Siseministeerium takistas riigikontrollil tööjõukulude auditeerimist
Riigikontrollil jäid möödunud aasta raamatupidamise aastaaruandes kontrollimata siseministeeriumi tööjõukulud, sest ministeerium takistas nende auditeerimist.
Riigikontroll teatas esmaspäeval, et kuigi riigi 2022. aasta raamatupidamise aastaaruanne kajastab riigi finantsseisundit õigesti, siis siseministeeriumi tööjõukulusid ei olnud neil võimalik kontrollida, sest ministeerium takistas nende auditeerimist.
"Tegemist on riigikontrolli ajaloos pretsedenditu juhtumiga, kui auditeeritav takistab juurdepääsu riigi raamatupidamise aastaaruande auditeerimiseks vajalikele andmetele," kommenteeris riigikontrolör Janar Holm.
Seadusele tuginedes teavitas Holm riigikontrolli tegevuse takistamisest riigikogu riigieelarve kontrolli erikomisjoni ja taotles, et seda komisjonis arutataks.
Eelmisel aastal olid siseministeeriumi valitsemisala tööjõukulud 304,28 miljonit eurot ehk raha hulk, mida riigikontrollil ei olnud võimalik auditeerida, moodustab ligikaudu 25 protsenti keskvalitsuse tööjõukuludest.
Audititoimingute tegemiseks vajab riigikontroll asutuste finants-, personali- ja palgaandmeid, mida alates eelmisest aastast päritakse automaatselt üle riigi turvalise infovahetuskihi X-tee, mille kaudu riigi andmebaasid omavahel infot vahetavad, ning töötleb isikuandmeid pseudonüümitud kujul ehk äratuntavad isikuandmed asendatakse varjunimede, numbrikoodide ja muude tunnustega.
Selle eesmärk on töödelda ja säilitada andmeid turvaliselt, vähendada isikuandmete kasutamist ning audiitorite käsitsitööd, et olla efektiivsem ja mitte raisata väärtuslikku inimtööjõudu toimingutele, mida saab automatiseerida. Nii saavad audiitorid keskenduda tehingute sisule.
Riigikontroll pärib andmeid riigi tugiteenuste keskuse hallatavast aruandluskeskkonnast, mis ei sisalda riigisaladusega kaitstud andmeid.
Kolm auditeeritavat – siseministeerium, riigikantselei ja kaitseministeerium – ei olnud riigi majandusaasta aruande auditi käigus valmis neile riigikontrolli pakutud meetodil ehk X-tee kaudu toimuvaks automaatseks andmevahetuseks, kuid riigikontroll pakkus alternatiivina välja, et vajalikud majanduskulude ja investeeringute väljavõtted ning pseudonüümitud personali- ja palgaaruanded esitaks asutused ise.
Riigikantselei ja kaitseministeerium kasutasidki niisugust infoedastamise viisi ning vajalikud audititoimingud said nõuetekohaselt tehtud. Siseministeerium keeldus aga pakutud alternatiivsest info edastamise viisist ning soovis, et riigikontroll salvestaks vajaliku info ise käsitsi isikustatud andmeid sisaldavast personali- ja palgaaruannete aruandluskeskkonnast. See oleks tähendanud, et riigikontroll oleks olnud koormatud tehnilise tööga andmete registrist väljanoppimisel, selle asemel et keskenduda siseministeeriumi tehingute sisule.
Riigikontrolöri hinnangul oli siseministeeriumi lähenemine auditi läbiviimise ajal vastuoluline ja arusaamatu.
"Eriti kurioosne on see, et automaatsest andmeedastusest X-tee kaudu ning riigikantseleile ja kaitseministeeriumile sobinud alternatiivsest andmete edastamise viisist keeldus siseministeerium isikuandmete kaitsele ja julgeolekuriskidele viidates, aga just siseministeeriumi enda pakutud viis infovahetuseks tähendab võrreldes riigikontrolli pakutud lahendustega audiitorite palju suuremat kokkupuudet isikuandmetega ega minimeeri nendele ligipääsu," sõnas Holm.
Riigikontrolör muutis riigikontrolli töökorraldust mullu just selleks, et vältida personali- ja palgaaruannetes isikuandmete tuvastamist üksikpäringutega ning riigikontrolli audiitorite otsejuurdepääsu andmekogule, mida soovitas aga kasutada siseministeerium.
"Siseministri vastuses esitatud väide, et ministeerium võimaldas riigikontrolli audiitoritele juurdepääsu kõigile hinnangu andmiseks vajalikele personaliandmetele õigusaktides ettenähtud viisil ja ulatuses, on asjatundmatu ja riigikontrolli sõltumatusesse sekkuv. Siseminister ei ole see, kes saab riigikontrollile ette kirjutada, millisel viisil ja ulatuses riigi kõrgeim auditiasutus oma tööd teeb ning mis on piisav ja mis mitte, et auditis põhistatud järeldusi teha. Selle üle otsustame ise," rõhutas Holm.
Ta lisas, et riigikontroll on vaba nii seadusandliku kui ka täidesaatva riigivõimu suunistest ja sekkumisest auditi objekti valikul, auditite planeerimisel ja teostamisel ning auditiaruannete koostamisel.
Riigikontrolli põhitegevust reguleerivad riigikontrolli seadus ning tundlikku, riigisaladust sisaldava teabe korral ka riigisaladuse ja salastatud välisteabe seadus.
Siseminister viitas riigikontrollile andmete andmisest keeldumise alusena valitsuse 2013. aasta määrusele, mille kohaselt võimaldatakse siseministeeriumi struktuuri-, personali- ja palgaandmetele juurdepääs üksnes siseministeeriumi nõusolekul. Riigikontrolli teatel ei kohaldu see määrus aga nende põhitegevusele, sest riigikontrolli õigused tulenevad otse seadusest ja seaduse järgi on auditeeritavad kohustatud väljastama riigikontrollile auditiks vajalikku teavet.
Riigikontrolli ametnikel on õigus audititoimingute tegemisel tutvuda ka riigisaladust sisaldavate teabekandjatega, kuid käesolevas auditis ei olnud see vajalik.
"Me auditeerime ka riigisaladusega seotud teemasid, oleme saanud auditeerida kapot, välisluureametit, sellega pole kunagi probleemi olnud. Antud juhul tekkis arusaamatu probleem, kus me neid andmeid ei saanud," lausus Holm.
Riigikontrolli hinnangul on riigiasutuste katsed piirata juurdepääsu infole sagenemas. Holm nentis, et eriti viimasel ajal on olnud märgata avalikus infovoos mustrit, kus riigiasutustes üha sagedamini püütakse erinevatel ettekäänetel seada infole ligipääsupiiranguid.
"Eriti murettekitav on, et viimasel ajal kasutatakse põhjendusena kergekäeliselt riigi julgeoleku argumenti, nüüd juba ka riigikontrolli puhul," nentis riigikontrolör.
Rääkides tulevikust, ütles Holm, et põhimõtteliselt oleks võimalik ka naasta selle juurde, et riigikontroll läheb ministeeriumisse pabereid lugema, kuid riigikontroll on oma töötajate arvu vähendanud ja Eesti on e-riik, andmed on olemas ja pole sisulist põhjust keelduda neid riigikontrollile kasutamiseks andmast.
"Miks me räägime personaalsest riigist, kui riigiasutuste toimimist puudutavad mittesalajased dokumendid on riigikontrollile kättesaamatud?" ei mõistnud ta.
Lisaks tõi riigikontroll välja, et ministeerium venitas ka valitsemisala majandamiskulude ja investeeringute andmete esitamisega ning need andmed sai riigikontroll ligi pooleaastase hilinemisega alles auditi lõppjärgus.
Siseministeerium ei nõustu kriitikaga
Siseministeerium ei olnud riigikontrolli kriitikaga rahul. Ministeeriumi siseauditi osakonna juhataja Tarmo Olgo teatas, et nad võimaldasid riigikontrollile juurdepääsu kõigile personaliandmetele.
"Siseministeerium ei nõustu rigikontrolli märkustega nende töö takistamise kohta. Siseministeerium andis riigikontrollile kõik võimalused kasutada personalikulude auditeerimisel sama lahendust nagu eelnevatel aastatel edukalt on kasutatud. Riigikontroll keeldus ja soovis kasutada ainult enda pakutud viise – andmete laadimine andmelattu või edastamine Exceli tabelina," lausus ta.
Olgo sõnul on probleemiks see, et eelmisel aastal otsustas riigikontroll muuta personaliandmete auditeerimise lähenemist ja andmekogus vaatamise asemel tõmmata turvalisus riiklikus registris olevad personali andmed riigikontrolli enda andmelattu.
"Paraku ei olnud auditi ajal selge andmete hoidmise turvalisus ja õiguslik korraldus, mistõttu ei olnud maandatud risk, et riigisaladusega kaetud teenistujate andmed saavad avalikuks. Turvatest telliti alles pärast auditi algust ja selle tulemused ei andnud piisavat kindlust, et soovitud mahus andmeid saab sinna turvaliselt jagada. Exceli tabelina andmete edastamine oleks kaasa toonud ebamõistliku töö- ja ajakulu," põhjendas Olgo.
Ta lisas, et riigikontroll on aastaid auditeerinud siseministeeriumi personalikulusid ning koostöö on sujunud hästi. Vajalikule teabele juurdepääsu võimaldamist puudutav regulatsioon ei ole 2022. aasta auditi läbiviimise käigus muutunud ning seetõttu ei saa siseministeerium jagada oma teenistujate andmeid teadmata turvalisusega andmelattu.
Olgo rõhutas, et riigisaladuse ja salastatud välisteabe seaduse kohaselt on julgeolekuasutuse isikkoosseisu puudutav teave riigisaladus ning siseministeeriumil on kohustus iga kord kontrollida andmete väljastamise turvalisust.
Riigikontroll: siseministeeriumi väide on asjakohatu ja vale
Riigikontroll ei pidanud siseministeeriumi vastust kriitikale põhjendatuks ja viitas ennekõike väitele, et riigisaladusega kaetud teenistujate andmete avalikuks saamise risk ei olnud maandatud.
"Oluline on mõista, et personaliandmeid sisaldav riigi tugiteenuste keskuse andmebaas ei sisalda andmeid riigisaladusega kaetud teenistujate kohta. Riigisaladusega kaetud teavet ei pärita riigi andmevahetuskihi X-tee kaudu. Seega on siseministeeriumi esitatud põhjendus töötajate andmete avalikuks saamise riski kohta täiesti asjakohatu ja vale," teatas riigikontroll.
Lisaks rõhutas riigikontroll, et nende ametnikel on õigus audititoimingute tegemisel tutvuda ka riigisaladust sisaldavate teabekandjatega, kuid käesolevas auditis ei olnud see siseministeeriumi puhul vajalik.
Sõerd: sellist asja ei tohiks olla
Riigi majandusaasta aruanne läheb riigikogu rahanduskomisjonile arutamiseks ja selle peab kinnitama riigikogu. Ka nelja koosseisu jooksul nende aruannetega kokku puutunud rahanduskomisjoni liige Aivar Sõerd peab tekkinud olukorda seninägematuks ja kummaliseks.
"Sellist olukorda, et auditeeritav neid andmeid ei esita, mis on olemas, ja kirjutab ette, mis vormis ta suvatseb neid esitada, ma tõesti ei mäleta," ütles Sõerd.
"Kui me seda ära ei lahenda, siis järgmisel aastal me oleme ju samasuguse olukorra ees. Sellist asja ikkagi ei tohiks olla," lisas ta.
Toimetaja: Karin Koppel, Merilin Pärli