Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Lp Tele2 Eesti AS esindaja Teie 27.05.2026 Meie 11.06.2026 nr 2.2-9/26/2196-2

Vastus selgitustaotlusele

Andmekaitse Inspekstioon (AKI) on saanud Teie selgitustaotluse, milles palute seisukohta

olukorra kohta, kus mitte-finantssektori ettevõtja, kellele ei kohaldu krediidiandjate ja -

vahendajate seadus ega vastutustundliku laenamise põhimõte, kontrollib erakliendi

maksekäitumist kolmanda isiku andmebaasist, näiteks maksehäireregistrist, ning kasutab päringu

tulemust lepingu sõlmimise, soodustuse või muu lepingutingimuse pakkumise üle otsustamisel.

Samuti küsite, kas olukorras, kus ettevõtte süsteem teeb päringu tulemuse põhjal ilma töötaja

sisulise sekkumiseta kliendi suhtes keelduva otsuse, võib tegemist olla IKÜM artikli 22 kohase

automatiseeritud üksikotsusega ning millisele õiguslikule alusele võiks sellisel juhul tugineda (sh

kas nõusolek on kohustuslik või piisab privaatsuspoliitikast).

Eelkõige selgitan, et AKI saab selgitustaotlusele vastates anda üldiseid õigusselgitusi, siduva

seisukoha andmine konkreetse andmetöötluse osas on võimalik ainult järelevalvemenetluse

raames. Töötlemistoimingu õiguspärasuse eest vastutab vastutav töötleja, kes peab suutma

tõendada, millisel õiguslikul alusel, millisel eesmärgil ja milliste kaitsemeetmetega isikuandmeid

töödeldakse.

Riigikohus on 30. jaanuari 2026. a otsuses nr 3-23-1409 selgitanud, et IKS § 10 ei ole iseseisev

isikuandmete töötlemise õiguslik alus. Isikuandmete töötlemine peab alati tuginema IKÜM

artikli 6 lõikes 1 nimetatud õiguslikule alusele. Maksehäireandmete avaldamisel ja kasutamisel

võib asjakohane õiguslik alus olla eelkõige IKÜM art 6 lg 1 punkt f ehk õigustatud huvi, kuid

selle eeldused tuleb igal konkreetsel juhul eraldi hinnata.

IKS § 10 tuleb seega tõlgendada kooskõlas IKÜM-iga. IKS § 10 määratleb maksehäireandmete

töötlemise tingimused, andmete õigsuse kontrolli ja andmeedastuse registreerimise nõuded, kuid

see ei vabasta vastutavat töötlejat IKÜM-st tulenevast kohustusest hinnata töötlemise

seaduslikkust, vajalikkust ja proportsionaalsust. Seega ei anna IKS § 10 mitte-finantssektori

ettevõtjale üldist ja piiramatut õigust teha maksehäireregistri päringuid iga erakliendi kohta.

Päringu tegemiseks peab ettevõtjal olema IKÜM art 6 kohane õiguslik alus ning päring peab

olema konkreetse lepingu või pakutava tingimuse seisukohalt vajalik ja proportsionaalne.

Kui ettevõtjal ei ole seadusest tulenevat kohustust kliendi maksekäitumist kontrollida, tuleb tal

ise põhjendada, miks on maksehäireandmete kontroll konkreetses olukorras vajalik. Näiteks võib

kontroll olla põhjendatum siis, kui ettevõtja annab kliendile maksetähtaja, võimaldab tasumist

arve alusel, pakub järelmaksulaadset lahendust või võtab muul viisil enda kanda kliendi

makseriski. Kui klient tasub kauba või teenuse eest kohe ette ning ettevõtjal sisulist makseriski

ei teki, on maksehäireregistri päringu vajalikkus pigem küsitav.

2 (3)

Kui ettevõtja tugineb õigustatud huvile, tuleb teha IKÜM art 6 lg 1 punktist f tulenev õigustatud

huvi analüüs. Õigustatud huvile tuginemist tuleb eelnevalt tõsiselt kaaluda, sest see nõuab alati

põhjendamist ning vastutust. Mida selgem on põhjendus, seda läbipaistvam on

andmetöötlus. Õigustatud huvi analüüsist saab täpsemalt lugeda AKI juhendist.

Nõusoleku alusel andmete töötlemisel tuleb arvestada, et nõusolek peab IKÜM tähenduses olema

vabatahtlik, konkreetne, teadlik ja ühemõtteline. Kui kliendil ei ole tegelikku võimalust

nõusolekust keelduda ilma ebasoodsa tagajärjeta, võib nõusoleku vabatahtlikkus olla küsitav.

Seetõttu ei pruugi nõusolek olla makseriski kontrolli puhul kõige sobivam õiguslik alus.

Privaatsuspoliitika ehk andmekaitsetingimused ei ole iseseisev õiguslik alus isikuandmete

töötlemiseks. Privaatsuspoliitika kaudu täidetakse eelkõige läbipaistvuskohustust. See tähendab,

et ettevõtja peab lisaks töötlemise kirjeldamisele suutma põhjendada, millisel õiguslikul alusel

päring tehakse ja miks on see vajalik. Kliendile tuleb enne andmete töötlemist anda selge ja

arusaadav teave selle kohta, et tema andmeid kontrollitakse maksehäireregistrist või muust

krediidiinfoandmebaasist, mis eesmärgil seda tehakse, millisel õiguslikul alusel andmeid

töödeldakse ning millised võivad olla kontrolli tagajärjed.

Täiendavalt küsisite, kas olukorda, kus ettevõtte süsteem kontrollib taustal

krediidiinfoandmebaasist kliendi maksehäireid ja keeldub saadud „jah/ei“ vastuse põhjal

kliendile automaatselt soodustuse või lepingu pakkumisest, tuleb käsitada IKÜM artikli 22

kohase automaatse otsusena.

IKÜM artikkel 22 kohaldub juhul, kui otsus põhineb üksnes automatiseeritud töötlusel, sh

profiilianalüüsil, ning toob andmesubjektile kaasa õiguslikke tagajärgi või mõjutab teda muul

viisil märkimisväärselt. Riigikohus selgitas otsuses nr 3-23-1409, et otsust ja märkimisväärset

mõju tuleb tõlgendada laialt. Samuti märkis Riigikohus, et otsus maksehäire avaldada võib

sõltuvalt asjaoludest olla IKÜM art 22 tähenduses otsus, kui see põhineb üksnes automatiseeritud

töötlusel ja puudub inimese mõtestatud sekkumine.

Sama loogika on asjakohane ka olukorras, kus maksehäireandmeid kasutatakse ettevõtja otsuse

tegemisel. Kui ettevõtte süsteem teeb maksehäireregistrist saadud vastuse põhjal automaatselt

otsuse, et kliendile ei pakuta lepingut, soodustust, arvega tasumist või muud majanduslikult

olulist tingimust, ning töötaja sellesse otsustusprotsessi sisuliselt ei sekku, võib tegemist olla

IKÜM artikli 22 tähenduses automatiseeritud otsusega.

Kui aga maksehäireregistri päring on üksnes üks sisend töötaja tehtavas sisulises otsuses, kus

töötaja hindab asjaolusid laiemalt, saab arvesse võtta kliendi selgitusi ja vajadusel automaatsest

tulemusest kõrvale kalduda, ei pruugi tegemist olla üksnes automatiseeritud otsusega. Inimese

sekkumine peab olema tegelik ja mõtestatud.

Riigikohus märkis samas otsuses ka seda, et Eestis puudub asjakohane õiguslik alus, mis lubaks

maksehäireregistril teha üksnes automatiseeritud töötlusel põhineva otsuse IKÜM art 22 lg 1

mõttes. See puudutas küll maksehäireregistri enda tegevust, kuid on rakendatav ka laiemalt. Kui

automatiseeritud otsuse tegemiseks soovitakse tugineda IKÜM art 22 lg 2 punktile b, peab selline

otsus olema lubatud EL-i või liikmesriigi õigusega ning õigusaktis peavad olema sätestatud

asjakohased kaitsemeetmed. Üldine viide IKS §-le 10 ei ole piisav.

Kui tegemist on IKÜM artikli 22 kohase automatiseeritud otsusega, tuleb hinnata, kas esineb

mõni artikli 22 lõikes 2 nimetatud erand. Üheks võimalikuks erandiks on see, et otsus on vajalik

andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks. Seda alust tuleb

tõlgendada kitsalt. Automatiseeritud maksehäirekontrolli ei saa pidada lepingu sõlmimiseks või

täitmiseks vajalikuks pelgalt põhjusel, et see on ettevõtja jaoks mugav, vähendab äririski või

võimaldab protsessi automatiseerida.

3 (3)

Kui kliendil on võimalik sama teenust saada ka ilma maksehäirekontrollita, näiteks tasudes kohe

kogu summa või valides ettemaksuga lepingu, viitab see sellele, et maksehäirekontroll ei ole

teenuse osutamiseks kui selliseks vältimatult vajalik. Küll aga võib kontroll olla põhjendatud

konkreetse maksetingimuse pakkumiseks, näiteks juhul, kui klient soovib saada järelmaksu või

muud tingimust, millega ettevõtja võtab kliendi suhtes makseriski.

Kui ettevõtja kasutab automatiseeritud otsust artikli 22 lõike 2 alusel, tuleb rakendada ka artikli

22 lõikes 3 nimetatud kaitsemeetmeid. Andmesubjektil peab olema vähemalt võimalus taotleda

inimese sekkumist, väljendada oma seisukohta ja otsus vaidlustada. Samuti peab ettevõtja andma

andmesubjektile selget teavet automatiseeritud otsustamise olemasolu, selle loogika ning

võimalike tagajärgede kohta.

Loodame, et meie selgitustest on abi.

Lugupidamisega

Irina Meldjuk

jurist

peadirektori volitusel