| Dokumendiregister | Riigimetsa Majandamise Keskus |
| Viit | 11-14/110 |
| Registreeritud | 04.02.2026 |
| Sünkroonitud | 16.05.2026 |
| Liik | Kiri |
| Funktsioon | 11-14 |
| Sari | Isikuandmetega seotud kirjavahetus |
| Toimik | |
| Juurdepääsupiirang | Avalik |
| Adressaat | Andmekaitseinspektsioon |
| Saabumis/saatmisviis | Andmekaitseinspektsioon |
| Vastutaja | Marta Rohtla |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Marta Rohtla
Riigimetsa Majandamise Keskus
Teie 07.01.2026 nr 11-14/2026/110 Meie 04.02.2026 nr 2.3-8/26/67-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai 07.01.2026 Riigimetsa Majandamise Keskuse (RMK)
pöördumise seoses veebilehega https://dokumendiregistrid.karlerss.com/. Lehele koondatakse ja
tehakse otse brauseris loetavaks/nähtavaks erinevate asutuste avalike dokumendiregistrite sisu,
mille kaudu võivad muu hulgas saada avalikuks isikuandmeid sisaldavad dokumendid. Olete
pöördumises välja toonud küsitavused, mis on RMK-l kõnealuse veebilehega tekkinud ning palute
AKI seisukohta veebilehel isikuandmete töötlemise osas.
Seoses dokumendiregistri pidamise nõuetega olete viidanud avaliku teabe seaduse (AvTS)
üldjuhendis AKI välja toodud põhjustele, miks ei tohiks register olla avatud otsingumootoritele.
Selgitame siinkohal, et AKI ei ole selles osas oma seisukohta muutnud. Samas juhime tähelepanu
sellele, et dokumendiregistri pidamise kohustus ja sellega seotud nõudeid peavad järgima
teabevaldajad, kelle üle AKI-l on pädevus teostada järelevalvet. Kuna kõnealuse veebilehe pidaja
puhul on tegemist füüsilise isikuga, kes ei ole AvTS-i mõistes teabevaldaja, siis puudub AKI-l
tema üle järelevalvepädevus ning AKI ei saa teha talle dokumendiregistri pidamise osas
ettekirjutust AvTS-i alusel.
Küll aga on veebilehe pidaja füüsilise isikuna oma loodud lehe ja seal sisalduva teabe osas
vastutavaks töötlejaks. Seega isikuandmete avalikustamise osas saab AKI teha järelevalvet ka
kõnealuse andmetöötleja üle. Märgime, et praegu järelevalvemenetlust kõnealuse veebilehega
seoses ei ole, seetõttu anname üldisi selgitusi. Varasemalt on AKI kõnealuse veebilehe pidajale
selgitanud AvTS-is sätestatud avaliku teabe taaskasutamise ja isikuandmete kaitse üldmäärusest
tulenevaid isikuandmete töötlemisega seotud nõudeid ning AKI eeldab, et veebilehe pidaja
juhindub oma tegevuses avaliku teabe ja andmekaitse nõuetest.
Veebilehte, kuhu on kokku kogutud erinevate asutuste avalike dokumendiregistrite sisu, saab
AvTS-i alusel käsitleda avaliku teabe taaskasutamisena. AvTS § 31 lõige 1 ütleb, et teabe
taaskasutamine on füüsilise või juriidilise isiku poolt sellise avaliku teabe kasutamine, mille üldist
kasutamist ei ole seadusega või seadusega kehtestatud korras piiratud (avaandmed), ärilisel või
mitteärilisel eesmärgil, mis ei lange kokku algse eesmärgiga, mille jaoks see teave avalikke
ülesandeid täites saadi või loodi. Nii võib olla võimalik, et juurdepääsupiiranguteta riigiasutuse
dokumendiregistris olevat teavet kasutatakse uuel eesmärgil.
Küll aga peab sellisel juhul järgima teatud nõudeid. Eelkõige osas, mis puudutab isikuandmete
avaldamist ja eraelu puutumatuse kaitset. Lubatav ei ole uuel eesmärgil kasutada
juurdepääsupiiranguga teavet (selline teave ei peaks eelduslikult ka avalikult kättesaadav olema).
2 (2)
Kui taasavalikustatakse inimese kui füüsilise isiku isikuandmeid, siis selliseks tegevuseks peab
olema õiguslik alus. Kui isikuandmete avalikustamiseks õiguslikku alust ei ole, ei tohi seda teha
ja kui seda juba on tehtud, tuleb selline tegevus lõpetada. Olete pöördumises küsinud, kas
õigustatud huvi on kõnealusel veebilehel isikuandmete töötlemisel piisavaks aluseks. AKI ei
välista, et õigustatud huvi võib olla kõnealusel veebilehel isikuandmete avaldamise aluseks. Kuid
sel juhul peab olema läbi viidud isikuandmete avaldamise sisuline hindamine, mille põhjal saab
otsustada, kas veebilehe pidaja ja kolmandate isikute huvid kaaluvad isikuandmete avalikustamisel
üles andmesubjektide õigused ja huvid või mitte.
Kui isikule saab teatavaks, et tema isikuandmeid on kõnealusel veebilehel avaldatud ja isikule ei
tundu see õiguspärane, on isikul õigus pöörduda selgituste saamiseks veebilehe pidaja poole.
Andmetöötleja, antud juhul veebilehe pidajal, on kohustus selgitada isikule kuu aja jooksul,
millisel õiguslikul alusel ja eesmärgil ta isikuandmeid töötleb. Ühtlasi on isikul õigus nõuda oma
isikuandmete kustutamist. Kui andmetöötleja isikule kuu aja jooksul ei vasta või saadud vastus ei
ole piisav, on isikul õigus esitada AKI-le kaebus.
Tulenevalt AvTS §-st 43 on iga teabevaldaja kohustatud rakendama organisatsioonilisi, füüsilisi ja
infotehnoloogilisi vahendeid asutusesiseseks tunnistatud teabe kaitsmiseks. Samuti on asutusel
kohustus kehtestada dokumentidele piirangud, kui dokumendid sisaldavad piiranguga teavet.
Seega on teabevaldaja kohustus tagada, et piiranguga teave ei saaks avalikuks.
Kui dokumendiregistrit pidava asutuse eksimuse tõttu on saanud mõni dokument avalikuks, siis
vea avastamisel või sellest teada saamisel, tuleb asutusel dokumendile juurdepääs sulgeda. Kui
asutusele on teada, et keegi teine on asutuse dokumendiregistris ekslikult avalikustatud dokumenti
kusagil mujal (nt kõnealune veebileht) avalikustanud, siis peaks asutus (kuna teave sai avalikuks
asutuse eksimuse tõttu) peale dokumendile piirangu kehtestamisest, võimalusel teavitama ka teist
asutust või isikut vajadusest andmete avalikustamine lõpetada, kes on sama teabe avalikustanud,
et rikkumine võimalikult kiirelt lõpetada. Kui teine asutus, antud juhul kõnealuse veebilehe pidaja,
ei sulge peale teavitust ekslikult avalikus saanud isikuandmete juurdepääsu, siis vastutab
avalikustaja isikuandmete töötlemise nõuete täitmise eest. Asutust, kes algselt teabe (ekslikult)
avalikuks tegi, ei saa vastutusele võtta teise isiku poolt dokumentide ja seal sisalduvate
isikuandmete jätkuva avalikustamise eest, kuna asutusel puudub võimalus sealt piiranguga teabe
eemaldamiseks. Küll aga vastutab asutus enda poolt piirangu kehtestamata jätmise ja dokumentide
ebaseadusliku avalikustamise eest oma dokumendiregistri kaudu.
Loodetavasti saime Teile selgitustega abiks olla.
Lugupidamisega
Karin Uuselu
jurist
peadirektori volitusel
Tere!
Leidsime 06.01.2026, et RMK avalikus dokumendiregistris avaldatud dokumendid on
kopeeritud ja avaldatud veebilehel https://dokumendiregistrid.karlerss.com/arhiiv/rmk.
Mõistame, et tegemist on avaliku teabe taaskasutamisega, kuid näeme mitut võimalikku
probleemi isikuandmete kaitse ja privaatsuse vaates ning soovime AKI seisukohta, kas selline
töötlemine on teie hinnangul kooskõlas IKÜM-iga?
Veebilehe (Projektist - dokumendiregistrid.karlerss.com) kirjelduses ja isikuandmete
töötlemise põhimõtetes on välja toodud, et portaal:
• kopeerib riiklikest dokumendiregistritest dokumente;
• salvestab dokumentide sisud andmebaasi;
• teeb need ületekstiotsinguga otsitavaks;
• teeb sisu otsingumootoritele nähtavaks ja dokumentide vaatamise võimalikuks
otse brauseris.
Meie hinnangul tõstatab see vähemalt järgmised küsimused:
1. Veebilehe autor peab eesmärgiks dokumendiregistrite sisu otsingumootorites
leitavaks tegemist, kuid AvTS üldjuhendis (§ 20) on välja toonud põhjused, miks ei
tohiks register olla avatud otsingumootoritele. Samal põhjusel avalikud asutused
andmeid otsingumootoritele leitavaks teinud ka ei ole (suurem risk, et saab
isikuandmeid kombineerida, isikut seeläbi profileerida). Praeguses olukorras, kus
suur hulk füüsilisi isikuid langeb kõiksugu pettuste ohvriks, on risk suur ja teema
murettekitav.
2. Isik, kes suhtleb RMK-ga näiteks kirja teel (sh mitte ainult füüsilise isiku vaid ka mõne
ettevõtte/asutuse esindajana), võib mõistlikult eeldada, et kirjavahetus
registreeritakse ja see võib olla teatud juhtudel avalikus dokumendiregistris nähtav.
Samas ei pruugi olla mõistlikult eeldatav, et sama teave muutub täistekstina
otsitavaks ja leitavaks näiteks Google’i kaudu ning koondub eraldi andmebaasi.
Tooksime välja ka selle, et füüsiliste isikute andmete avalikus registris peitmise nõue
on tulnud hiljem, kui dokumentidele elektroonilise juurdepääsu võimaldamise nõue,
seega võib leiduda vanu dokumente, kus ei pruugi olla isikuandmed korrektselt
kaitstud.
3. Lehel on välja toodud, et isikuandmeid sisaldavaid dokumente hoitakse kuni 75
aastat. Meie hinnangul peaks andmete säilitamine lähtuma dokumentide
säilitustähtaegadest ja minimaalsuse põhimõttest ning eesmärgipõhisusest. Lisaks
isikuandmetele võib dokumentides leiduda ka muud tundlikku või piiratud
juurdepääsuga infot, mille pikaajaline säilitamine ja indekseerimine ei pruugi olla
vajalik ega proportsionaalne.
4. Andmete kvaliteediga seotud probleemid ja andmete ajakohasena hoidmise küsimus.
Kui algset dokumenti või selle metaandmeid dokumendihaldussüsteemis
uuendatakse, võib tekkida olukord, kus “paralleelselt peetavas” registris jääb
kättesaadavaks vana või ebaõige versioon. Samuti võib aeg-ajalt võib esineda
juhtumeid, kus isikuandmete varjamine ei ole olnud korrektselt teostatud, mistõttu
info dubleerimine ja indekseerimine võimendab vigase või mitte ajakohase info
avaldamisega seotud riski.
5. Samuti isikuandmete kustutamise- ja piiramisõiguste küsimus. Veebilehel on
märgitud, et kustutamispäringute lahendamisel võetakse muuhulgas arvesse
dokumendi loomise kuupäeva ja avaliku huvi suurust dokumendi säilitamise vastu.
Meie hinnangul vajab see selgemat lahendust, eriti olukordades, kus isikuandmed on
avaldatud ekslikult või kui dokument oleks pidanud olema eemaldatud näiteks
põhjusel, et säilitustähtaeg on möödunud.
Palume AKI seisukohta:
• Kas kirjeldatud töötlemine, dokumentide sisu kopeerimine, salvestamine,
täistekstindekseerimine ja otsingumootoritele nähtavaks tegemine on teie hinnangul
kooskõlas IKÜM-i nõuetega olukorras, kus vastutav töötleja ei ole andmete
edastamist selgesõnaliselt lubanud?
• Kas õigustatud huvi on sellise töötlemise puhul piisav õiguslik alus? Kas antud
projekti raames on läbi viidud õigustatud huvi analüüs ning andmekaitsealane
mõjuhinnang ja leitud, et andmetöötluseks on piisav õigustatud huvi olemas ning
andmed on piisaval määral kaitstud?
• Kuidas hinnata sellise töötlemise kooskõla andmete kvaliteedi, minimaalsuse ja
ajakohasuse põhimõttega ning kellel lasub vastutus paranduste või muude
sünkroniseerimisel tekkinud vigade eest? Näiteks kui RMK uuendab/parandab mõne
dokumendi andmeid või hävitab säilitustähtaja ületanud dokumente, siis kuidas
tagada, et teises andmebaasis see samuti toimub? Kes vastutab sünkroniseerimisel
tekkinud vigade või parandamata andmete eest?
Meie eesmärk on saada AKI-lt hinnang ja juhis, kuidas sellises olukorras saaksime ja
peaksime arvestama isikuandmete kaitse nõuetega, kui sisuliselt ei ole kõik andmed enam
meie valduses.