Väljaandja: Vabariigi Valimiskomisjon
Akti liik: otsus
Teksti liik: algtekst
Jõustumise kp: 08.10.2021
Avaldamismärge: RT III, 12.10.2021, 7

Virgo Kruve kaebuse läbivaatamine

Vastu võetud 08.10.2021 nr 18




Kaebuse sisu



6. oktoobril 2021 Virgo Kruve, kes kandideerib Rakvere linnas Erakond Eestimaa Rohelised nimekirjas, esitas Vabariigi Valimiskomisjonile kaebuse. Kaebaja vaidlustab riigi valimisteenistuse tegevust elektroonilise hääletamise korraldamisel, kuna tema välja toodud riskide realiseerumine võib tuua kaasa ebaõige valimistulemuse, sh ka tema, kui kandidaadi kohta. Kaebaja nõue on elektroonilist hääletamist mitte alustada. Kaebuses on nimetatud, et tema, kui kandidaadi subjektiivseid õigusi riivab asjaolu, kandidaat ei saa kontrollida, kas temale antud hääl ka tegelikult vormistatakse tema kandidaadi numbriga. Rikkumisi põhjendab ta järgmiselt. Elektroonilise hääletamise süsteemi ja valimiste infosüsteemi tarkvara on auditeerimata, kuna Majandus- ja Kommunikatsiooniministeeriumi vastavale riigihankele pakkumust ei laekunud. Kaebuse punkt 3 järgi on kaebaja veendunud, et kuna valijarakenduse kood ei ole avalik, siis ei saa veenduda tulemuse ausas kujunemises. Kaebuse punktis 4 nimetab kaebaja, et audiitor ei jälgi Riigi Infosüsteemi Ametis asuva serveriga tehtavaid toiminguid. Kaebuse punktis 5 toob kaebaja välja, et elektroonilise hääletamise süsteemis on .json tekstifail, mida on võimalik muuta. Kaebuse punktis 6 nimetab kaebaja, et vastavalt RKVS § 484 lõikele 4 ei võimalda valijarakendus valijal kirjutada numbrit ja valija peab tegema valiku. Kuna valijarakenduse kood on salajane, ei võimalda see kontrollida, kas kandidaadi hääl läks õigele kandidaadile. Kaebaja viitab oma kaebuse punktis 7 asjaolule, et elektrooniline hääletamine ei saa lõppeda enne valimispäeva, s.o enne 17. oktoobrit 2021, mis tähendab, et pabersedeliga ja elektrooniliselt hääletajaid ei kohelda ühetaoliselt.




Vabariigi Valimiskomisjoni seisukoht ja põhjendused


1. KOVVS § 64 kohaselt saab kaebuse esitada isik, kes leiab, et tema õigusi on vaidlustatava otsuse või toiminguga rikutud. Kaebuses on nimetatud, et tema kui kandidaadi subjektiivseid õigusi riivab asjaolu, et kandidaat ei saa kontrollida, kas temale mõeldud hääl ka tegelikult vormistatakse tema kandidaadi numbriga, sest valijarakenduse kood on salajane ja tarkvara on auditeerimata ning audiitor ei jälgi valimiste serveri kasutamist. Kaebaja viitas Vabariigi Valimiskomisjoni koosolekul, et riigi valimisteenistus on jätnud täitmata RKVS § 482 lõike 4 punktist 3 tuleva kohustuse kinnitada elektroonilise hääletamise süsteemi testimise ajakava ja ulatuse ning testimise tulemused ja avalikustada tulemuste raporti ning RKVS § 483 lõikest 4 tuleneva kohustuse määrata kindlaks operatsioonisüsteemid, millele rakendused luuakse, mis samuti ei võimalda tuvastada, kas elektroonilise hääletamise alustamine on turvaline. Kaebaja väitel võimaldab elektroonilise hääletamise süsteem kandidaatide failis olevad numbrid ümber tõsta, sest nimekiri on kaitstud kontrollsummaga. Kaebaja tõi näite, et ühe erakonna kandidaadi number võidakse vahetada teise erakonna esinumbri kandidaadiga. Selle järel lähevad teise erakonna esinumbri hääled kandidaadile ja seda ei märgata. Nimekirja muutmist kaebaja väitel võimaldab asjaolu, et serveris on kandidaatide nimekirja fail .json ehk tekstifail ilma digitaalse allkirjata ja audiitor ei kontrolli Riigi Infosüsteemi Ametis asuva serveriga tehtavaid toiminguid. Kuna serveris asub .json fail, mis võimaldab kandidaatide nimekirja muuta, testimise tulemuste raport on avalikustamata, kindlaks ei ole määratud operatsioonisüsteemid ja valijarakenduse kood on salajane, siis ei saa kaebaja, kui kandidaat veenduda, et tema hääled lähevad talle.



Vabariigi Valimiskomisjon saab kaebusest aru nii, et kaebaja soov on kontrollida avalikustamata dokumente ning veenduda, et elektroonilise hääletuse süsteemi serveris ei ole võimalik kandidaatide nimekirja muuta. Dokumentide avalikustamise kohustuse täitmine on võimalik enne elektroonilise hääletamise algust. Seega keskendub Vabariigi Valimiskomisjon kaebuse lahendamisel ainult nendele asjaoludele, mis seavad kahtluse alla, kas elektroonilise hääletamise alustamiseks on elektroonilise hääletamise süsteemi turvalisus ja töökindlus tagatud selliselt, et elektroonilist hääletamist saaks läbi viia seaduse nõuete kohaselt. Selleks tuvastab Vabariigi Valimiskomisjon: kas valijarakenduse koodi salajasus, .json faililaiendiga fail serveris, elektroonilise hääletamise lõppemine 16. oktoobril, valijarakenduse auditeerimata jätmine ning asjaolu, et audiitoril ei ole kohustust jälgida valimiste serveri kasutamist, on põhjused, mille tõttu elektroonilise hääletamise läbiviimine ei ole võimalik usaldusväärselt ja turvaliselt seadusest tulenevate nõuete rikkumise tõttu.



2. KOVVS § 532 ja RKVS § 482 lõike 3 alusel on Vabariigi Valimiskomisjoni 25. jaanuari 2021 otsusega nr 3 kinnitanud tehnilised nõuded elektroonilise hääletamise üldpõhimõtete tagamiseks. Viidatud otsuse punkti 6.4 kohaselt valijarakenduse lähtekoodi ei avalikustata. Seadus ei nõua, et valijarakenduse lähtekood peab olema avalikustatud, vaid on andnud Vabariigi Valimiskomisjonile pädevuse otsustada elektroonilist hääletamist puudutavate tehniliste nõuete ja elektroonilise hääletamise organisatsiooni kirjelduse üle. Tarkvara usaldusväärsust saab kinnitada ka teiste meetoditega. Valijarakendust kontrollitakse prooviläbimisel.



3. Kaebaja toob kaebuse punktis 5 välja, et .json on tekstifail ja asub tekstifailina serveris, mis võimaldab kandidaadi numbrit ja nime muuta. Vabariigi Valimiskomisjoni koosolekul selgitas riigi valimisteenistus, et elektroonilise hääletamise süsteemi ülesseadmisel laetakse kandidaatide nimekiri (dokumentatsioonis valikute nimekiri) digitaalselt allkirjastatud failina, mille sees on .json fail ja seda dokumenti ei ole võimalik muuta, sest nimekirja muutmisel tuleb kogu elektroonilise hääletamise süsteem uuesti üles seada ja seda ei ole võimalik hääletamise ajal teha. Kui kandidaatide nimekirja muutmine on vajalik, tuleb korraldada uus elektrooniline hääletamine. Kandidaatide nimekirja üleslaadimise viis on kirjeldatud ka riigi valimisteenistuse korraldusega nr 12 „Elektroonilise hääletamise protokollistiku ja süsteemi tehniline juhendi kinnitamine“1, mille kohaselt esitatakse EHS seadistamisel valikute nimekiri allkirjastatult ja sisestatakse sinna süsteemi seadistamisel (IVXV seadistuste koostamise juhend2 lk 5, 18). Vabariigi Valimiskomisjon, tuginedes riigi valimisteenistuse selgitusele ja tutvudes eelpool nimetatud dokumentidega, leiab, et elektroonilise hääletamise süsteem on üles ehitatud selliselt, et kaebaja kirjeldatud olukord ei ole võimalik. Kandidaatide registreerimisnumbrite või nime muutmine elektroonilise hääletuse ajal ei ole võimalik viisil, mis jääks elektroonilise hääletamise lõppedes märkamata. Valija saab kontrollida oma häält kontrollrakendusega, et kontrollida, et tema hääl jõudis õigele kandidaadile ning talle kuvatakse nii kandidaadi nimi kui number. Kontrollrakendusega saab ka kandidaat ise kontrollida, kas tema hääl valijana jõudis õige kandidaadini.



4. Kaebuse punktis 7 leiab kaebaja, et elektrooniline hääletamine peab toimuma ka valimispäeval. Vabariigi Valimiskomisjon märgib, et KOVVS § 44 lõige 2 punkti 4 alusel korraldatakse elektroonilist hääletamist eelhääletamise ajal kuuendast kuni esimese päevani enne valimispäeva. Hääletamine algab kuuendal päeval enne valimispäeva kell 9.00 ja kestab ööpäevaringselt kuni valimispäevale eelneva päeva kella 20.00-ni. Seega ei saa ei riigi valimisteenistus ega Vabariigi Valimiskomisjon otsustada elektroonilist hääletamist korraldada ka valimispäeval. Elektrooniline on kohaliku omavalitsuse volikogu valimistel vaid üks hääletamise viis. Ka asukohas ja kodus ei saa kogu valimisnädala vältel hääletada.



5. Kaebaja väidab, et kuna elektroonilise hääletuse tarkvara ja valimiste infosüsteemi auditeerimiseks korraldatud riigihange nurjus, siis ei ole võimalik veenduda, et valijarakendus on usaldusväärne. Vabariigi Valimiskomisjon märgib, et osundatud riigihankega tellitav elektroonilise hääletamise ja valimiste infosüsteemi audit ei olnud eelduseks elektroonilise hääletamise alustamisel. Valijarakenduse auditeerimine ei ole seadusest ega Vabariigi Valimiskomisjoni otsusest lähtuvalt kohustuslik.



6. Vabariigi Valimiskomisjoni 25. jaanuari 2021 otsuse nr 3 punkti 5.2. järgi peab enne elektroonilise hääletamise läbiviimist olema teostatud: elektroonilise hääletamise süsteemi riskianalüüs, elektroonilise hääletamise süsteemi ISKE audit vastavalt ISKE auditeerimise juhendile, elektroonilise hääletamise süsteemi tehniline läbistustestimine ja riskikäsitlusplaan oluliste riskide vähendamiseks, mis on koostatud riskianalüüsi tulemuste, auditi aruandes välja toodud mittevastavuste ja läbistustestimise leidude põhjal. Riigi valimisteenistus on Vabariigi Valimiskomisjonile saatnud vastava ISKE auditi, seega kohustuslik ISKE audit, mis oli eelduseks enne elektroonilise hääletamise alustamist, on tehtud ning puudub alus elektroonilise hääletamise mittealustamise üle otsustada. Elektroonilise hääletamise tervikluse kontrollimiseks teostab Vabariigi Valimiskomisjoni 25. jaanuari 2021 otsuse nr 3 punkti 6.5 kohaselt infosüsteemide audiitor protsessi- ja andmeauditeid. Protsessiauditeid kohaldatakse toimingutele, mis on seotud häälte avamise võtme genereerimise, kasutamise ja hävitamisega. Andmeauditi käigus kontrollitakse protsesside sisendi ja väljundi omavahelist vastavust, terviklust ja autentsust. Riigi valimisteenistus on vastava auditi tegemiseks leidnud teenusepakkuja, seega ka auditeerimise nõue on enne elektroonilise hääletamise alustamist täidetud.



Kaebaja on seisukohal, et kuna audiitor ei kontrolli Riigi Infosüsteemi Ameti serveris toimuvat ja serveri USB avasid ei pitseerita, siis ei ole tagatud elektroonilise hääletamise süsteemi turvalisust. Vabariigi Valimiskomisjon leiab, et pitseerimise nõue ei ole vajalik, sest elektroonilise hääletamise süsteemi usaldusväärsuse tagamiseks ei ole vältimatult vajalik serverile füüsilise juurdepääsu takistamine muude meetodite, eelkõige krüpteerimise tõttu. Seetõttu ei ole ka audiitoril kohustust Riigi Infosüsteemi Ametis servereid kontrollida. Elektrooniliste häälte kogumi tervikluse kontroll viiakse läbi hääletamise lõppedes, sh kontrollitakse, et registreerimisteenuse poolt on töötlejale üle antud ajatemplid koos allkirjastatud sõnumilühendiga, kogumisteenuses salvestatud elektroonilisi hääli võrreldakse registreerimisteenuses fikseeritud elektrooniliste häältega ja kontrollitakse elektrooniliste häälte digitaalallkirjade terviklust. Protsessi auditeeritakse. Kokku lugemine väljastab tõendi, mida on võimalik audiitoritel kontrollida. Audiitor tegutseb oma ülesannete täitmisel audiitortegevuse seaduse alusel ning sõltumatult. Audiitori ülesanne on veenduda enda valitud meetodil, et elektroonilise hääletamise süsteemi vastavus, terviklus ja autentsus on tagatud.



7. Kaebaja nõue on elektroonilist hääletamist mitte alustada. Vastavalt KOVVS § 12 lõike 2 punktile 4 on Vabariigi Valimiskomisjonil õigus „mitte alustada elektroonilist hääletamist või peatada või lõpetada elektrooniline hääletamine, kui elektroonilise hääletamise süsteemi turvalisust või töökindlust ei ole võimalik tagada selliselt, et elektroonilist hääletamist saaks läbi viia käesoleva seaduse nõuete kohaselt“ ning vajaduse korral teeb riigi valimisteenistus sellekohase ettepaneku. Riigi valimisteenistus sellist ettepanekut teinud ei ole, kuid Vabariigi Valimiskomisjon ei ole otsuse tegemisel ka selle ettepaneku esitamise või sisuga seotud. Samuti ei ole Vabariigi Valimiskomisjon seotud ühegi auditi olemasolu või selle sisuga. Vabariigi Valimiskomisjon teeb vajaduse korral need otsused, lähtudes igasugusest asjassepuutuvast usaldusväärsest teabest, mis tal olemas on. Majandus- ja Kommunikatsiooniministeerium on eesolevate valimiste kübeturvalisuse suhtes andnud positiivse hinnangu. Kaebaja osundatud audit ei olnud eelduseks elektroonilise hääletamise alustamisel, seega selle auditi mittetoimumine ei ole piisav alus elektroonilise hääletamise mittealustamiseks. Kaebuse väited ei anna alust asuda seisukohale, et elektroonilise hääletamise läbiviimine seadusega nõutud viisil ei ole võimalik.




Lähtudes KOVVS § 66 lõike 3 punktist 1, Vabariigi Valimiskomisjon otsustab:



jätta Virgo Kruve kaebus rahuldamata.



Vastavalt KOVVS §-le 661 võib huvitatud isik, kes leiab, et Vabariigi Valimiskomisjoni otsusega rikutakse tema õigusi, esitada otsuse peale kaebuse põhiseaduslikkuse järelevalve kohtumenetluse seaduses ettenähtud korras Riigikohtule. Kaebus esitatakse Riigikohtule kolme päeva jooksul Vabariigi Valimiskomisjoni otsuse teatavakstegemisest arvates Vabariigi Valimiskomisjoni kaudu.


1 Kättesaadav arvutivõrgus: https://www.riigikogu.ee/tegevus/dokumendiregister/dokument/3e26aadf-361c-41f9-8678-2a903efeb282

2 Kättesaadav arvutivõrgus: https://www.valimised.ee/sites/default/files/2021-10/IVXV%20seadistuste%20koostamise%20juhend.pdf

Oliver Kask
Vabariigi Valimiskomisjoni esimees