/nginx/o/2023/02/13/15136536t1h162a.jpg)
Ehkki riigikontrolli teatel kajastab riigi raamatupidamise aastaaruanne finantsseisundit õigesti, polnud neil võimalik kontrollida siseministeeriumi tööjõukulusid. Seega ei saanud riigikontroll hinnata ka ministeeriumi eelarveraha kasutamise seaduslikkust.
«Tegemist on riigikontrolli ajaloos pretsedenditu juhtumiga, kui auditeeritav takistab juurdepääsu riigi raamatupidamise aastaaruande auditeerimiseks vajalikele andmetele,» kommenteeris riigikontrolör Janar Holm, kes teavitas sellest ka riigikogu riigieelarve kontrolli erikomisjoni.
Andmed liiguvad automaatselt
Mullu olid siseministeeriumi valitsemisala tööjõukulud 304,28 miljonit eurot ehk raha hulk, mida riigikontrollil ei olnud võimalik auditeerida, moodustab ligikaudu veerandi keskvalitsuse tööjõukuludest. Audititoimingute tegemiseks vajab riigikontroll auditeeritavate asutuste finants-, personali- ja palgaandmeid. Alates 2022. aasta auditist pärib riigikontroll neid andmeid automaatselt üle riigi turvalise infovahetuskihi X-tee, mille kaudu riigi andmebaasid omavahel infot vahetavad, ning töötleb isikuandmeid pseudonüümitud kujul ehk äratuntavad isikuandmed asendatakse varjunimede, numbrikoodide ja muude tunnustega.
Kolm auditeeritavat – siseministeerium, riigikantselei ja kaitseministeerium – ei olnud andmevahetuseks valmis, kuid riigikontroll pakkus neile alternatiivina välja, et vajalikud majanduskulude ja investeeringute väljavõtted ning pseudonüümitud personali- ja palgaaruanded esitaks asutused ise. Kui riigikantselei ja kaitseministeerium kasutasidki alternatiivset viisi, siis siseministeerium keeldus ja soovis, et riigikontroll salvestaks vajaliku info ise käsitsi isikustatud andmeid sisaldavast personali- ja palgaaruannete aruandluskeskkonnast.
Riigikontrolli teatel oleks see tähendanud neile tehnilist tööd selle asemel, et keskenduda tehingute sisule.
Holmi sõnul on siseministeeriumi lähenemine auditi tegemise ajal olnud vastuoluline ja arusaamatu. «Eriti kurioosne on see, et automaatsest andmeedastusest X-tee kaudu ning riigikantseleile ja kaitseministeeriumile sobinud alternatiivsest andmete edastamise viisist keeldus siseministeerium isikuandmete kaitsele ja julgeolekuriskidele viidates, aga just siseministeeriumi enda pakutud viis infovahetuseks tähendab, võrreldes riigikontrolli pakutud lahendustega, audiitorite palju suuremat kokkupuudet isikuandmetega ega minimeeri nendele ligipääsu,» sõnas Holm.
Riigikontrolör muutis riigikontrolli teatel töökorraldust mullu aga just selleks, et vältida personali- ja palgaaruannetes isikuandmete tuvastamist üksikpäringutega ning riigikontrolli audiitorite otsejuurdepääsu andmekogule, mida soovitas aga kasutada siseministeerium.
«Siseministri vastuses esitatud väide, et ministeerium võimaldas riigikontrolli audiitoritele juurdepääsu kõigile hinnangu andmiseks vajalikele personaliandmetele õigusaktides
:format(webp)/nginx/o/2023/07/28/15485514t1h0a36.jpg)
ettenähtud viisil ja ulatuses, on asjatundmatu ja riigikontrolli sõltumatusesse sekkuv. Siseminister ei ole see, kes saab riigikontrollile ette kirjutada, millisel viisil ja ulatuses riigi kõrgeim auditiasutus oma tööd teeb ning mis on piisav ja mis mitte, et auditis põhistatud järeldusi teha. Selle üle otsustame ise,» rõhutas Holm, lisades, et riigikontroll on vaba nii seadusandliku kui ka täidesaatva riigivõimu suunistest ja sekkumisest auditi objekti valikul, auditite planeerimisel ja teostamisel ning auditiaruannete koostamisel.
Riigikontrolli põhitegevust reguleerivad riigikontrolli seadus ja tundlikku, riigisaladust sisaldava teabe korral ka riigisaladuse ja salastatud välisteabe seadus. Siseminister on viidanud riigikontrollile andmete andmisest keeldumisel valitsuse 2013. aasta määrusele, mille kohaselt võimaldatakse siseministeeriumi struktuuri-, personali- ja palgaandmetele juurdepääs üksnes siseministeeriumi nõusolekul. Riigikontrolli põhitegevusele aga mainitud määrus nende teatel ei kohaldu: riigikontrolli õigused tulenevad otse seadusest ja seaduse kohaselt on auditeeritavad kohustatud väljastama riigikontrollile auditiks vajalikku teavet. Riigikontrolli ametnikel on õigus audititoimingute tegemisel tutvuda ka riigisaladust sisaldavate teabekandjatega, kuid käesolevas auditis ei olnud see vajalik.
Riigikontroll avaldas teates muret, et riigiasutuste katsed piirata juurdepääsu infole on sagenemas. Holm nentis, et eriti viimasel ajal on olnud märgata avalikus infovoos mustrit, kus riigiasutustes üha sagedamini püütakse erinevatel ettekäänetel seada infole ligipääsupiiranguid. «Eriti muret tekitav on, et viimasel ajal kasutatakse põhjendusena kergekäeliselt riigi julgeoleku argumenti, nüüd juba ka riigikontrolli puhul,» nentis riigikontrolör.
Peale selle, et siseministeerium takistas riigikontrollil ministeeriumi valitsemisala tööjõukulude auditeerimist, märgiti pressiteates, et ministeerium venitas ka valitsemisala majandamiskulude ja investeeringute andmete esitamisega. Siseministeerium ei edastanud pikka aega andmeid ka valitsemisala majandamiskulude ja investeeringute kohta. Andmed majandamiskulude ja investeeringute kohta sai riigikontroll ligi pooleaastase hilinemisega auditi lõppjärgus.
Süsteem on turvaline, ministeerium pelgab andmeladu
«X-tee on üle 20 aasta kasutusel olnud andmevahetuskiht ehk kanal, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust. Selle turvalisust ei ole kahtluse alla seadnud ei riigikontroll ega siseministeerium,» selgitas riigi infosüsteemi ameti andmevahetuse osakonna juhataja Riho Kerge. «Siseministeeriumi kommentaarid puudutavad andmete sihtkohta ehk Riigikontrolli andmeladu, mille turvalisuse kohta ei pruukinud asjaosalistel olla piisavalt infot ja seetõttu ei soovitud seda kasutada.»
X-teest pikemalt: https://www.ria.ee/riigi-infosusteem/andmevahetuse-platvormid/andmevahetuskiht-x-tee
Siseministeerium riigikontrolli märkustega ei nõustu. «Siseministeerium andis riigikontrollile kõik võimalused kasutada personalikulude auditeerimisel sama lahendust nagu eelnevatel aastatel edukalt on kasutatud,» kommenteeris siseauditi osakonna juhataja Tarmo Olgo.
Olgo sõnul riigikontroll keeldus vanast lahendusest ja soovis kasutada ainult enda pakutud viise – andmete laadimine andmelattu või edastamine Exceli tabelina: «Probleemiks on see, et 2022. aastal otsustas riigikontroll muuta personaliandmete auditeerimise lähenemist ja andmekogus vaatamise asemel tõmmata turvalises riiklikus registris olevad personaliandmed riigikontrolli enda andmelattu. Paraku ei olnud auditi ajal selge andmete hoidmise turvalisus ja õiguslik korraldus, mistõttu ei olnud maandatud risk, et riigisaladusega kaetud teenistujate andmed saavad avalikuks,» selgitas Olgo, kelle sõnul telliti turvatest alles pärast auditi algust ja selle tulemused ei andnud piisavat kindlust, et soovitud mahus andmeid saab sinna turvaliselt jagada. «Exceli tabelina andmete edastamine oleks kaasa toonud ebamõistliku töö- ja ajakulu,» lisas ta.
Riigikontroll on Olgo sõnul aastaid auditeerinud siseministeeriumi personalikulusid ning koostöö on sujunud hästi. «Vajalikule teabele juurdepääsu võimaldamist puudutav regulatsioon ei ole 2022. aasta auditi läbiviimise käigus muutunud ning seetõttu ei saa siseministeerium jagada oma teenistujate andmeid teadmata turvalisusega andmelattu. Riigisaladuse ja salastatud välisteabe seaduse § 9 punkti 6 alusel on julgeolekuasutuse isikkoosseisu puudutav teave riigisaladus. Siseministeeriumil on kohustus iga kord kontrollida andmete väljastamise turvalisust,» põhjendas ministeeriumi osakonnajuht.
Pärastlõunal kommenteeris riigikontroll siseministeeriumi vastulauset, märkides, et oluline on mõista, et personaliandmeid sisaldav riigi tugiteenuste keskuse andmebaas ei sisalda andmeid riigisaladusega kaetud teenistujate kohta: «Riigisaladusega kaetud teavet ei pärita riigi andmevahetuskihi X-tee kaudu. Seega on siseministeeriumi esitatud põhjendus töötajate andmete avalikuks saamise riski kohta täiesti asjakohatu ja vale.»
«Riigikontrolli ametnikel on õigus audititoimingute tegemisel tutvuda ka riigisaladust sisaldavate teabekandjatega, kuid käesolevas auditis ei olnud see siseministeeriumi puhul vajalik,» teatas riigikontrolli kommunikatsioonijuht Priit Simson.
/nginx/o/2023/12/22/15796256t1hc36c.jpg)