| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 10-4/3743-1 |
| Registreeritud | 07.05.2026 |
| Sünkroonitud | 08.05.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 10 Õiguspoliitika alase tegevuse korraldamine |
| Sari | 10-4 Kirjavahetus asutuste ja isikutega |
| Toimik | 10-4/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Heddi Lutterus (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Õiguspoliitika valdkond) |
| Originaal | Ava uues aknas |
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Riigikogu põhiseaduskomisjon
Vabariigi Valitsus
Teadmiseks
Justiits- ja Digiministeerium
Meie: 07.05.2026 nr 1.1.-10/26/1
Andmekaitse Inspektsiooni 2025. aasta tegevusaruanne
Juhindudes isikuandmete kaitse üldmääruse1 (edaspidi IKÜM) artiklist 59 ja avaliku teabe
seaduse2 §-st 54 edastame Teile tutvumiseks Andmekaitse Inspektsiooni (edaspidi:
inspektsioon) 2025. aasta tegevusaruande (aastaraamatu) ja ettekande avaliku teabe seaduse
täitmisest.
Meie aastaraamatu terviktekst on leitav siit Aastaraamat 2025 | Andmekaitse Inspektsiooni
aastaraamat
1. 2025. aasta tegevusaruanne isikuandmete kaitse asjades
1.1. Ülevaade
2025. aasta tähistab inspektsiooni jaoks rekordilise kaebuste arvuga aastat. Kui 2024. aastal
pöörduti kaebusega inspektsiooni poole kokku 889 korral, siis 2025. aastal saime me 1568
kaebust ja vaiet.3 Samuti on tõusnud rikkumisteadete arv. 2024. aastal esitati 184
rikkumisteadet, 2025. aastal aga 251. Selgitustaotlused on seejuures jäänud samale tasemele.
Sellises hüppelises koormuse tõusus on arusaadavalt aga langenud meie omaalgatuslike
järelevalvemenetluste arv.
Samas oleme jätkuvalt kasvatanud proaktiivset ennetustööd ja seda olukorras, kus selles
üksuses töötab 4 inimest, kellele on ennetus- ja koolitustegevused põhitöö. Eriliselt sooviks
esile tuua andmekaitsespetsialistide koostöövõrgustike käivitamist, mis on osutunud äärmiselt
kasulikuks nii inspektsioonile kui võrgustikes osalejatele.
Rekordkõrge oli 2025. aastal ka inspektsiooni roll õigusloomes. Oleme avaldanud arvamust
õigusaktide eelnõudele 98 korral. Samas kui eelmisel aastal näiteks tuli seda teha 65 korral.
1 EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste
andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus). Leitav L_2016119ET.01000101.xml 2 Avaliku teabe seadus–Riigi Teataja 3 Vt ka Statistika | Andmekaitse Inspektsioon
2 (9)
Tõusnud on ka inspektsioonile esitatud uuringutaotluste arv. Samuti isikute päringud enda
andmete kohta Schengeni, Europoli jt piiriülestest andmekogudest.
Lisaks on inspektsioonil käimas pidevalt üle 20 kohtuvaidluse sh on hetkel kohtus vaidluses
üks märgiline väärteotrahv.
Samuti paneb IKÜM inspektsioonile kohustuse osaleda Euroopa Andmekaitsenõukogu töös.
Kuivõrd andmekaitsenõukogu suunised ja arvamused on kohustuslikud järgimiseks
andmekaitseasutustele ning oluliseks suunanäitajaks kõigile turuosalistele sh nii
andmetöötlejatele, praktikutele kui kohtutele, on äärmiselt oluline Eesti positsioone selles töös
esindada ja vajadusel kaitsta. Seepärast püüame olla oma võimaluste piires maksimaalselt
aktiivsed ka andmekaitsenõukogu töös. Mida rohkem on Eestis aga edukaid rahvusvahelisi
ettevõtteid seda rohkem toob see kaasa ka ülepiirilisi järelevalvemenetlusi, kus inspektsioonil
on kanda juhtiva järelevalveasutuse roll. Koostöö aktiivsust järelevalveasutuste vahel tähistab
statistikas veerg pöördumised IMI kaudu, mis samuti on kasvutrendis.
Kokkuvõttes võib eelmise aasta kohta öelda, et aasta aastalt suureneb inspektsiooni töökoormus
ja ühiskondlik ootus efektiivsema tegutsemise osas. Mitmed avalikkust raputanud
isikuandmetega seotud skandaalid on pannud inimesi ühe enam hoolima enda isikuandmetest,
mis väljendubki rekordilises kaebuste arvus. Lisaks on märgata ka selgitustaotlustes selget
trendi selles suunas, et inimestele on ebaselge, kes nende andmeid töötleb, mis eesmärgil ja
millisel õiguslikul alusel. Seda väga selgelt nii avaliku sektori suunal, aga mõistagi ka
erasektoris. Jätkuvalt annavad inspektsiooni töös tooni mh eraisikute vahelised vaidlused:
korteriühistutes, naabrite vahel, muudes eraelulistes suhetes. Paraku on nii, et kui ressurss on
piiratud, tuleb teha aina radikaalsemaid valikuid selles osas, millistesse asjadesse inspektsioon
menetlusega sekkub ja millesse mitte. Teisisõnu tähendab see veelgi selgemate prioriteetide
seadmist.
Inspektsioonis töötab hetkel 35 inimest, kellest 4 ametniku tasu ei ole tagatud riigieelarvest,
vaid rahastatakse EL projektist (tänase teadmise juures on see rahastus olemas selle aasta
lõpuni).
Inspektsiooni eelarve 2025. aastal oli 1 542 992 eurot, millest personalieelarve moodustas
1 351 377 eurot. Keskmiselt töötas 2025. aastal inspektsioonis 34 teenistujat, kelle keskmine
põhipalk oli 2764 eurot.
Inspektsiooni tööd mõjutas juba 2025. aastal, aga lähiaastatel hakkab veelgi enam mõjutama
mitmete uute Euroopa Liidu õigusaktide jõustumine, mis toovad endaga kaasa täiendavaid
ülesandeid. Neist ja eelarvest lähemalt allpool. Oluline on rõhutada, et tegemist on valdavalt
EL määrustega st otsekohalduvate õigusaktidega, kus enamuse puhul on andmekaitseasutuse
pädevus otse mainitud, mitte ei ole pädeva asutuse määramine jäetud liikmesriigi otsustada.
1.2. Kriitilised valupunktid inspektsiooni töös
Inspektsiooni tööd on mõjutanud alates IKÜM-i kehtima hakkamisest 2018. aastal ehk peagi
juba 10 aastat, pidev ressursipuudus. Erinevalt mitmetest teistest Euroopa Liidu
andmekaitseasutustest tuleb Eesti puhul arvestada sellega, et inspektsioonil on täita kaks rolli –
järelevalveasutuse ülesanded isikuandmete kaitse ja avaliku teabe asjades. Kaks väga mitmes
aspektis vastandlikku rolli. Nagu statistika näitab, siis aasta aastalt on inspektsiooni roll
kasvamas ja ootused just inimeste poolt inspektsiooni ülesannete kiireks, efektiivseks ja
mõjusaks täitmiseks suur. Ent mitte ainult inimeste poolt. Ettevõtjad ootavad samuti selgeid
suuniseid, toetust, koolitusi ja nõustamisi, mitte trahve. Avaliku sektori asutused on pärast
mitmeid suuri skandaale mõistmas isikuandmete kaitse küsimuse olulisust, ent eksperte turul
3 (9)
napib. Seega on ka nende ootused suunatud inspektsioonile, kes neid nõu ja jõuga aidata võiks.
Kuivõrd inspektsioonina oleme võtnud eesmärgiks ja pidanud oluliseks just ennetustegevust,
siis see on töö, mida peame hädavajalikuks ja mille osakaalu me hea meelega märgatavalt
kasvataks. Ennetustööd ei asenda masinad või tehisintellekt, vaid hea koostöö ja tugevad
teadmised, mis nõuavad häid eksperte st inimesi.
Samal ajal oleme enda jaoks ära markeerinud 10 Euroopa Liidu õigusakti, nagu eelnevalt juba
rõhutatud otsekohalduvat määrust (v.a üks), mis toovad meile kas uusi ülesandeid või
muudavad tänased ülesanded keerulisemaks, sest vaja on arvestada mitmetest erinevatest
õigusaktidest tulevate normidega. Need on:
andmemäärus, (EL) 2023/2854;
andmehalduse määrus, (EL) 2022/868;
poliitreklaami läbipaistvuse ja suunamise määrus, (EL) 2024/900;
tehisintellekti määrus, (EL) 2024/1689;
finantssüsteemi rahapesu ja terrorismi rahastamise eesmärgil kasutamise tõkestamise
määrus, (EL) 2024/1624;
platvormitöö tingimuste parandamise direktiiv, (EL) 2024/2831;
terviseandmeruumi määrus, (EL) 2025/327;
e-identimise ja e-tehingute jaoks vajalike usaldusteenuste määrus, (EL) 910/2014.
Lisaks eeltoodule lisandub 2025 ja 2026. a jooksul inspektsioonile kohustus auditeerida kolme
uut rakenduvat EL-i piiriülest infosüsteemi, sest toimub nende kasutusele võtmine:
ETIAS (Euroopa reisiinfo ja -lubade süsteem, rakendub sügisel 2026), reguleerib määrus
(EL) 2018/1240;
EES (liikmesriikide välispiire ületavate kolmandate riikide kodanike riiki sisenemise
ja riigist lahkumise üle arvestuse pidamise süsteem, rakendus 12.10.2025), reguleerib
määrus (EL) 2017/2226;
ECRIS-TCN (kolmandate riikide kodanike karistuste väljaselgitamise kesksüsteem,
rakendus 1.01.2026), reguleerib määrus (EL) 2019/816.
Neis nii mitmeski on selgesõnaliselt nimetatud ära andmekaitseasutuse roll, mis tähendab, et
liikmesriigil ei ole valikut, kellele need ülesanded määrata.
Oleme esitanud läbi Justiits- ja Digiministeeriumi Rahandusministeeriumile uueks
eelarveperioodiks taotluse inspektsiooni eelarve suurendamiseks 1 631 467 eurot 2027.
aastal (kogu järgmise riigieelarve perioodi lisavajadus on 6 889 665 eurot). Neist 1 158
784 eurot on õigusaktide muudatusest tulenev uute ülesannete täitmiseks vajaminev summa.
Me näeme, et nende ülesannete ja ootuste täitmiseks vajame 12,3 uut ametikohta. Nagu
öeldud, on hetkel eraldatud meile tehisintellektimääruse ja andmehalduse määruse
rakendamiseks vahendid nelja ametikoha jagu, aga kuna need on eraldatud EL toetusmeetmest,
siis see rahastus lõpeb 2027. aastaga. Ülesanded aga jäävad.
Inspektsiooni andmekaitse ekspertide keskmine töötasu on 2650 eurot (põhipalk taandatud
täistööajale). Samas on teada, et ainuüksi teised avaliku sektori asutused värbavad
andmekaitsespetsialiste töötasuga, mis algab 3000 eurost, enamikel juhtudel küündib see aga
3500-4000 euro juurde. Rääkimata erasektorist. See tähendab, et pidevas palgasurves kaotame
me oma eksperte nii era- kui avaliku sektori organisatsioonidele ja oleme ise kasvulavaks
noortele alustavatele juristidele. See aga omakorda tähendab pidevat õpi- ja väljaõppeprotsessi,
mis koormab olemasolevaid töötajaid ja kokkuvõttes võib kaasa tuua kvaliteedi languse.
Kindlasti aga ei taga piisavat efektiivset tulemust.
Selleks, et olemasolevaid eksperte hoida oleme taotlenud eelarvesse lisaks 250 000 eurot (2027
aastaks), mis võimaldaks juba kogenud ekspertide töötasu turutingimustega vastavusse viimist.
4 (9)
Juba aastaid on muutumatuna püsinud ka inspektsiooni majandamiskulud, mida on
arvestatud aastaks ca 50 000 eurot. Samas kui inspektsioonis töötab 35 inimest ja sellest
peaks kaetud saama nii kaasaegses kontorikeskkonnas vajalikud vahendid, seadusega
ettenähtud hüvitised, aga ka koolitused ja lähetused. Viimaste osas olgu öeldud, et suurem osa
lähetustest puudutavad tööd Euroopa Andmekaitsenõukogus, mis ei ole inspektsioonile
vabatahtlik, vaid IKÜM-ist tulenev kohustus.
Võrreldavate, ca 50-70 teenistujaga riigiasutuste eelarve on ca 3+ miljonit eurot aastas. Sellest on selgelt näha, et inspektsiooni eelarve on ebaproportsionaalselt väike.
Seega juhul, kui inspektsiooni eelarve jääb samaks või veelgi enam, kärbitakse, on selge, et
selleski mahus, mis täna võimalik, me jätkuvalt avalikku teenust pakkuda ei saa. Samuti seab
see kahtluse alla uute lisanduvate ülesannete täitmise võimekuse. See omakorda tähendab aga
inimeste kaitseta jäämist.
Meie peamine ülesanne on kaitsta üksikisikut. Isikuandmete kaitse on üks põhiõigusi –
põhiseaduse §-st 26 tulenev õigus eraelu kaitsele. Ent surve aina rohkem oma tööd
efektiivsemaks muuta, nõuab veelgi selgemate ja karmimate prioriteetide seadmist. See
omakorda tähendab, et menetlustes tuleb teha selliseid valikuid, mille mõju on laiem –
menetlusest on puudutatud võimalikult palju inimesi, fookuses on probleem, millest on
mõjutatud suur hulk ühiskonnaliikmeid jms kriteeriumid. Juba täna oleme otsustanud mitte
järelevalve meetmetega sekkuda asjadesse, mille mõju on väike või mis puudutab ainult kaht
või väheseid osapooli. Näiteks naabrite vahelised vaidlused sh kaamerate üle, aga ka muud
naabrite vahelised erimeelsused, erinevad sotsiaalmeedia postitused, korteriühistute sisesed
andmetöötlusvaidlused, teatud juhtudel ka andmetöötlus töösuhetes või mistahes muud
andmekaitse küsimused, kuhu on segatud üksnes kaks eraisikut. See aga on tekitanud juba
praegu inimestes väga palju pahameelt ja rahulolematust. Samuti on see kaasa toonud
märkimisväärsel hulgal kohtuvaidlusi selle üle, kas meie selline „selektiivsus“ on õiguspärane.
Tegelikult vajavad aga just sellised inimesed tihti kaitset ja abi. Üha suurenevate ülesannete
mahu, aga väheneva või samaks jääva ressursiga tuleb neid kriteeriumeid veelgi ahendada.
Riigisiseselt näeme kahte olulist trendi. Esiteks, üha rohkem soovitakse erinevaid andmestikke
kombineerida ja teha nendel põhinevaid otsuseid. Teiseks, kasvanud on surve uute
tehnoloogiate (peamiselt tehisintellekt) kasutusele võtmiseks mh avalikus sektoris. Mõlemad
trendid on ühes küljest mõistetavad, sest andmepõhisus tagab targemad otsused ning
tehisintellekti lahendused, kui neid targalt kasutada, muudavad töö efektiivsemaks, aga teisest
küljest on nende keskmes isikuandmete töötlemine ning küsimus, kuidas mõlemaid asju teha
nii, et inimeste põhiõigused oleks kaitstud ja erinevad riskid minimeeritud. Nendes protsessides
on suurenenud ootus, et AKI toetaks nõuga erinevaid projekte, mõtleks kaasa kuidas eesmärke
õiguspäraselt saavutada. Inspektsioon teeb seda hea meelega, ent oleme täna juba oma võimete
piiril ning kui avaliku sektori nõudlus peaks kasvama, siis me ei ole suutelised neid ootusi
täitma, mis kujutab endast eraldiseisvat ohtu Eesti digiriigile ja digiinnovatsioonile laiemalt -
tulemuseks võib olla mh riigiressursside raiskamine lahenduste peale, mis ei ole kooskõlas ei
Eesti põhiseaduse ega Euroopa Liidu õigusega. Võime nii kaotada oma eelise, sest täna ei
oodata mitte ainult nutikaid, vaid ka turvalisi ja privaatsussõbralikke lahendusi, mis
tugevdaksid inimeste usaldust. Ilma usalduseta, ei saa eksisteerida ka tugev ja turvaline digiriik.
Tulevikku vaadates ja eeldusel, et me soovime jätkuvalt kaitsta isikute põhiõigusi, õigust
eraelule, tuleks inspektsiooni eelarvevajadusi hinnata äärmise tõsidusega. Olemasolevaga
sellises pöördumiste arvu (võrdlusena näiteks, et märtsis 2025 esitati inspektsioonile 94
kaebust, kui märtsis 2026 aga 260) ja ühiskondliku ootuse kasvus jätkata ei ole võimalik. Veelgi
vähem on sama ressursi juures võimalik võtta uusi kohustusi, millele katet inimeste ja raha näol
ei ole.
5 (9)
1.3. Peamised tegevussuunad 2025. aastal
Inspektsiooni töö on jagatud 4 valdkonda: koostöö-, tehnoloogia-, Euroopa koostöö ja õiguse-
ja järelevalvevaldkond. Sisu mõttes võib öelda, et töö jagunes kolme põhisuunda: ennetus ja
teadlikkuse tõstmine, järelevalve ning õigusloome- ja koostöötegevus.
Ennetustöös oli keskseks eesmärgiks viia andmetöötlejateni arusaamine, et andmekaitse ei
oleks organisatsioonides üksnes formaalne nõue, vaid osa igapäevasest juhtimisest ja teenuste
kavandamisest. 2025. aastal käivitati regionaalsete koolituste sari väikestele ja keskmise
suurusega ettevõtetele, külastati üheksa kuu jooksul kaheksat suuremat Eesti linna. Kokku tehti
aasta jooksul 58 koolitust avaldati kümme „Andmehäälingu“ taskuhäälingu episoodi, nõustati
andmetöötlejaid kohapeal uute projektide ja teenuste raames 74 korral, saadeti ringkirju ja
uudiskirju ning arendati andmekaitsevõrgustikke.
Oluline rõhk oli valdkondlikel võrgustikel: jätkus haiglate ja kiirabide
andmekaitsespetsialistide võrgustiku ning kohalike omavalitsuste andmekaitsevõrgustiku töö.
2026. aastaks on kavandatud ka haridusvaldkonna andmekaitsevõrgustiku loomine, ehkki
erinevaid koostööpunkte oli meil juba 2025. aastal.
Haridusvaldkonnas tegelesime laste ja koolide andmekaitseteadlikkuse tõstmisega. Näiteks
saadeti koolidele „küsimus-vastus“ vormis ringkiri lapsevanema nõusoleku, piltide ja videote
avaldamise ning tehisintellekti kasutamise kohta. Lisaks osaleti rahvusvahelises seires, mille
käigus hinnati 30 laste seas populaarset veebisaiti ja mobiilirakendust.
1.4. Arvamused õigusaktide eelnõudele
2025. aastal tõusis rekordiliselt ka õigusaktide eelnõude arv, millele tuli inspektsioonil oma
hinnang anda.
Positiivse arenguna näeme, et inspektsiooni kaasatakse üha sagedamini normide väljatöötamise
varases etapis, mis võimaldab isikuandmete kaitse küsimusi lahendada enne, kui eelnõu on
lõplikult vormistatud. Samas rõhutas inspektsioon, et varane kaasamine ei asenda ametlikku
arvamuse küsimist, sest lõplikku teksti tuleb hinnata tervikuna.
Sisuliselt kordusid eelnõudes mitmed samad probleemid. Kõige olulisem on jätkuvalt
isikuandmete töötlemise eesmärgi selge sõnastamine: seadusest peab nähtuma, miks andmeid
töödeldakse ja millise avaliku ülesande täitmiseks see vajalik on. Eriti andmekogude puhul ei
piisa üldisest viitest näiteks avaliku korra kaitsmisele või teenuse osutamisele, vaid norm peab
selgelt vastama küsimusele, milleks konkreetset andmekogu vaja on. Samuti juhtis inspektsioon
tähelepanu sellele, et seaduses peavad olema ammendavalt määratletud töödeldavate
isikuandmete kategooriad ning seletuskirjas tuleb põhjendada iga andmekategooria vajalikkust.
Tähelepanu vajasid ka volitusnormid ja säilitustähtajad. Kui andmetöötluse täpsemad reeglid
soovitakse kehtestada määrusega, peab seadus andma selleks piisavalt selge ja täpse volituse.
Samuti tuleb õigusaktides ette näha, kui kaua isikuandmeid säilitatakse ja kuidas toimub nende
kustutamine. Andmete säilitamine pärast vajaliku tähtaja möödumist tähendab sisuliselt
andmete edasist töötlemist ilma õigusliku aluseta.
Nii näiteks oleme 2025. aastal andnud tagasiside andmekogude põhimäärustele (andmekogu
asutamisel või muutmisel on inspektsiooniga konsulteerimine kohustuslik, seaduseelnõude
puhul vabatahtlik) 26 korral, millest 21 korral oleme juhtinud andmekogu vastutava töötleja
6 (9)
tähelepanu kõige elementaarsematele isikuandmete kaitse küsimustele: andmekoosseis,
andmetöötluse eesmärk, andmete säilitamine, volitusnormid. Samasugust statistikat ei ole
hetkel välja tuua seaduseelnõude kohta, kuid üldistatult saab öelda, et väga paljudel juhtudel
esinevad samad kitsaskohad ka seaduseelnõude puhul. Kahetsusväärne on, kuna inspektsioon
ei ole õigusaktide eelnõude kooskõlastaja, vaid üksnes arvamuse andja, ei ole vastutaval
ministeeriumil kohustust meile tagasisidet anda, kas meie ettepanekutega on nõustutud või
mitte. Juhul, kui ei ole nõustutud, ei ole neil kohustust ka põhjendada miks. Nii näeme ikka ja
jälle õigusaktides samu probleeme ja mõnedest neist vormuvad skandaalid, mis
ühiskonda raputavad ja kus imestusega avastatakse, et kuidas mingi andmetöötlus aset
leiab, kui selleks seadusandja volitust andnud ei ole.
Seega on see küsimus ääretult oluline just Riigikogu töö seisukohast, millele tuleks
rohkem tähelepanu pöörata. Lõppastmes on seadusandja ikkagi Riigikogu, kes esindab kogu
rahva tahet ja kelle töö on seadusandliku protsessi käigus need põhiõigusi riivavad küsimused
läbi arutada, diskussiooni pidada ja vajadusel esitada ka kriitilisi küsimusi.
1.5. Peamised rikkumised ja kitsaskohad
2025. aasta näitas, et praktikas korduvad neli läbivat murekohta.
Esiteks on jätkuvalt probleemiks organisatsioonide ebapiisav andmekaitsejuhtimine. Kohalike
omavalitsuste puhul ilmnes, et andmekaitsespetsialisti roll on kohati formaalne või täitmata
ning dokumendiregistrites avaldatakse endiselt andmeid viisil, mis võib kahjustada inimeste
privaatsust. Näiteks tuvastati KOV-ide dokumendiregistrites sotsiaalvaldkonna dokumente,
mille pealkirjades sisaldusid tundlikud isikuandmed.
Teiseks suurenes tööeluga seotud jälgimise probleem. Inspektsioonile laekus arvukalt
pöördumisi videovalve, GPS-seadmete, e-posti ja arvutikasutuse jälgimise ning biomeetriliste
lahenduste kohta. Praktikas ilmnesid juhtumid, kus töötajaid jälgiti ebaproportsionaalselt või
läbipaistmatult, sealhulgas kasutati videovalvet tööülesannete reaalajas kontrollimiseks.
Kolmandaks oli märkimisväärne probleem isikuandmete turvalisus ja rikkumiste ennetamine.
Rikkumisteadete arv kasvas 2024. aasta 184 teavituse pealt 2025. aastal 251 teavituseni, mis on
suurim arv alates 2018. aasta maist. Kõige sagedasemad põhjused olid inimlikud eksimused,
näiteks andmete saatmine valele adressaadile või ekslik avaldamine, aga ka hooletus, tehnilised
vead, ebapiisavad kontrollmehhanismid, õiguste väärkasutus ja küberintsidendid.
Neljandaks tõi 2025. aasta esile vajaduse selgema õigusloome järele. Inspektsioon juhtis
tähelepanu, et isikuandmete töötlemise eesmärk peab seadustes olema selgelt sõnastatud, eriti
andmekogude loomisel ja riigi andmetöötluses. Samuti vajavad lahendamist andmeladude
regulatsioon, töötajate joobe kontrollimise õiguslik raamistik ning avalike registrite
läbipaistvuse ja privaatsuse tasakaal.
1.6. Olulisemad järelevalvejuhtumid
Kõige märgilisem juhtum oli Apotheka lojaalsusprogrammi andmeleke, mis puudutas üle 750
000 inimese andmeid, sealhulgas ostuajalugu ja terviseandmetena käsitatavat teavet.
Inspektsioon kohustas ettevõtet andmesubjekte teavitama ning määras Allium UPI OÜ-le 3
miljoni euro suuruse rahatrahvi isikuandmete turvalisuse, lõimitud ja vaikimisi andmekaitse
ning vastutava töötleja üldkohustuste rikkumise eest. Määratud trahvisumma on vaidlustatud
kohtus. Kohtumenetlus on hetkel käimas ja loodetavasti annab tulemust 2026. aasta jooksul.
Tegemist on märgilise juhtumiga mitte ainult summa pärast, vaid mitmete sisuliste rakenduslike
küsimuste poolest, millele inspektsioon loodab kohtumenetluse tulemusel vastused saada ja mis
7 (9)
võimaldaks tulevikus oma tööd paremini planeerida ja andmetöötlejatele ka ettenähtavamalt
kavandada.
Avalikus sektoris oli oluline politsei andmekogu POLIS järelevalve. Järelevalvemenetlus sai
tõuke avalikkuses palju tähelepanu saanud numbrituvastuskaamerate juhtumist, kuid keskendus
andmekogu andmetöötlusprotsessidele laiemalt kui üksnes numbrituvastuskaameratega
andmete töötlusele. Inspektsioon hindas lisaks andmekogus päringute tegemist, arhiveerimist
ja kustutamist, logimist ning juurdepääsuõigusi. Menetluse tulemusel tehti Politsei- ja
Piirivalveametile ettekirjutus puuduste kõrvaldamiseks, mis on tänaseks hetkeks täidetud. Küll
aga vajab POLIS-e andmekogu põhimäärus ja sellega seonduvalt ka politsei ja piirivalve seadus
kaasajastamist. Need on jätkuvalt töös ja loodetavasti jõuavad Riigikogu menetlusse veel sel
aastal.
Teine oluline järelevalve avaliku sektori suunal puudutas äriregistri andmekogu. Selles asjas
hindas inspektsioon, kuidas on tagatud tasakaal registri avalikkuse ja inimeste privaatsuse
vahel. Järelevalvemenetluse tulemusel tehti Justiits- ja Digiministeeriumile ettepanekud
lõpetada välismaiste isikukoodide avaldamine e-äriregistris ning seada selgemad piirid sellele,
kui kaua kuvatakse avalikult endiste juhatuse liikmete ja teiste esindusõiguseta isikute andmeid.
Samuti juhiti tähelepanu äriregistri andmete otsingumootorites indekseerimisele ja avalikes
dokumentides (alusdokumendid äriregistri toimikus) sisalduvate tundlike isikuandmete
avalikustamise riskidele. Põhisõnum oli, et äriregistri läbipaistvus ja õiguskindlus on vajalikud,
kuid isikuandmete avalik kuvamine peab olema eesmärgipärane, minimaalne ja ajaliselt
põhjendatud.
Inspektsioon viis läbi ka seire SMS-ide saatmist vahendavate ettevõtete seas. Märkimisväärne
osa inimestele saadetud teavitustest tehakse täna SMS-ga. Seetõttu on oluline, et teavituste
tehnilist edastus vahendavad ettevõtted on rakendanud vajalikud andmekaitselised meetmed.
Seire käigus selgus, et turvameetmete tase on ettevõtetes ebaühtlane ja sageli pigem reaktiivne
kui ennetav.
1.7. Kohtuasjad ja rahvusvaheline koostöö
Kohtuvaidluste vaates oli 2025. aasta sisukas ja põhimõtteline: aasta jooksul tegeleti kokku 50
kohtuasjaga. Olulised lahendid puudutasid muu hulgas väärteomenetluse ja IKÜM-i
koostoimet, juriidilise isiku kaasaaitamiskohustust, andmekaitsespetsialisti sõltumatust,
maksehäireandmete avaldamist ja andmesubjekti vastuväiteõigust, vangiregistri andmetega
tutvumist ning ajakirjanduslike digiarhiivide anonümiseerimist õiguse olla unustatud
kontekstis. Kohtupraktika kinnitas mitmes küsimuses, et andmetöötleja kohustused ei saa jääda
formaalseks: andmesubjekti õiguste piiramine, vastuväidete lahendamine ja andmete
avaldamine eeldavad sisulist kaalumist. Mitu põhimõttelist vaidlust jätkuvad 2026. aastal.
Rahvusvahelises koostöös oli inspektsiooni töö tugevalt seotud Euroopa Andmekaitsenõukogu
ja teiste koostöövõrgustikega. 2025. aasta Euroopa ühisseire keskendus õigusele olla unustatud;
Eestis vaadati selle raames 12 jaekaubandus- ja tanklaettevõtte püsikliendiprogrammide
praktikat.
Lisaks osalesime rahvusvahelises seires, kus hinnati laste seas populaarsete veebisaitide ja
mobiilirakenduste andmekaitset.
Panustasime ka Euroopa Andmekaitsenõukogu juhendiloomesse, olles kolmel korral Euroopa
Andmekaitsenõukogu juhendite kaasautor. Olulised teemad olid muu hulgas digiteenuste
määruse ja IKÜM-i koosmõju ning digiturgude määruse ja IKÜM-i koosmõju suunised.
Rahvusvahelise töö keskne sõnum oli, et Euroopa uus andmemajanduse ja digiregulatsioonide
8 (9)
raamistik peab arenema viisil, mis toetab innovatsiooni, kuid säilitab isikuandmete kaitse ja
usalduse digiteenuste vastu.
2. Ettekanne avaliku teabe seaduse täitmisest
2.1. Ülevaade rikkumistest
Kokku esitati inspektsioonile vaided avaliku teabe asjades 2025. aastal 188 korral. Inspektsioon
algatas omaalgatuslikult 10 järelevalvemenetlust teabe avalikustamise osas teabevaldajate
dokumendiregistrites.
Inspektsioon tegi teabevaldajatele ettekirjutuse 55 korral. Kokku esitati vaideid 95 erineva
teabevaldaja osas.
Teabevaldajad, kelle tegevuse peale esitati vaideid rohkem kui kahel korral olid järgmised:
Küll aga tuleb Põllumajandus- ja Toiduameti, Pärnu Linnavalitsuse ja Regionaal- ja
Põllumajandusministeeriumi puhul arvestada, et enamus vaideid on esitatud ühe ja sama isiku
poolt. Seega ei saa neist numbritest teha ühest järeldust, et nende teabevaldajate poolne avaliku
teabe seaduse täitmine erakordselt puudulik oleks.
Üldistavalt saab öelda, et peamised vaide esitamise põhjused on aasta aastalt samad. Tihtipeale
võib küll teabevaldajatel olla õiguslik alus keelduda teabe väljastamisest, aga seda ei põhjendata
teabenõude esitajale piisavalt. Mõistagi esineb jätkuvalt olukordi, kus juurdepääsupiirang on
siiski lisatud teabele ülemääraselt või valesti. Samuti tekitavad teabevaldajates segadust
erinevate töötasu liikide avaldamise kohustused. Ei mõisteta vahet selles, milline teave tuleb
proaktiivselt veebilehel avaldada ja milline teave on küll avalik, aga mida proaktiivselt
avaldama ei pea, kuid tuleb väljastada, kui teabenõue esitatakse. Raskusi valmistab
teabevaldajatele ka vahetegu teabenõudel ja päring enda andmete kohta IKÜM art 15 alusel.
2.2. Muud tegevused avaliku teabe seaduse täitmiseks
Selleks aga et tõsta teadlikkust nii isikuandmete kaitsest kui ka avaliku teabe seaduse nõuetest
jätkas inspektsioon 2025. aastal kohalike omavalitsuste andmekaitsevõrgustiku arendamist.
Võrgustiku eesmärk on tugevdada omavalitsuste võimekust töödelda isikuandmeid turvaliselt,
õiguspäraselt ja läbimõeldult. Võrgustik on oluline ennetus- ja koostööplatvorm, mis aitab
ühtlustada andmekaitsepraktikaid üle Eesti ning toetab omavalitsusi praktiliste küsimuste
Teabevaldaja Vaideid Ettekirjutusi Teabenõue täideti menetluse kestel
Tallinna Linnavalitsus (sh
allasutused) 18 1 3
Põllumajandus- ja
Toiduamet 17 14 1
Pärnu Linnavalitsus 14 3 3
Politsei- ja Piirivalveamet 13 5 1
Regionaal- ja
Põllumajandusministeerium 7 4 1
Tallinna Vangla 7 0 1
Rae Vallavalitsus 4 1 0
Hiiumaa Vallavalitsus 3 1 0
Kehtna Vallavalitsus 3 1 2
Keskkonnaamet 3 1 1
Luunja Vallavalitsus 3 2 0
Maksu- ja Tolliamet 3 0 1
Välisministeerium 3 0 1
9 (9)
lahendamisel. Kõigil avaliku sektori asutustel on kohustus määrata andmekaitsespetsialist ja on
ääretult oluline mõista selle rolli organisatsioonis. Andmekaitsespetsialisti määramine ei ole
formaalsus, vaid seadusest tulenev kohustus. Pädev andmekaitsespetsialist aitab tõlkida
õigusnormid igapäevaseks praktikaks, nõustada teenistujaid, kujundada sisemisi
kontrollimehhanisme ja ennetada rikkumisi. Samas on andmekaitsespetsialisti mittemääramine
või rolli üksnes formaalne täitmine avaliku sektori asutustes endiselt probleem, mis suurendab
andmeleketeks, väärkasutuseks, õigusvaidlusteks ja mainekahjuks kujunevaid riske.
2025. aastal viis inspektsioon koostöös Justiits- ja Digiministeeriumiga läbi ka avaandmete
avaldamise seire. Nimelt ei piirdu inspektsiooni pädevus avaliku teabe seaduse üle järelevalve
teostamisel üksnes teabenõuetele vastamise kontrollis või tuvastamaks, kas piirangud teabele
on korrektselt seatud, vaid järelevalve pädevus hõlmab ka avaandmete avaldamist.
Seire puudutas kohalikke omavalitsusi ja selleks saadeti küsimustik välja 79 kohalikule
omavalitsusele ja lisaks teadmiseks ka Eesti Linnade ja Valdade Liidule. Küsimustikule vastas
47 omavalitsust (59%). Samuti andis omalt poolt tagasisidet liit. Seire käigus esitati
omavalitsustele neli põhiküsimust, millest kaks esimest puudutasid teabeväravas andmestike
avaldamist, sh avaldamisega seotud probleemide kirjeldamist, üks küsimustest puudutas
mitteavaldamise põhjendamist ning viimane küsimus abivajadust.
Täpsemalt saab seire tulemustest lugeda siit Avaandmete seire 2025 | Andmekaitse Inspektsioon
Lisaks viisime 2025. aastal läbi KOV-ide dokumendiregistrite seire. Seire eesmärk oli hinnata,
kuidas omavalitsused täidavad avaliku teabe seadusest tulenevaid teabe avalikustamise
nõudeid, kuidas on tagatud dokumentidele juurdepääs ning kuidas kaitstakse asutusesiseseks
kasutamiseks mõeldud ehk AK-teavet. Samuti kontrolliti, kas varasem märgukiri on
parandanud dokumendiregistrites piiranguga teabe kaitset.
Seire tulemusel ilmnes, et kohalike omavalitsuste dokumendiregistrites oli jätkuvalt hulgaliselt
andmeid, mis ei tohiks avalikult nähtavad olla. Eriti probleemne oli füüsiliste isikute nimede
avaldamine sotsiaalvaldkonna dokumentide pealkirjades. Kuigi dokumendid ise ei pruukinud
olla avalikud, võib juba pealkiri koos isiku nimega avaldada teavet inimese tervisliku seisundi
või sotsiaalse toimetuleku kohta. Selline rikkumine ei ole üksnes tehniline eksimus, vaid võib
otseselt kahjustada inimese privaatsust.
Rõhutasime, et omavalitsustel tuleb dokumendiregistrid täiendavalt üle vaadata, eemaldada
piiranguga andmed ning hinnata ka vanade dokumentide säilitamise vajadust. Kuna registrites
leidub dokumente juba 2000. aastate algusest, tuleb kontrollida säilitustähtaegu, hävitada
tähtaja ületanud dokumendid ja anda arhiiviväärtuslikud dokumendid üle arhiivile. Lisaks
juhtisime seire tulemusel tähelepanu teabenõuetele vastamise probleemidele: avaliku teabe
küsimisel ei tohi üldjuhul nõuda teabenõudjalt põhjendust ega allkirja, kui ta ei küsi piiranguga
andmeid.
Kokkuvõttes näitas seire samuti, kui oluline andmekaitsespetsialisti roll organisatsioonis. Ent
lisaks sellele on ääretult olulised selged sisemised reeglid, dokumentide avalikustamise
regulaarne sisemine kontroll ja korraline teenistujate koolitamine.
Lugupidamisega
/allkirjastatud digitaalselt/
Pille Lehis
Peadirektor