksuamet hakkab tehisintellekti abiga ümbrikupalga maksjaid püüdma. – Rahageenius 06.01.2020. Arvutivõrgus: [Link] >[Link] (13.05.2024).

^*10 V. Korpan. Kirglik analüütik. – Radar. Politsei- ja Piirivalveameti ajakiri 2014/9, lk 13.

^*11 Krattide kasutuslood. SATIKAS. – Arvutivõrgus: [Link] (13.05.2024).

^*12 Õiguskantsleri 2005. aasta tegevuse ülevaade. Tallinn 2006, lk 87–88. Arvutivõrgus: [Link] (13.05.2024).

^*13 Samas.

^*14 M. Ernits. PS § 19, komm. 4.1. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. E.-J. Truuväli jt (toim.). Tallinn 2002.

^*15 R. Alexy. Põhiõigused Eesti põhiseaduses. –Juridica 2001 eriväljaanne, lk 50. Vt ka P. K. Tupay, M. Mikiver. E-riik ja põhiõigused. –Juridica 2015/3, lk 167.

^*16 EIKo 16.09.1992, 13710/88, Niemietz vs. Saksamaa, p 29; EIKo 29.04.2002, 2346/02, Pretty vs. Ühendkuningriik, p 61; EIKo 28.01.2003, 44647/98, Peck vs. Ühendkuningriik, p 57.

^*17 EIKo 06.09.1978, 5029/71, Klass jt; EIKo 26.03.1987, 9248/81, Leander vs. Rootsi; EIKo 25.09.2001, 44787/98, P. G. ja J. H. vs. Ühendkuningriik.

^*18 EIKo 16.09.1992, 13710/88, Niemietz vs. Saksamaa, p 29.

^*19 EIKo 04.05.2000, 28341/95, Rotaru vs. Rumeenia.

^*20 U. Lõhmus. PS § 26, komm. 8.3. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. E.-J. Truuväli jt (toim.). Tallinn 2002.

^*21 K. Jaanimägi, L. Oja. PS § 26, komm. 24. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. Ü. Madise jt (toim.). 4. vlj. Tallinn 2017.

^*22 RKPJKo 25.06.2009, 3-4-1-3-09, p 16.

^*23 M. Ernits. PS § 19, komm. 3.1.2. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. Ü. Madise jt (toim.). 4. vlj. Tallinn 2017.

^*24 K. Jaanimägi, L. Oja. PS § 26, komm. 8. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. Ü. Madise jt (toim.). 5. vlj. Tallinn 2020.

^*25 Samas.

^*26 RKHKo 06.01.2021, 3-19-1207, p 22; 19.12.2019, 5-19-38, p 95-96; 14.11.2019, 3-16-2497, p 18; 06.06.2019, 3-17-842, p 25–26; 12.06.2012, 3-3-1-3-12, p 19.

^*27 RKHKo 23.10.2003, 3-3-1-57-03, p 17.

^*28 RKPJKo 12.01.1994, III-4/A-1/94.

^*29 „[I]nimkeskses ühiskonnas tohib põhiõiguste konfliktolukordades kõige vähem piirata inimväärikust – kompleksset põhi õigust, mille elementideks on eeskätt õigus heale nimele, õigus mitte olla hirmul enese ja oma lähedaste eksistentsi pärast, õigus õiguslikule võrdsusele kõigi teiste inimestega, õigus inimlikule identiteedile, informatsioonilise enesemääramise õigus, õigus kehalisele puutumatusele.“ – RKKKo 26.08.1997, 3-1-1-80-97, p I.

^*30 RKKKo 09.02.2021, 4-20-1588.

^*31 RKHKo 07.06.2018, 3-16-586, p 12.

^*32 RKTKo 29.03.2017, 32115316, p 34; samuti RKTKo 26.06.2013, 3-2-1-18-13, p 14.

^*33 Asi nr 6-1/050822. – Õiguskantsleri 2005. aasta tegevuse ülevaade. Tallinn 2006, lk 64. Arvutivõrgus: [Link] (13.05.2024).

^*34 Õiguskantsleri 2005. aasta tegevuse ülevaade. Tallinn 2006, lk 87. – Arvutivõrgus: [Link] (13.05.2024).

^*35 Õiguskantsleri märgukiri 31.05.2013, 6-1/111406/1302445 „Statsionaarse automaatse kiirusmõõtesüsteemi andmekogu põhimäärus“, lk 5. – Arvutivõrgus: [Link] (13.05.2024).

^*36 Õiguskantsleri aastaülevaade 2021/2022. Õigusriik. – Arvutivõrgus: [Link] (13.05.2024); Õiguskantsleri aastaülevaade 2020/2021. Eraelu kaitse. – Arvutivõrgus: [Link] (13.05.2024); Õiguskantsleri aastaülevaade 2019/2020. Eraelu kaitse. – Arvutivõrgus: [Link] (13.05.2024); Õiguskantsleri aastaülevaade 2018/2019. Eraelu kaitse. – Arvutivõrgus: [Link] (13.05.2024).

^*37 BVerfG 15.12.1983, 1 BvR 209/83, p 145, 146.

^*38 Samas, p 149.

^*39 Samas, p 153.

^*40 Samas, p 154.

^*41 Samas, resolutsiooni p 1.

^*42 Natsi-Saksamaa korda saadetud kuriteod olid oluliseks tõukejõuks, et õigust eraelu kaitsele tunnustataks inimõigusena mitmetes rahvusvahelistes inimõigusdokumentides. Vt põhjalikumalt P. K. Tupay. Õigusest eraelule kuni andmekaitse üldmääruseni ehk tundmatu õigus isikuandmete kaitsele. –Juridica 2016/4, lk 228, viitega O. Diggelmann, M. N. Cleis. How the Right to Privacy Became a Human Right. – Human Rights Law Review 14/2014/3, lk 453.

^*43 J. Holvast. History of Privacy. – The History of Information Security: A Comprehensive Handbook. K. d. Leeuw, J. Bergstra (toim.). Amsterdam 2007, lk 15.

^*44 C. W. Mills. The Middle Classes in Middle-Sized Cities: The Stratification and Political Position of Small Business and White Collar Strata. – American Sociological Review 11/1946/5, lk 520–529; C. W. Mills. White Collar: The American Middle Classes. New York 1951; V. O. Packard. The naked society. New York 1965, viidatud artiklis J. Bishop. Book Review: „The Naked Society“. – The Yale Law Journal 74/1964, lk 194–199.

^*45 A. R. Miller. Personal Privacy in the Computer Age: The Challenge of a New Technology in an Information-Oriented Society. – Michigan Law Review 67/1969/6, lk 1107 jj; M. Brenton. The privacy invaders. New York 1964.

^*46 S. D. Warren, L. D. Brandeis. The Right to Privacy. – Harvard Law Review 4/1890/5, lk 193 jj.

^*47 Kuigi paljudes allikates peetakse just seda 1890. aasta artiklit privaatsuse kontseptsiooni sünnihetkeks, kaitsevad privaatsuse eri aspekte juba palju varasemast ajaloost ka näiteks arstisaladus (vrd Hippokratese vanne u 400 eKr), pihisaladus, postisaladus ning samuti kodu puutumatus. Sir Edward Coke (1552–1634) rõhutas juba 1604. aastal Semayne’i kaasuses seoses kodudes toimuvate läbiotsimistega, et igaühe kodu on tema kindlus ja pelgupaik. Kõnealusest kaasusest ja sellele järgnenud diskussioonist formuleerusid ka koju füüsilise tungimise ja selle läbiotsimise põhimõtted, sh kohtu loa nõue, mis leidsid väljenduse ka 1791. a USA konstitutsiooni 4. paranduses. A. Zimmermann. Sir Edward Coke and the Sovereignty of the Law. – Macquarie Law Journal, 17/2017, lk 128; L. K. Donohue. The Original Fourth Amendment. – The University of Chicago Law Review 83/2016/3, lk 1208.

^*48 S. D. Warren, L. D. Brandeis (viide 46), lk 193, 198.

^*49 Vt põhjalikumalt ka B. Bratman. Brandeis and Warren’s „The Right to Privacy and the Birth of the Right to Privacy“. – Tennessee Law Review 69/2002, lk 623; R. C. Turkington. Legacy of the Warren and Brandeis Article: The Emerging Unencumbered Constitutional Right To Informational Privacy. – Northern Illinois University Law Review 10/1990, lk 479.

^*50 W. L. Prosser. Privacy. – California Law Review 48/1960/3, lk 389.

^*51 E. J. Bloustein. Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser. – New York University Law Review 39/1964, lk 971.

^*52 A. F. Westin. Privacy and Freedom. New York, Atheneum 1967, lk 77, viidatud artiklis: J. Holvast. History of Privacy (viide 43), lk 16.

^*53 A. F. Westin. Science, Privacy, and Freedom: Issues and Proposals for the 1970’s: Part I. The Current Impact of Surveillance on Privacy. – Columbia Law Review 66/1966/6, lk 1013, 1018 jj; A. F. Westin. Special Report: Legal Safeguards to Insure Privacy in a Computer Society. – Communications of the ACM 10/1967/9, lk 533–537.

^*54 A. R. Miller (viide 45), lk 1109 jj.

^*55 M. G. Stone, M. Warner. Politics, Privacy, and Computers. – The Political Quarterly 40/1969/3, lk 258.

^*56 Vt Hando Runneli sõnavõtt, Põhiseaduse Assamblee 13. istung, 08.11.1991. – Arvutivõrgus [Link] (13.05.2024); Liia Hänni sõnavõtt, Põhiseaduse Assamblee 18. istung, 29.11.1991. – Arvutivõrgus [Link] (13.05.2024).

^*57 Vrd sotsiaalhoolekande seaduse (SHS) § 15¹ „Noore abivajaduse hindamine“. – RT I, 30.12.2015, 5; 14.12.2023, 3.

^*58 T. Drell. Omavalitsused peavad rohkem märkama eakate sotsiaalseid probleeme. – Sotsiaaltöö 4/2021, lk 18–22. Arvutivõrgus: [Link] (13.05.2024).

^*59 Rahvastikuregistri seaduse § 4 p-d 1 ja 2. – RT I, 17.11.2017, 1; 06.07.2023, 73. Eesti hariduse infosüsteemi eesmärgid on näiteks seadusandja poolt määratletud järgmiselt: tagada andmed hariduspoliitiliste ja rahastamisotsuste tegemiseks; anda õppe- ja haridusasutustele ning avalikkusele usaldusväärset teavet haridussüsteemi ja selle osapoolte kohta; tagada andmed õppijatele tugiteenuste osutamiseks ja toetuste andmiseks; anda usaldusväärset teavet haridusstatistika ja uuringute tegemiseks ning strateegiliseks juhtimiseks; võimaldada õppeasutustes toimuva õppetöö välishindamist; dokumenteerida ja menetleda õppe- ja haridusasutuste majandustegevusteateid, koolitus- ja tegevuslubasid, registreeringuid, õppe läbiviimise õiguse andmeid ning õppekavasid ja residentuuri programme (Eesti Vabariigi haridusseaduse § 36⁶. – RT I 1992, 12, 192; 15.03.2022, 4).

^*60 Liiklusseaduse § 173 lg 1 (RT I 2010, 44, 261; 22.12.2023, 4) sätestab, et liiklusregister on Vabariigi Valitsuse poolt asutatud andmekogu, mille eesmärk on pidada arvestust sõidukite, väikelaevade, alla 12-meetrise kogupikkusega laevade ja jettide, juhilubade ja muude juhtimisõigust tõendavate dokumentide, digitaalse sõidumeeriku kaartide, juhtide ametikoolituse ja registerpantide üle. Samas 1994. aastal oli autoregistri eesmärk Vabariigi Valitsuse poolt sõnastatud järgmiselt: „Autoregistri asutamise ja pidamise eesmärk on koguda ja säilitada aktuaalses ning arhiivregistris usaldusväärset teavet Eestis alaliselt või ajutiselt registreeritud sõidukite ja nende tehnoseisundi ning Eestis väljastatud sõiduki juhilubade ja nende kehtivusaja kohta. Autoregistri andmeid kasutatakse riigivõimu- ja valitsemisorganite tegevuses, majandusprotsesside analüüsimisel, suunamisel ja prognoosimisel ning operatiivtalituste tegevuses.“ Vabariigi Valitsuse 05.05.1994. a määrusega nr 159 kinnitatud „Eesti riikliku autoregistri põhimääruse“ p 2. – RT I 1994, 35, 543.

^*61 U. Lõhmus. E-riik ja jälgimisriik (2017). – U. Lõhmus. Õigusriik ja inimese õigused. Tartu 2018, lk 121.

^*62 RKHKo 07.10.2021, 3-19-467, p 22; 30.04.2019, 3-16-2498, p 17.

^*63 RKHKo 08.04.2015, 3-3-1-9-15, p 16.

^*64 Isikuandmete varjatud töötlemine jälitustoimingutega riivab Riigikohtu hinnangul üldjuhul eraelu puutumatust või selle väljendust mõnes erisättes nagu nt sõnumisaladus (RKKKo 23.02.2015, 3-1-1-51-14, p 22; 21.03.2003, 3-1-1-25-03, p 8.2; RKPJKo 19.12.2019, 5-19-38; 20.03.2014, 3-4-1-42-13, p 40; vt ka RKPJKo 20.03.2014, 3-4-1-42-13, p 40 ja 19.12.2019, 5-19-38, p 95 jt).

^*65 RKHKo 08.04.2015, 3-3-1-9-15, p 17.

^*66 RKHKo 12.06.2012, 3-3-1-3-12, p 19.

^*67 Samas, p 20.

^*68 EL-i andmekaitsereformiga haakus ka Euroopa Nõukogu, kes võttis ette isikuandmete automatiseeritud töötlemise konventsiooni (konventsioon 108)põhjaliku revisjoni, lähendades seda IKÜM-i põhimõtetele.

^*69 IKÜM-i põhjenduspunktid 6 ja 7. Digitaalse globaliseerunud ühiskonna ohtudest vt nt H.-J. Papier. Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft. – Neue Juristische Wochenschrift 2017, lk 3026.

^*70 Vrd nt RKPJKm 16.05.2022, 5-21-30.

^*71 J. Kühling. Das „Recht auf Vergessenwerden“ vor dem BverfG – November(r)evolution für die Grundrechtsarchitektur im Mehrebenensystem. – Neue Juristische Wochenschrift 2020, lk 275.

^*72 Mh IKÜM art 6 lg-d 2 ja 3.

^*73 A. Laurand. PSTS § 2, komm. 193-206. – Eesti Vabariigi põhiseaduse kommentaarid. U. Lõhmus (peatoim.). Eesti Teaduste Akadeemia Riigiõiguse Sihtkapital 2023. – Arvutivõrgus: [Link] (13.05.2024).

^*74 RKHKo 31.10.2000, 3-3-1-41-00, p 4.

^*75 RKHKo 18.05.2021, 3-19-549, p 18, 22.

^*76 RKPJKo 30.10.2018, 5-18-2, p 36.

^*77 RKHKo 31.10.2000, 3-3-1-41-00, p 4. Pädevus- ja sekkumisnormide (volitusnormide) eristamisest vt põhjalikumalt A. Laurand. Veel kord diplomi kehtetuks tunnistamisest plagiaadi tõttu. – Juridica 2019/7, lk 478 jj; M. Ernits. PS § 3, komm. 115. – Eesti Vabariigi põhiseaduse kommentaarid. U. Lõhmus (peatoim.). Eesti Teaduste Akadeemia Riigiõiguse Sihtkapital 2023. – Arvutivõrgus: [Link] (13.05.2024).

^*78 Nõuetest seaduslikule alusele ja andmete väljastamisest, kui haldusorgan küsib andmeid eraõiguslikult isikult, vt põhjalikumalt M. Mikiver, N. Siitam. Massisikuandmete sõelumine kui haldusmenetluse ettevalmistus: õppetunnid Euroopa Kohtu otsusest asjas C-175/20. – Juridica 2023/7, lk 577−597.

^*79 Riigikontrolli kontrolliakt infosüsteemide arendusprojektide tulemuslikkuse kohta, 2001, lk 7. Arvutivõrgus: [Link] (13.05.2024).

^*80 Samas, lk 18.

^*81 Andmekogude seaduse (AKS) § 2 lg 7 (RT I 1997, 28, 423) sätestas, et andmete ristkasutus on andmete ülekandmine ühest andmekogust teise või mitmes andmekogus sisalduvate andmete ühine infotehnoloogiline töötlemine. Ristkasutus oli lubatav ainult seaduses või määruses selgelt ette nähtud juhul, lisaks vajas see kuni 30.09.2003 Andmekaitse Inspektsiooni luba ning kaaluda tuli ka eraelu puutumatuse põhiõigust (§ 12 lg 2).

^*82 K. Oone. Õigusloome IT valdkonnas. – RISO aastaraamat 1999. Kättesaadav Majandus- ja Kommunikatsiooniministeeriumis.

^*83 U. Vallner. Riigi andmekogude keskkiht. – RISO aastaraamat 2000. Kättesaadav Majandus- ja Kommunikatsiooniministeeriumis.

^*84 P. F. Lillemaa. IT-valdkonna õiguse areng 2001. aastal. – RISO aastaraamat 2001. Kättesaadav Majandus- ja Kommunikatsiooniministeeriumis.

^*85 A. Ott. Riigisektori IKT valdkonna arengutest 2001. aastal. – RISO aastaraamat 2001. Kättesaadav Majandus- ja Kommunikatsiooniministeeriumis.

^*86 R. Kivi. Riigi andmekogude hetkeolukord ja Andmekogude seadus. – IT avalikus halduses. Aastaraamat 2003. Kättesaadav Majandus- ja Kommunikatsiooniministeeriumis.

^*87 Asi nr 7-4/070255. Õiguskantsleri 2007. aasta tegevuse ülevaade. Tallinn 2008, lk 207. – Arvutivõrgus: [Link] (13.05.2024).

^*88 Politseiameti vastusest õiguskantslerile selgus, et andmekogust POLIS väljastati andmeid Piirivalveametile vastavalt siseministri 11.12.2003. a käskkirjale nr 552 „Teabevahetuse korraldamine Politseiametilt Piirivalveametile“. Piirivalveametile edastati tagaotsitavate ja teadmata kadunud isikute ning tagaotsitavate sõidukite andmed. Siseministri 11.12.2003. a käskkiri nr 557 „Teabevahetuse korraldamine Kodakondsus- ja Migratsiooniametilt Piirivalveametile“ paneb KMA-le kohustuse väljastada andmesidevõrkude vahendusel Piirivalveametile isikut tõendavate dokumentide andmeid. KMA ja Piirivalveameti vahel on 29.04.2004 sõlmitud isikuandmete üleandmise akt, mille järgi edastab KMA isikut tõendavate dokumentide andmekogust andmeid Piirivalveametile. – Samas, lk 207–208.

^*89 Vrd AKS § 33 p 4, § 35 p 8. Seetõttu oleks tulnud niipea, kui otsustati anda Piirivalveametile andmekogust POLIS ja KMA väljaantavate isikut tõendavate dokumentide andmekogust pärit andmetele püsiv juurdepääs, kujundada andmekogu ümber riiklikuks registriks, kust oleks olnud lubatud andmeid edastada ka teistele riigiasutustele, ning sätestada seaduses ka andmete ristkasutus. Õiguskantsleri viidatud puuduste kõrvaldamiseks töötati välja politseiseaduse ja mitmete muude seaduste muutmise seaduse eelnõu, mille Riigikogu võttis vastu 14.11.2007 ja mis jõustus 21.12.2007. Nimetatud seaduses nähti muu hulgas ette volitusnorm, millega antakse Vabariigi Valitsusele õigus asutada isikut tõendavate dokumentide register. Sama seadusega muudeti ka piirivalveseadust. 08.07.2007 jõustus politseiseaduse § 51, mille lg 1 järgi on politseil õigus töödelda oma ülesannete täitmiseks isikuandmeid ja asutada andmekogusid kooskõlas isikuandmete kaitse seadusega. Siseministri 03.10.2007. a määrusega nr 66 kinnitati „Politsei andmekogu asutamine ja andmekogu pidamise põhimäärus“. – Samas, lk 209–210.

^*90 Andmekogudevahelist turvalist andmevahetust võimaldanud X-tee andmevahetuskihi loomist ja õiguslikku reguleerimist on siinse artikli autor käsitlenud analüüsis „Andmekogud ja isikuandmed: EV Põhiseadusest ja IKÜM-ist tulenevad nõuded regulatsioonile“, lk 11–12. – Arvutivõrgus: [Link] (13.05.2024).

^*91 Avaliku teabe seaduse ja sellega seonduvate seaduste muutmise seaduse eelnõu (1027 SE, Riigikogu X koosseis) seletuskiri, 24.01.2007, lk 18. – Seaduseelnõud on kättesaadavad veebilehel: [Link] (12.05.2024).

^*92 Avaliku teabe seaduse (AvTS) § 43³ lg 1. – RT I 2000, 92, 597; 07.03.2023, 11.

^*93 AvTS § 43⁵ lg 1.

^*94 AvTS § 43⁵ lg 2.

^*95 Isikuandmete kaitse seaduse § 14 lg 2 p 1. – RT I 2007, 24, 127.

^*96 Riikliku statistika seaduse ja avaliku teabe seaduse muutmise seaduse eelnõu (794 SE, Riigikogu XIII koosseis), muudatusettepanek nr 2.2 teiseks lugemiseks. – Seaduseelnõud on kättesaadavad veebilehel: [Link] (12.05.2024).

^*97 Maksukorralduse seaduse § 29. – RT I 2002, 26, 150; 02.05.2024, 10.

^*98 Kohtuekspertiisiseaduse § 19. – RT I, 03.02.2023, 1.

^*99 Politsei ja piirivalve seaduse § 7⁵⁹ lg 1. – RT I 2009, 26, 159; 06.07.2023, 64.

^*100 „(2) Käesoleva paragrahvi lõikes 1 nimetatud juhul võib Politsei- ja Piirivalveamet töödelda isikuandmeid, sealhulgas eriliiki isikuandmeid, ja koguda tõendeid järgmiste asjaolude kohta:
1) isikusamasuse tuvastamise andmed, kontaktandmed, elukoha andmed, kodakondsuse ja isikut tõendava dokumendi andmed, töökoha andmed ning era- ja perekonnaelu andmed;
2) andmed isikule määratud karistuste ja karistatuse, karistusest vabastamise ning karistuste täitmisele pööramise kohta;
3) andmed isiku suhtes algatatud kriminaalmenetluste, kus ta on tunnistatud kahtlustatavaks või süüdistatavaks, ning nendes asjades tehtud menetlust lõpetava lahendi kohta;
4) andmed isiku seotuse kohta organisatsiooni või liikumisega, mis oma tegevusega eirab avalikku korda või mille tegevus on suunatud Eesti Vabariigi iseseisvuse ja sõltumatuse vägivaldsele muutmisele, territoriaalse terviklikkuse vägivaldsele rikkumisele, vägivaldsele võimuhaaramisele või Eesti põhiseadusliku korra vägivaldsele muutmisele;
5) andmed isiku välispiiri ületuste ja välisriigis viibimise kohta, et tuvastada isiku viibimine välisriigis, mis on kantud riigisaladuse ja salastatud välisteabe seaduse § 19 lõike 3 alusel kehtestatud nimekirja ning mille puhul kehtib sama paragrahvi lõikes 2 nimetatud teatamiskohustus;
6) andmed isiku seotuse kohta välisriigi luure- või julgeolekuteenistusega.“

^*101 PPVS § 38.

^*102 Siseministri 12.04.2013. a määrus nr 15 „Politseiametniku ning Politsei- ja Piirivalveameti struktuuriüksuse juhi ametikohal teenistuses oleva ametniku kutsesobivusnõuded, nende kontrollimise tingimused ja kord“. – RT I, 18.04.2013, 16; 28.11.2023, 16.

^*103 PPVS § 38.

^*104 Isikuandmete kaitse seaduse rakendamise seaduse eelnõu (778 SE, Riigikogu XIII koosseis) seletuskiri, lk 81. – Seaduseelnõud on kättesaadavad veebilehel: [Link] (12.05.2024).

^*105 Kaitseväeteenistuse seaduse § 14 lg 1. – RT I, 10.07.2012, 1; 20.02.2024, 4.

^*106 Kaitseväeteenistuse seaduse ja teiste seaduste muutmise seaduse eelnõu (607 SE, Riigikogu XIII koosseis) seletuskiri, lk 7. – Seaduseelnõud on kättesaadavad veebilehel: [Link] (12.05.2024).

^*107 Tolliseaduse § 8. – RT I, 16.06.2017, 1; 30.06.2023, 80.

^*108 VangS § 5³ lg 3. – RT I 2000, 58, 376; 22.03.2024, 12.

^*109 Korruptsioonivastase seaduse § 15 lg 6. – RT I, 29.06.2012, 1; 06.07.2023, 48.

^*110 SHS § 132 lg 6¹.

^*111 RKHKo 18.05.2021, 3-19-549, p 18.

^*112 I. Pilving. Sugupuud müügiks ja roolijoodikud häbiposti? Isikuandmetega seonduvad piirangud avaliku teabe avaldamisel. –Juridica 2004/2, lk 81.

^*113 HMS § 5 lg 1, §-d 3 ja 4. – RT I 2001, 58, 354; 06.07.2023, 31.

^*114 A. Aedmaa, E. Lopman, N. Parrest, I. Pilving, E. Vene. Haldusmenetluse käsiraamat. Tartu 2004, lk 39.

^*115 Samas.

^*116 Samas, lk 184.

^*117 Vrd RKHKo 07.06.2018, 3-16-586, p 16.

^*118 Korrakaitseseaduse (KorS) § 30 lg 3 ja § 23. – RT I, 22.03.2011, 4; 14.03.2023, 29; vrd ka RKHKo 28.05.2021, 3-18-1511, p 13.

^*119 KorS § 30 lg 5.

^*120 Korrakaitseseaduse muutmise ja rakendamise seaduseelnõu (424 SE, Riigikogu XII koosseis) seletuskiri, lk 11–12. – Seaduseelnõud on kättesaadavad veebilehel: [Link] (12.05.2024).

^*121 Seletuskiri isikuandmete kaitse seaduse rakendamise seaduse eelnõu juurde (778 SE, Riigikogu XIII koosseis), lk 24. – Seaduseelnõud on kättesaadavad veebilehel: [Link] (12.05.2024). Vt isikuandmete töötlemise üldvolituste kui volitusnormide kohta ka M. Mikiver, N. Siitam. Massisikuandmete sõelumine (viide 78), lk 591–592.

^*122 Ministeeriumid olid ABIS-e eelnõu kooskõlastamisel kriitilised. – ERR 15.06.2021. Arvutivõrgus: [Link] (13.05.2024).

^*123 President arutas Helmega ABIS-e seaduse murekohti. – ERR 16.06.2021. Arvutivõrgus: [Link] (13.05.2024).

^*124 Isikut tõendavate dokumentide seaduse (ITDS) § 5 lg 1. – RT I 1999, 25, 365; 26.04.2024, 13.

^*125 Vabariigi Valitsuse 23.12.2021. a määruse nr 125 „Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus“ § 9. – RT I, 31.12.2021, 18; 03.10.2023, 17.

^*126 Siseministri 18.12.2015. a määruse nr 78 „Isikut tõendavate dokumentide andmekogu pidamise põhimäärus“ § 7 p-d 7, 8; § 8 p-d 9, 10, 12. – RT I, 22.12.2015, 45; 26.08.2022, 13.

^*127 ITDS § 92 lg 5.

^*128 Majandus- ja kommunikatsiooniministri 21.06.2011. a määrus nr 50 „Mootorsõidukijuhi eksamineerimise, talle juhtimisõiguse andmise kord ja juhiloa vormid ning nõuded eksamisõidukitele“. – RT I, 28.06.2011, 18; 28.07.2023, 3.

^*129 Notariaadiseadus § 31 lg 1 – RT I 2000, 104, 684; 06.07.2023, 60.

^*130 Justiitsministri 19.06.2009. a määruse nr 23 „Notariaadimäärustik“ § 50. – RTL 2009, 51, 751; RT I, 08.03.2024, 3.

^*131 Isikut tõendavate dokumentide andmekogu pidamise põhimääruse (viide 126) § 16 lg 5.

^*132 Samamoodi on see reguleeritud siseministri 28.09.2018. a määruse nr 23 „Teenistus- ja tsiviilrelvade registri põhimäärus“ § 24 lg-s 5 (RT I, 07.07.2023, 8) ja mitmes teises põhimääruses. Näiteks sotsiaalkaitseministri 05.03.2019. a määruses nr 12 „Sotsiaalkaitse infosüsteemi põhimäärus“ (RT I, 07.03.2019, 7; 16.05.2023, 5) on ette nähtud, et seaduse, välislepingu või Euroopa Liidu otsekohalduva õigusaktiga ette nähtud ülesannete täitmiseks infosüsteemist andmete väljastamine teise andmekogusse või teisele asutusele toimub asutustevahelise andmevahetuskokkuleppe alusel. Kokkuleppes lepivad vastutav töötleja ja andmesaaja kokku väljastatavate andmete koosseisu ning andmete väljastamise tingimused, korra ja viisi. Isikuandmete edastamine Euroopa Liitu mittekuuluvasse riiki toimub riikidevahelise sotsiaalkindlustuslepingu alusel (§ 19 lg 2).

^*133 RKHKo 07.06.2018, 3-16-586, p 16.

^*134 IKÜM-ist tulenevat käsitlust vt põhjalikumalt: M. Mikiver, P. K. Tupay. Has the GDPR killed e-government? The „once-only“ principle vs the principle of purpose limitation. – International Data Privacy Law 13/2023/3, lk 194–206. DOI: [Link].

^*135 Artikli 29 alusel loodud andmekaitse töörühm on direktiiviga seoses selgitanud punktide c ja e vahetegu järgmiselt: „Tegu võib olla ka avaliku sektori asutuse kohustusega, kuna artikli 7 punkti c kohaldamine ei ole mingil viisil piiratud avaliku või erasektoriga. Seda saab kohaldada näiteks selliste andmete suhtes, mida kogub kohalik asutus vales kohas parkimise eest määratud trahvide haldamiseks. […] Vastutaval töötlejal ei tohi olla valikut, kas täita kohustust või mitte. […] Lisaks peab seadusjärgne kohustus olema isikuandmete töötlemise nõudmise küsimuses piisavalt selge. Seega kohaldatakse artikli 7 punkti c selliste õiguslike sätete alusel, milles osutatakse sõnaselgelt töötlemise liigile ja objektile. Vastutaval töötlejal ei tohi olla põhjendamatul määral otsustusõigust küsimuses, kuidas seadusjärgset kohustust täita. […] Õigusaktides võib mõnel juhul olla kindlaks määratud vaid üldine eesmärk, kusjuures konkreetsemad kohustused on kehtestatud muudel tasanditel, näiteks kas teiseste õigusaktidega või avaliku sektori asutuse siduva otsusega konkreetse juhtumi kohta. See võib samuti tekitada artikli 7 punkti c kohase seadusjärgse kohustuse, eeldusel et töötlemise liik ja objekt on täpselt kindlaks määratud ja töötlemisel on piisav õiguslik alus.“ Vt põhjalikumalt art 29 töörühma arvamust õigustatud huvi kohta, lk 18 jj. Kättesaadav: [Link] (13.05.2024).

^*136 IKÜM põhjenduspunkt 5.

^*137 Ka põhjenduspunkt 45: „Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis. Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks.“

^*138 B. Buchner, Th. Petri. Art 6, komm. 2, 93. – Datenschutz-Grundverordnung BDSG Kommentar. J. Kühling, B. Bruchner (toim.). München 2020; P. Reimer. Art 6, komm. 29. – Europäische Datenschutzgrundverordnung. Handkommentar. Baden-Baden 2019.

^*139 P. Schantz. Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht. – Neue Juristische Wochenschrift 2016, lk 1841, 1842.

^*140 A. Roßnagel. Art 6 lg 2, komm-d (vrd viide 138) 1 ja 16. – Datenschutzrecht: DSGVO mit BDSG. S. Simitis, G. Hornung, I. Spiecker-Döhmann (toim.). Baden-Baden 2019.

^*141 Samas, Art 6 lg 4, komm. 18.

^*142 B. Buchner, Th. Petri (viide 138). Art 6, komm. 200.

^*143 A. Roßnagel (viide 140). Art 6 lg 4, komm. 28.

^*144 M. Martini, M. Wenzel: „Die Mitgliedstaaten dürfen dadurch den Zweckbindungsgrundsatz jedoch nicht ad absurdum führen. Die Kompatibilitätskriterien des Art. 6 Abs. 4 DSGVO bilden deshalb die äußerste Grenze für die gesetzgeberische Beurteilung, welche weiteren Verarbeitungszwecke noch im Rahmen des Zulässigen liegen.“ Vt M. Martini, M. Wenzel. „Once only“ versus „only once“: Das Prinzip einmaliger Erfassung zwischen Zweckbindungsgrundsatz und Bürgerfreundlichkeit. – Deutsches Verwaltungsblatt 2017, lk 749–758.

^*145 A. Roßnagel (viide 140). Art 6 lg 4, komm. 29 jj.

^*146 Euroopa Liidu Kohus (EKo 06.10.2015, C‑362/14, Schrems, p 39) on selgitanud : „Direktiivi 95/46 artiklist 1 ning põhjendustest 2 ja 10 nähtub, et direktiivi eesmärk on tagada mitte ainult füüsiliste isikute põhiõiguste ja vabaduste ning eelkõige nende õiguse eraelu puutumatusele tõhus ja täielik kaitse isikuandmete töötlemisel, vaid ka põhiõiguste ja ‑vabaduste kaitse kõrge tase. Seda, et nii harta artikliga 7 tagatud põhiõigus eraelu puutumatusele kui ka artikliga 8 tagatud põhiõigus isikuandmete kaitsele on olulised, on lisaks rõhutatud ka Euroopa Liidu Kohtu praktikas (vt kohtuotsused Rijkeboer, C-553/07, EU:C:2009:293, punkt 47; Digital Rights Ireland jt, C-293/12 ja C-594/12, EU:C:2014:238, punkt 53, ning Google Spain ja Google, C-131/12, EU:C:2014:317, punktid 53, 66 ja 74 ning seal viidatud kohtupraktika).

^*147 Vrd IKÜM põhjenduspunkt 5: „Siseturu toimimisest tulenev majandus- ja sotsiaalne integratsioon on isikuandmete piiriüleseid andmevoogusid märkimisväärselt suurendanud. Avaliku ja erasektori osalejate […] vaheline isikuandmete vahetus on suurenenud kogu liidus. Liikmesriikide ametiasutusi kutsutakse liidu õiguses üles tegema koostööd ja vahetama isikuandmeid, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel.“ Põhjenduspunkt 6: „Kiire tehnoloogiline areng ja üleilmastumine on tekitanud isikuandmete kaitsel uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma tegevuses enneolematus ulatuses. […] Tehnoloogia on põhjalikult muutnud nii majandust kui ka ühiskondlikku elu ja peaks täiendavalt hõlbustama liidusisest andmete vaba liikumist ning nende kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele edastamist, tagades samal ajal isikuandmete kõrgetasemelise kaitse.“ Põhjenduspunkt 7: „[…]. Füüsiliste isikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust füüsiliste isikute, ettevõtjate ja avaliku sektori asutuste seisukohast.“

^*148 Viitega EKo 07.05.2009, C‑553/07, Rijkeboer, p 49.

^*149 IKÜM art 12 lg 1, art-d 13 ja 14.

^*150 IKÜM art 14 lg 1 ja 2.

^*151 IKÜM art 14 lg 4.

^*152 IKÜM art 14 lg 5 p c näeb ette, et art 14 lg 1–4 ei kohaldata, kui isikuandmete saamine või avaldamine on sõnaselgelt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks.

^*153 Samas.

^*154 Spiros Simitis (1934–2023) töötas alates 1969. aastast professorina Maini-äärse Frankfurdi ülikoolis, olles andmekaitse teerajaja, eelkõige tööõiguse seisukohast, ning osales maailma esimese andmekaitseseaduse, 1970. aasta Hesseni andmekaitseseaduse koostamisel. 1975–1991 oli ta Hesseni liidumaa andmekaitsevolinik ja Hesseni andmekaitseseaduse autor. Euroopa Nõukogu raames ja EL-i komisjoni nõunikuna avaldas Spiros Simitis märkimisväärset mõju andmekaitse aluste loomisele Euroopas.

^*155 S. Simitis. Von der Amtshilfe zur Informationshilfe – Informationsaustausch und Datenschutzanforderungen in der öffentlichen Verwaltung. – Neue Juristische Wochenschrift 1986, lk 2795.

Isikuandmeid ristkasutav e-riik ja seadusereservatsioon. Kas efektiivsus tõrjub põhiseaduslikud nõuded?

I. Sissejuhatus

II. Isikuandmete ristkasutus kui põhiõiguste riive

A. Põhiseaduse § 26 või § 19 – kaitseala määratlemine isikuandmete kaitse kontekstis

B. Eraelu puutumatuse ja informatsioonilise enesemääramisõiguse sügavam olemus

C. Kas isikuandmete töötlemine algsest erineval eesmärgil kuulub eraelu puutumatuse põhiõiguse kaitsealasse?

D. Kas Eesti Vabariigi põhiseadus on üldse kohaldatav?

III. Seadusereservatsiooni põhimõtte väljendumine eesmärki muutva töötlemise reguleerimisel

A. Seadusereservatsiooni põhimõte

B. Pilk ajalukku – seadusliku aluse nõue andmekogude seaduses

IV. Andmekogude ristkasutus avaliku teabe seaduses

A. Erinev praktika eesmärki muutva töötlemise reguleerimisel

1. Andmekogu asutav seadus

2. Eriseaduses ette nähtud õigus saada andmeid riigi andmekogudest

3. Uurimispõhimõte ja tõendamine haldusmenetluses

4. Juurdepääsude reguleerimine andmekogude põhimäärustes

B. Euroopa Liidu õiguse mõju eesmärki muutva töötlemise reguleerimisele

1. Eesmärgi piirangu reguleerimine

2. Läbipaistvus kui täiendav mõõdupuu

V. Kokkuvõte

Märkused:

* Artikkel põhineb 26.–27.05.2022. a toimunud konverentsil „Haldusmenetlus 20“ peetud ettekandel.

*1 A. T. Orav. E-riik ei jõua puudega inimeseni. Ema peab kaitseväele tõestama, et poeg ei oska rääkida. – Eesti Päevaleht 18.09.2019. Arvutivõrgus: [Link] (13.05.2024)

*2 K. Tarand. Hoia, laadi, püsi, kanna, pese! – Sirp 30.10.2020. Arvutivõrgus: [Link] (13.05.2024).

*3 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27.04.2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) art 5 lg 1 p b.

*4 Article 29 Data Protection Working Party. Opinion 03/2013 on purpose limitation, lk 4. – Arvutivõrgus: [Link] (13.05.2024).

*5 Majandus- ja Kommunikatsiooniministeerium. E-teenused toimivad peagi nähtamatult. 25.05.2017. Arvutivõrgus: [Link]. Vt ka M. Juha. Proaktiivne profileeriv personaalne e-riik. Kas inimese osalus ja läbipaistvus jäävadki unarusse? – Juridica 2023/6, lk 501−513.

*7 Sotsiaalkindlustusamet. Sotsiaalkindlustusamet avas esimese proaktiivse avaliku teenuse. 14.10.2019. – Arvutivõrgus: [Link] (13.05.2024).

*8 Eesti Teadusagentuur. Programmi RITA tegevuse 1 projekti „Masinõppe ja AI toega ­teenused“ lõpparuanne, mai 2022, lk 24. – Arvutivõrgus: [Link] (13.05.2024).

*9 M. Belkin. Maksuamet hakkab tehisintellekti abiga ümbrikupalga maksjaid püüdma. – Rahageenius 06.01.2020. Arvutivõrgus: [Link] >[Link] (13.05.2024).

*10 V. Korpan. Kirglik analüütik. – Radar. Politsei- ja Piirivalveameti ajakiri 2014/9, lk 13.

*11 Krattide kasutuslood. SATIKAS. – Arvutivõrgus: [Link] (13.05.2024).

*12 Õiguskantsleri 2005. aasta tegevuse ülevaade. Tallinn 2006, lk 87–88. Arvutivõrgus: [Link] (13.05.2024).

*13 Samas.

*14 M. Ernits. PS § 19, komm. 4.1. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. E.-J. Truuväli jt (toim.). Tallinn 2002.

*15 R. Alexy. Põhiõigused Eesti põhiseaduses. –Juridica 2001 eriväljaanne, lk 50. Vt ka P. K. Tupay, M. Mikiver. E-riik ja põhiõigused. –Juridica 2015/3, lk 167.

*16 EIKo 16.09.1992, 13710/88, Niemietz vs. Saksamaa, p 29; EIKo 29.04.2002, 2346/02, Pretty vs. Ühendkuningriik, p 61; EIKo 28.01.2003, 44647/98, Peck vs. Ühendkuningriik, p 57.

*17 EIKo 06.09.1978, 5029/71, Klass jt; EIKo 26.03.1987, 9248/81, Leander vs. Rootsi; EIKo 25.09.2001, 44787/98, P. G. ja J. H. vs. Ühendkuningriik.

*18 EIKo 16.09.1992, 13710/88, Niemietz vs. Saksamaa, p 29.

*19 EIKo 04.05.2000, 28341/95, Rotaru vs. Rumeenia.

*20 U. Lõhmus. PS § 26, komm. 8.3. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. E.-J. Truuväli jt (toim.). Tallinn 2002.

*21 K. Jaanimägi, L. Oja. PS § 26, komm. 24. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. Ü. Madise jt (toim.). 4. vlj. Tallinn 2017.

*22 RKPJKo 25.06.2009, 3-4-1-3-09, p 16.

*23 M. Ernits. PS § 19, komm. 3.1.2. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. Ü. Madise jt (toim.). 4. vlj. Tallinn 2017.

*24 K. Jaanimägi, L. Oja. PS § 26, komm. 8. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne. Ü. Madise jt (toim.). 5. vlj. Tallinn 2020.

*25 Samas.

*26 RKHKo 06.01.2021, 3-19-1207, p 22; 19.12.2019, 5-19-38, p 95-96; 14.11.2019, 3-16-2497, p 18; 06.06.2019, 3-17-842, p 25–26; 12.06.2012, 3-3-1-3-12, p 19.

*27 RKHKo 23.10.2003, 3-3-1-57-03, p 17.

*28 RKPJKo 12.01.1994, III-4/A-1/94.

*30 RKKKo 09.02.2021, 4-20-1588.

*31 RKHKo 07.06.2018, 3-16-586, p 12.

*32 RKTKo 29.03.2017, 32115316, p 34; samuti RKTKo 26.06.2013, 3-2-1-18-13, p 14.

*33 Asi nr 6-1/050822. – Õiguskantsleri 2005. aasta tegevuse ülevaade. Tallinn 2006, lk 64. Arvutivõrgus: [Link] (13.05.2024).

*34 Õiguskantsleri 2005. aasta tegevuse ülevaade. Tallinn 2006, lk 87. – Arvutivõrgus: [Link] (13.05.2024).

*35 Õiguskantsleri märgukiri 31.05.2013, 6-1/111406/1302445 „Statsionaarse automaatse kiirus­mõõtesüsteemi andmekogu põhimäärus“, lk 5. – Arvutivõrgus: [Link] (13.05.2024).

*37 BVerfG 15.12.1983, 1 BvR 209/83, p 145, 146.

*38 Samas, p 149.

*39 Samas, p 153.

*40 Samas, p 154.

*41 Samas, resolutsiooni p 1.

*43 J. Holvast. History of Privacy. – The History of Information Security: A Comprehensive ­Handbook. K. d. Leeuw, J. Bergstra (toim.). Amsterdam 2007, lk 15.

*45 A. R. Miller. Personal Privacy in the Computer Age: The Challenge of a New Technology in an Information-Oriented Society. – Michigan Law Review 67/1969/6, lk 1107 jj; M. Brenton. The privacy invaders. New York 1964.

*46 S. D. Warren, L. D. Brandeis. The Right to Privacy. – Harvard Law Review 4/1890/5, lk 193 jj.

*48 S. D. Warren, L. D. Brandeis (viide 46), lk 193, 198.

*50 W. L. Prosser. Privacy. – California Law Review 48/1960/3, lk 389.

*51 E. J. Bloustein. Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser. – New York University Law Review 39/1964, lk 971.

*52 A. F. Westin. Privacy and Freedom. New York, Atheneum 1967, lk 77, viidatud artiklis: J. Holvast. History of Privacy (viide 43), lk 16.

*54 A. R. Miller (viide 45), lk 1109 jj.

*55 M. G. Stone, M. Warner. Politics, Privacy, and Computers. – The Political Quarterly 40/1969/3, lk 258.

*56 Vt Hando Runneli sõnavõtt, Põhiseaduse Assamblee 13. istung, 08.11.1991. – Arvutivõrgus [Link] (13.05.2024); Liia Hänni sõnavõtt, Põhiseaduse Assamblee 18. istung, 29.11.1991. – Arvutivõrgus [Link] (13.05.2024).

*57 Vrd sotsiaalhoolekande seaduse (SHS) § 151 „Noore abivajaduse hindamine“. – RT I, 30.12.2015, 5; 14.12.2023, 3.

*58 T. Drell. Omavalitsused peavad rohkem märkama eakate sotsiaalseid probleeme. – Sotsiaaltöö 4/2021, lk 18–22. Arvutivõrgus: [Link] (13.05.2024).

*61 U. Lõhmus. E-riik ja jälgimisriik (2017). – U. Lõhmus. Õigusriik ja inimese õigused. Tartu 2018, lk 121.

*62 RKHKo 07.10.2021, 3-19-467, p 22; 30.04.2019, 3-16-2498, p 17.

*63 RKHKo 08.04.2015, 3-3-1-9-15, p 16.

*65 RKHKo 08.04.2015, 3-3-1-9-15, p 17.

*66 RKHKo 12.06.2012, 3-3-1-3-12, p 19.

*67 Samas, p 20.

*68 EL-i andmekaitsereformiga haakus ka Euroopa Nõukogu, kes võttis ette isikuandmete automati­seeritud töötlemise konventsiooni (konventsioon 108)põhjaliku revisjoni, lähendades seda IKÜM-i põhimõtetele.

*69 IKÜM-i põhjenduspunktid 6 ja 7. Digitaalse globaliseerunud ühiskonna ohtudest vt nt H.-J. Papier. Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft. – Neue Juristische Wochenschrift 2017, lk 3026.