Nr 35

Laadi alla

Jaga

Prindi

Mida me teame kohalike omavalitsuste andmekogudest?

Riigikontroll leidis, et kohalikud omavalitsused koguvad andmeid sadadesse andmekogudesse, millest enamik ei ole läbinud kontrolli, ega kasuta ära tehnilisi võimalusi turvaliseks andmevahetuseks.

Riik ja kohalikud omavalitsused küsivad mitmesuguseid andmeid, tihti on põhjuseks inimese soov saada mõnd avalikku teenust. Aeg-ajalt tõuseb päevakorda probleem, kas riigile või omavalitsusele kord juba esitatud andmeid tohib ikka ja jälle üle küsida või kas neile usaldatud andmed on hästi hoitud. Kui selliseid probleeme esineb, siis neid juhtumeid uuritakse ja need leiavad ka lahenduse, kuid terviklikku ülevaadet, kui palju ja milleks asutused inimestelt andmeid koguvad, tegelikult ei ole.

Andmete kogumisel peab silmas pidama järgmisi põhimõtteid:

  • asutus võib andmeid koguda ainult oma ülesannete täitmiseks ja vajalikus ulatuses;
  • kord juba kogutud andmeid ei tohi küsida dubleerivalt;
  • andmed peavad olema kaitstud ja neid tuleb kasutada turvaliselt.

Kui asutus kogub, süstematiseerib, töötleb ja säilitab andmeid avaliku ülesande täitmiseks, on tegemist andmekogu pidamisega. Andmekogu pidamine ei ole omaette eesmärk, vaid peab aitama kogutud andmeid hoida ja kasutada mõne avaliku ülesande täitmiseks.

Kuigi ka erasektor kogub andmeid (nt pangad oma klientide kohta), ei hõlma andmekogu mõiste ega avaliku teabe seaduse andmekogu puudutavad reeglid erasektori tegevust. Andmekogu tohib asutada, kui seaduses või selle alusel antud õigusaktis on asjakohane luba. Andmekogu tuleb registreerida Riigi Infosüsteemide Ametis (andmekogu registreeritakse riigi infosüsteemi halduse infosüsteemis – edaspidi RIHA). RIHAs registreerimise eesmärk on toetada andmekogude koosvõimet ja kontrollida nende vastavust nõuetele. Kontroll hõlmab andmekogu tehnilisi näitajaid, andmete koosseisu ning muude nõuete täitmist. Olenemata sellest, kas andmeid kogutakse andmekogu pidamiseks või mitte, on andmekogu puudutavad nõuded vaid üks osa. Nende kõrval on hulk kohustusi, mis puudutavad andmeid endid ja mida asutusel tuleb alati täita. Eriti ranged on nõuded, kui tegemist on isikuandmetega.

Ei andmekogu mõiste ega andmekogu puudutavad avaliku teabe seaduse reeglid hõlma erasektori tegevust.

Artiklis ei ole käsitletud andmete kogumise ja säilitamisega seotud teemasid laiemalt, vaid on keskendutud andmekogude teemadele. Kuna suure osa andmeid küsivad inimeste käest omavalitsused, kellele andmed on vajalikud oma ülesannete täitmiseks, soovis Riigikontroll (2017) saada ülevaate omavalitsuste andmekogudest ja veenduda, et nende andmekogude esmane kontroll on tehtud.

KAS OMAVALITSUSTE ANDMEKOGUDEST ON ÜLEVAADE?

Ülevaade kasutusel olevatest andmekogudest, sh omavalitsuste peetavatest andmekogudest peaks olema Riigi Infosüsteemide Ametil, kes andmekogud registreerib. Selgus aga, et 2016. aasta lõpuks olid omavalitsused registreerinud RIHAs vaid 175 andmekogu. Seda on vähem, kui Eestis omavalitsusi kokku (omavalitsusi on 213). Kui Tallinna linn oli registreerinud RIHAs 23 andmekogu ja Pärnu linn kaheksa, siis Tartu linn oli RIHAs registreerinud kaks andmekogu. Ligi 100 omavalitsust ei olnud registreerinud aga ühtegi andmekogu (vt tabel 1).

TABEL 1. Kohalike omavalitsuste (KOV) jaotus RIHAs registreeritud andmekogude arvu järgi aastal 2016

Milliseid andmekogusid peaksid omavalitsused kindlasti pidama, pole seaduses otsesõnu (väheste eranditega) ette nähtud. Omavalitsuste kohustusena, mille täitmiseks peab andmekogu pidama, on seaduses nimetatud vaid dokumendiregistrit ning lisaks veel mõnd ülesannet, mil omavalitsusel tuleb pidada registrit või koguda andmeid. Näiteks jäätmeseadus kohustab omavalitsust asutama jäätmevaldajate registri, loomatauditõrjeseadus näeb ette, et omavalitsus korraldab koerte ja vajaduse korral teiste lemmikloomade üle arvestuse pidamise, kalmistuseaduse kohaselt peab kalmistu haldaja koguma maetud isikute, hauaplatside ja hauaplatside kasutajate andmeid. Kuigi mõnes väiksemas omavalitsuses on võimalik näiteks koerte üle arvestust pidada lihtsamalt, selleks eraldi andmekogu loomata ja kõigi omavalitsuste halduses ei pruugigi kalmistuid olla, on ilmne, et tegelikult peavad omavalitsused palju rohkem andmekogusid, kui need 175, mida Riigi Infosüsteemide Amet on RIHAs registreerinud. See tähendab ka seda, et suure hulga andmekogude tehniliste näitajate ja turvalisuse, aga ka kogutavate andmete koosseisu ja andmete dubleeriva kogumise kohta pole kellelgi ülevaadet.

MILLISED KAUDSED ALLIKAD VIITAVAD OMAVALITSUSE ANDMEKOGU PIDAMISELE?

Et teada, kui palju on omavalitsustel peale RIHAs registreeritute veel andmekogusid, kasutas Riigikontroll varasemates auditites saadud infot (2015, 2016), avalikke allikaid (infot ministeeriumide kodulehelt ja Riigi Teatajas avaldatud õigusakte (nt andmekogude asutamise põhimäärusi ja muid omavalitsuste õigusakte, mis viitavad andmete süstematiseeritud viisil kogumisele ja hoidmisele)), samuti tutvuti Rahvusarhiivile esitatud dokumentide loeteludega ning koguti infot andmekogu pidamiseks mõeldud tarkvaralahenduste kasutajate kohta (selline nn standardlahenduse kasutamine tuleb omavalitsusel samuti RIHAs registreerida).

KUI PALJU JA MILLISED ANDMEKOGUD OMAVALITSUSTEL ON NING MILLISED NEIST ON RIHAS REGISTREERITUD?

Toetudes RIHAst ja avalikest allikatest saadud viidetele, võib järeldada, et omavalitsused peavad vähemalt 925 andmekogu. Tegemist ei ole täpse ega ammendava arvuga, sest ülevaate koostamise käigus ei vaadanud Riigikontroll andmekogude pidamist omavalitsustes kohapeal üle. Siiski võib saadud info põhjal teha mõned järeldused (vt joonis 1).

JOONIS 1. Kohalike omavalitsuste andmekogud ja nende registreerimine RIHAs aastal 2016

Esiteks, kõrvutades RIHAs registreeritud andmekogud nende andmekogudega, mille olemasolule viitavad muud allikad, selgub, et omavalitsuste andmekogudest võib RIHAs olla registreeritud alla viiendiku (175 registreeritud andmekogu moodustab kõigist leitud andmekogudest 19%).

Teiseks selgus, et omavalitsused peavad andmekogusid enamatel eesmärkidel, kui omavalitsuste ülesandeid puudutavad seadused seda käsitlevad – välja selgitati 48 eesmärki ja valdkonda, milleks andmekogu peetakse. Siiski, enamiku RIHAs registreeritud andmekogude pidamise eesmärk langes kokku seadustes nimetatud omavalitsuse ülesandega, mis muu hulgas sisaldas ülesannet luua andmekogu või register või pidada arvestust (need on nt dokumendiregister, jäätmevaldajate register, lemmikloomaregister, kalmistute register). Neid andmekogusid oli üle kolmveerandi (721) kõikidest tuvastatud andmekogudest. Siia hulka on arvatud ka omavalitsuste raamatupidamisregistrid, kuigi raamatupidamisregistri puhul on kerkinud üles kahtlus, kas seda saab pidada andmekoguks, kuna selle pidamine on üldisem kohustus ja ei ole tingimata seotud avaliku ülesande täitmisega. Tuginedes Majandus- ja Kommunikatsiooniministeeriumi, Riigi Infosüsteemide Ameti ja Andmekaitse Inspektsiooni asjatundjate osalusel peetud arutelule, pidas Riigikontroll omavalitsuste raamatupidamisregistrite arvamist andmekogude arvestusse siiski põhjendatuks. Arutelust osavõtjad leidsid, et ka raamatupidamisregistrite puhul on oluline, et neile laieneks samad nõuded nagu andmekogudele üldiselt (st andmete käideldavus, terviklikkus ja konfidentsiaalsus).

Kolmandaks, andmekogud, mis on loodud omavalitsuste endi algatusel, ilma et seadus andmekogu loomist käsitleks, moodustavad enam kui viiendiku omavalitsuste andmekogudest. Selliseid andmekogusid ja registreid leiti 204 (nt parkimiskorralduse andmekogu, planeeringute register, raielubade andmekogu, toetuste register, avalike kogunemiste infosüsteem, operatiivinfo infosüsteem, väärteoasjade infosüsteem, lasteaiakohtade register). Uurides, kui palju neist 204 andmekogust on RIHAs registreeritud, selgus, et vaid väike osa – 32 andmekogu (s.o 16% omavalitsuste endi algatusel loodud andmekogudest).

MIKS OMAVALITSUSED EI OLE ANDMEKOGUSID RIHAS REGISTREERINUD?

Andmekogu registreerimise eesmärk on kindlaks teha, kas andmekogu tohib üldse pidama hakata, ega kogutavad andmed ole kuskil juba olemas ja kas andmekogu pidamine on ka turvaliselt korraldatud. Mõne erandiga tuleb kõik andmekogud enne RIHAs registreerimist kooskõlastada Riigi Infosüsteemide Ameti, Andmekaitse Inspektsiooni, Statistikaameti, Maa-ameti ja Rahvusarhiiviga. Aega on selleks 20 tööpäeva. Praktikas jääb aga suur osa kooskõlastusprotsesse mingis faasis toppama (kui on vaja andmekogu dokumentatsiooni muuta või täiendada, nt tuleb täpsustada turvameetmete rakendamist). Ülevaate koostamise ajal oli pooleli 84 omavalitsuse andmekogu registreerimine, kusjuures neist enamiku registreerimisega oli algust tehtud juba enam kui aasta tagasi (sarnane protsess tuleb läbi teha ka juhul, kui soovitakse andmekogu pidamises muudatusi teha). Eelnevast tulenevalt võib teha järelduse, et kuna andmekogu registreerimine sageli venib, ei saa kindel olla, et RIHAs registreeritud andmekogude andmed alati ka tegelikkusele vastavad. Uuringutest (2014, 2015), mille Riigi Infosüsteemide Amet on korraldanud RIHA kasutajate kogemuste väljaselgitamiseks, selgub, et andmekogu registreerimine RIHAs ei ole kasutajasõbralik ning andmete kirjeldamine on liiga ajamahukas. Samas tuleb Riigikontrolli arvates möönda, et RIHAs registreerimise keerukus ei pruugi olla ainuke põhjus, miks omavalitsused jätavad oma andmekogud RIHAs registreerimata. Võib eeldada, et põhjuseks on ka omavalitsuste vähesed teadmised andmekogudest ja nende pidamise nõuetest.

KAS OMAVALITSUS VÕIB ASUTADA ANDMEKOGU OMA ÄRANÄGEMISE JÄRGI?

Küsimus on seotud piiranguga, andmekogu asutamiseks peab olema seaduslik alus – seadusest või selle alusel antud aktist tulenev avalik ülesanne. Kui riigiasutuste puhul on kõik ülesanded määratud ja kirja pandud, siis omavalitsused kui kohaliku elu korraldajad otsustavad ise, milliseid ülesandeid neil kogukonna vajadusi silmas pidades lisaks seaduses nimetatud ülesannetele ka vabatahtlikult täita tuleks. Samuti on omavalitsustel riigivõimust sõltumatu staatuse tõttu õigus otsustada (seda küll seaduses määratud ulatuses), mil viisil oma ülesande täitmist korraldada. See tähendab, et seadustes ei ole võimalik omavalitsuste ülesandeid ja nende täitmise viise üksikasjalikult ning ammendavalt kirja panna.

Küsimuse tuum on see, kas luba asutada mõnd konkreetset andmekogu peab olema otsesõnu kirjas seaduses (st keelatud on asutada seaduses nimetamata andmekogu) või saab tugineda seadusega omavalitsusele antud üldisele õigusele otsustada, milliseid ülesandeid nad täidavad ja mil viisil nad seda teevad (kui täitmise viis ei tulene otse seadusest). Viimasest järeldub, et kui seaduses ei ole piiranguid kehtestatud, peaks omavalitsusel olema õigus luua andmekogu, kui see on tema arvates mõne ülesande täitmiseks otstarbekas ja vajalik. Näiteks on omavalitsused võtnud sageli ülesandeks edendada kohalikku kultuuri-, spordi- ja külaelu ning peavad nendes valdkondades toetuste jagamise kohta andmekogusid ja registreid.

Milline nendest lähenemistest on õige – kas omavalitsusel on õigus pidada andmekogu vaid siis, kui seadus seda otsesõnu nimetab või pole seaduses selline täpsustus vajalik, ning kas omavalitsus võib otsustada andmekogu pidamise ka vabatahtliku ülesande puhul –, sellele ei õnnestunud Riigikontrollil ülevaate koostamise käigus valdkonna eest vastutavatelt riigiasutustelt üheselt arusaadavat ja selget vastust saada.

KAS OMAVALITSUSE ANDMEKOGU PIDAMISE EESMÄRK JA KORD ON KÕIGI ANDMEKOGUDE KOHTA KIRJA PANDUD?

Kuna andmeid tohib koguda üksnes seadusega ette nähtud ülesande täitmiseks vajalikul hulgal, peab omavalitsus andmekogu pidamise eesmärgi ja ulatuse selgelt piiritlema. Selleks võetakse vastu andmekogu põhimäärus, kus on kirjas korralduslik pool, sealhulgas andmekogu haldaja, andmekogusse kogutavate andmete koosseis, andmeandjad ja vajaduse korral muud andmekogu pidamisega seotud küsimused. Eraldi põhimäärust ei ole vaja vastu võtta, kui andmekogu eesmärk ja korralduslik pool on seaduses või mõnes muus omavalitsuse korras üksikasjalikult kirjeldatud.

Riigikontroll uuris, kui paljudel omavalitsuste andmekogudel on põhimäärus olemas. Selleks kasutati Riigi Teatajat, kus omavalitsused avaldavad oma õigusakte (Riigi Teatajas on määrused avaldanud 85% omavalitsusi). Riigi Teatajast leiti kokku 155 omavalitsuse 281 andmekogu põhimäärus või andmete kogumist korraldav kord (dokumendi- ja raamatupidamisregistrite korraldavad korrad on arvestusest välja jäetud, sest eelduseks võeti, et kõigil omavalitsustel on olemas asutuse asjaajamiskord ja raamatupidamise sise-eeskiri, kus nende registrite pidamise korralduslik pool on kirjas). Seda, kas Riigi Teatajast leitud põhimäärustes on ammendavalt kirjas kõik, mida andmekogu pidamisel peab põhimääruses kindlaks määrama, üle ei kontrollitud. Et andmekogude põhimäärusi õnnestus leida nii vähe, on tõenäoline, et paljud omavalitsused ei ole andmekogu pidamise korralduslikke küsimusi sageli reguleerinudki.

Riigikontroll ei saanud selget vastust, kas omavalitsusel on õigus pidada andmekogu vaid siis, kui seadus seda nimetab.

KAS OMAVALITSUSED RAKENDAVAD TEHNILISI VÕIMALUSI, ET VÄLTIDA ANDMETE DUBLEERIVAT KOGUMIST?

Ühed ja samad andmed võivad olla vajalikud eri andmekogudes, aga põhiandmed saavad olla vaid ühes andmekogus – seda nimetatakse ühekordse andmesisestuse põhimõtteks ja selle järgimine on oluline eeldus inimeste ning ettevõtete halduskoormuse vähendamiseks. Kohustus kontrollida, et vajalikke andmeid ei kogutaks juba mõnes olemasolevas andmekogus, on esmalt andmekogu asutajal. Riigi Infosüsteemide Amet ja Andmekaitse Inspektsioon kontrollivad kogutavate andmete koosseisu kooskõlastuse andmisel enne andmekogu registreerimist. Kui kontrollimisel selgub, et vajalikke andmeid juba kogutakse, tuleb andmekogu asutajal RIHA kaudu taotleda soovitud andmete kättesaadavaks tegemist. Olemasolevaid andmeid saab sel juhul kasutada üksikpäringuid tehes või andmekogude vahel andmeid vahetades.

Avaliku sektori andmete turvaliseks vahetamiseks on kohustuslik kasutada infosüsteemide andmevahetuskihti (X-tee), mis võimaldab tuvastada andmevahetuses osalejad ja teabe õigsuse. Näiteks kui ametnikul on vaja teada lemmikloomaregistrist andmeid koeraomaniku kohta, ei tohi neid koguda dubleerivalt, vaid tuleb küsida X-tee kaudu rahvastikuregistrist.

RIHA andmetest selgub, et X-tee kaudu kasutab andmete vahetamise võimalust ainult 54 omavalitsuse andmekogu. Selle tulemuseks on, et omavalitsused peavad mitmeid dubleerivaid andmekogusid (nt riigi andmekogude kõrval kohalikku teeregistrit ja maamaksuregistrit).

Sellist olukorda saaks vältida, kui omavalitsused võtaksid kasutusse rohkem standardlahendusi (ligi 40 tarkvaralahendust, mille on välja töötanud IT-firma ja mida pakutakse teenusena asutustele, nt erinevad dokumendihaldustarkvarad, kalmistute register, kohalike omavalitsuste kaevetöölubade ja tee ajutise sulgemise lubade menetlemise infosüsteem jt), millel on tehniline võimekus X-tee kaudu andmeid vahetada. Spetsiaalselt omavalitsuste tarbeks on standardlahendusi loonud nii erasektor kui ka riik.

Teiseks tuleks riiklike registrite arendamisel arvestada rohkem omavalitsuste soovidega, et nad ei näekski vajadust dubleerivaid andmekogusid pidada. Probleem on olnud selles, et riigiregistrite ülesehitus ei võimalda omavalitsustele vajalikke andmevälju registritesse lisada. Näiteks peab Tallinna linn seetõttu oma teeregistrit.

Riigiregistrite ülesehitus ei võimalda omavalitsustele vajalikke andmevälju registritesse lisada.

KAS ANDMEKOGU PIDAMISE NÕUDED ON RAKENDATAVAD KÕIGILE ANDMEKOGUDELE, SÕLTUMATA ANDMEKOGU PIDAMISE VIISIST?

Üldjuhul (v.a dokumendiregister, mida tuleb pidada elektrooniliselt) saab omavalitsus otsustada, millisel viisil on tal otstarbekas andmekogu pidada, kas elektrooniliselt, paberil või kontoritarkvara abil (nt MS Excel, OpenOffice Calc). Seejuures ei sõltu andmekogu pidamise viisist nõuded, mida peab täitma – andmekogu tuleb registreerida, andmevahetuseks tuleb kasutada X-teed, tagada tuleb turvalisus ja teha andmed masinloetaval kujul kättesaadavaks.

Riigikontrolli tuvastatud andmekogudest peetakse paberil või kontoritarkvara abil ligi kümnendikku andmekogudest. Näiteks on jäätmeseadusega ettenähtud jäätmevaldajate registri asutanud 185 omavalitsust, kuid vähemalt 32 jäätmevaldajate registrit peetakse kontoritarkvara abil (lisaks ei ole 14 jäätmevaldajate registri puhul teada viis, kuidas seda peetakse). Ühtegi paberil ega kontoritarkvara abil peetavat andmekogu RIHAs registreeritud ei ole. On ilmne, et paberil või kontoritarkvara abil peetava andmekogu suhtes ei ole võimalik rakendada samu nõudeid, mida elektrooniliselt peetava andmekogu suhtes. Näiteks pole tehniliselt võimalik sellise andmekogu andmeid teiste andmekogudega vahetada.

Mõeldes andmekogudele kehtivatele nõuetele, tuleks arutada, kuidas leida tasakaal andmekogude pidamisega seotud põhimõtete rakendamise ja mõistliku halduskoormuse vahel. Näiteks ei ole mõistlik, et väikeses omavalitsuses peetav lihtne MS Exceli tabel tuleks asendada ilmtingimata elektroonilise infosüsteemiga põhjusel, et vahetada X-tee kaudu andmeid. Olenemata sellest, kas lahendada selline olukord igakordsete üksikpäringutega teistesse registritesse või muul moel, ei tohiks lahendus kindlasti viia selleni, et vähendatud nõuded motiveeriks omavalitsusi senistelt elektroonilistelt andmekogudelt tagasi pöörduma paberil peetavate andmekogude juurde.

MIDA PEAKS OMAVALITSUSTE ANDMEKOGUDEGA SEOTUD PROBLEEMIDE LAHENDAMISEKS TEGEMA?

Artiklis käsitletu näitab, et üht adressaati, kes kõik omavalitsuste andmekogudega seotud probleemid ära lahendaks, ei ole. Osa probleeme on andmekogudega seotud üldisemalt, osa tulenevad omavalitsuse spetsiifikast; mõne probleemi lahendamine sõltub riigiasutuste tegevusest, mõni probleem ei lahene omavalitsuste endi pingutuseta.

Omavalitsusel tuleb alati enne andmete kogumist selgeks teha, kas andmete kogumine on lubatud ja mis eesmärgil seda tehakse. Kui mõne ülesande täitmiseks on vaja luua andmekogu, siis tuleb välja selgitada, milliseid kohustusi tuleb andmekogu pidamiseks täita. Kuigi haldusreformiga omavalitsuste arv tunduvalt väheneb ning ilmselt vaatavad uued omavalitsused andmekogud üle, ei lahenda see probleeme, sest omavalitsuste teadmised ja oskused andmekogude pidamisel vajavad arendamist.

Riigil ja omavalitsustel tuleb teha koostööd, et selgitada välja, millised omavalitsuste andmekogud dubleerivad riigi andmekogusid ja kas on võimalik riigi andmekogude täiendamine omavalitsuste vajaduste järgi nii, et dubleerivaid andmekogusid enam ei peetaks. Edaspidi peaks riik uute andmekogude loomisel juba aegsasti omavalitsuste kaasamisele tähelepanu pöörama. Tegeleda tuleb ka põhjustega, miks andmekogude registreerimine venib ning on RIHA kasutajate jaoks keeruline ja aeganõudev. Samuti on tarvis leida tasakaal, millistele nõuetele peavad vastama paberil ja kontoritarkvara abil peetavad andmekogud. Ära tuleks otsustada ja omavalitsustele selgitada, milliste ülesannete täitmiseks võivad nad andmekogusid asutada ja milliste ülesannete täitmiseks neil selleks seaduslik alus puudub.

Edaspidi peaks riik uute andmekogude loomisel pöörama aegsasti tähelepanu omavalitsuste kaasamisele.

Lõpetuseks on selge ka see, et riigiasutuste järelevalve omavalitsuste andmekogude üle ei ole toiminud. Analüüsida tuleb, kas selle põhjuseks on järelevalvepädevuse ebaselge jaotus või riigiasutuste arusaam sellest, kas ja kellel peab olema täielik ülevaade andmekogudest ning mis ulatuses järelevalvet teha, või takistavad tulemuslikku järelevalvet hoopiski ebapiisavad ressursid.

X-­tee kaudu kasutab andmete vahetamise võimalust ainult 54 omavalitsuse andmekogu.

KASUTATUD KIRJANDUS

Tagasiside