| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/26/1923-2 |
| Registreeritud | 22.06.2026 |
| Sünkroonitud | 23.06.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | A.K |
| Saabumis/saatmisviis | A.K |
| Vastutaja | Geili Keppi (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
1
Geili Keppi - AKI
Teema: RE: Päring AI-põhise videovalve teenuse andmekaitsenõuete kohta
From: Geili Keppi - AKI Sent: Monday, June 22, 2026 2:36 PM To: 'Andres Kõiv' <[email protected]> Subject: RE: Päring AI-põhise videovalve teenuse andmekaitsenõuete kohta Tere, Andres! Vabandust, et vastus on tavapärasest kauem aega võtnud. Saan välja tuua peamised andmekaitselised tähelepanekud ja piirid kirjeldatud kasutusjuhu (isikukaitsevahendite puudumise tuvastamine ehitusobjektil) kohta. Rõhutan siiski, et tegemist on üldiste suunistega ning konkreetse lahenduse õiguspärasus sõltub alati selle täpsest rakendamisest, sh tehnilisest toimimisest ja tegelikust kasutuspraktikast. Juhin tähelepanu, et inspektsioon on koostanud ka korduma kippuvate küsimuste rubriigi tehisaru ja selle kasutamise osas: Tehisintellekti määrus | Andmekaitse Inspektsioon. Seal on ka selgitatud, kuidas eristada algoritmi ja tehisintellekti, millist tüüpi tehisintellektile kehtib tehisintellekti määrus ja kuidas neid riskitasemete järgi kategoriseeritakse. Esmalt alustan sellest, et kirjeldatud teenusemudeli puhul tekib üldjuhul andmekaitse mõttes vastutava ja volitatud töötleja suhe. Praktikas tähendab see, et ehitusobjekti haldaja/ tööandja, kes otsustab videovalve ja analüütika kasutuse üle ning määrab selle eesmärgid, on vastutav töötleja isikuandmete kaitse üldmääruse mõttes. Teenusepakkuja ehk nt Forus Security AS, kes pakub tehnilist lahendust ja töötleb andmeid kliendi juhiste alusel, on aga volitatud töötleja. Sellisel juhul tuleb poolte vahel sõlmida isikuandmete töötlemise leping. Soovitan selle kohta lugeda ka inspektsiooni veebist: Vastutav ja volitatud töötleja | Andmekaitse Inspektsioon. Kuidas eristada tehisintellekti määruse alusel pakkujaid, importijaid ning juurutajaid oleme selgitanud siin: Tehisintellekti määrus | Andmekaitse Inspektsioon. Selline eristamine on oluline, kuna määrab poolte rollid ja vastutuse andmetöötluses. Vastutav töötleja vastutab selle eest, et isikuandmete töötlemine oleks õiguspärane, eesmärgipärane ja kooskõlas isikuandmete kaitse üldmääruse nõuetega, sh olemas oleks õiguslik alus, töötlemine põhjendatud ning inimesi on teavitatud. Volitatud töötleja võib seevastu isikuandmeid töödelda üksnes vastutava töötleja juhiste alusel ning ei tohi neid kasutada oma eesmärkidel. Ulatuses, milles volitatud töötleja töötleb andmeid enda eesmärkidel, käsitatakse teda vastutava töötlejana. Tulenevalt sellest, et pakuksite ilmselt lahendust erinevatele klientidele, võib vastutavate töötlejate tegevus, kontekst ja riskitase olla väga erinev. Seetõttu on ka keeruline anda ühte universaalset ja kõigile juhtumitele sobiv hinnangut või soovitust. Iga konkreetse kliendi puhul tuleb andmetöötluse õiguspärasust hinnata eraldi, arvestades selle konkreetset eesmärki, kasutuskeskkonda ja mõju inimestele. Kui videopildi kaudu on võimalik isikut otseselt või ka kaudselt tuvastada (nt riietus, töökoht, kontekst), on tegemist isikuandmete töötlemisega ning kohaldub isikuandmete kaitse üldmäärus. See kehtib ka juhul, kui süsteem ei tuvasta isikut nime alusel, kuid töötleb isikuga seostatavat infot (nt et isikul x puudub kiiver). Asjaolu, et süsteem on sündmuspõhine ning ei tuvasta isikuid nime või muu otsese identifikaatori alusel, võib küll vähendada riski, kuid ei välista isikuandmete töötlemist.
2
Andmekaitse vaatest on määrav, kas isik on otseselt või kaudselt tuvastatav ning milliseid järeldusi süsteem isiku kohta võimaldab teha. Üldjuhul tuginetakse kaamerate kasutamisel õigustatud huvi õiguslikule alusele, eelkõige kui eesmärk on ohutuse tagamine, tegemist on selgelt piiritletud riskialaga ja jälgimine on suunatud konkreetsele ohule, mitte üldisele töötajate jälgimisele. Õigustatud huvile tuginedes peab vastutav töötleja läbi viima õigustatud huvi analüüsi. Töösuhete kontekstis tuleb alati arvestada, et töötajate jälgimine on eriti tundlik ning ei tohi minna ülemääraseks. Soovitan kindlasti lugeda õigustatud huvi kohta siit: Õigustatud huvi | Andmekaitse Inspektsioon ja lisaks on töösuhetes isikuandmete töötlemise (sh kaamerad) kohta materjali leitav: Isikuandmete töötlemine töösuhtes | Andmekaitse Inspektsioon ja Töösuhted | Andmekaitse Inspektsioon. Arvestades kirjeldatud lahenduse olemust, on tõenäoline et enne lahenduse rakendamist tuleb koostada vastutaval andmetöötlejal andmekaitsealane mõjuhinnang (kui toimub isikuandmete töötlemine). Mõjuhinnang aitab hinnata isikute õigustele ja vabadustele tekkivaid riske ning määrata vajalikud kaitsemeetmed. Mõjuhinnangu kohta on võimalik täpsemalt lugeda siit: 5. peatükk. Andmekaitsealane mõjuhinnang | Andmekaitse Inspektsioon ja Mõjuhinnang | Andmekaitse Inspektsioon. Samuti tuleb tagada, et andmete töötlemine oleks eesmärgipärane ja minimaalsuse põhimõttest lähtuv. See tähendab, et kaamerad ja analüütika peavad olema suunatud üksnes konkreetsete ohukohtade ja olukordade tuvastamisele. Lahendust ei tohi kasutada laiemalt kui vajalik, näiteks üldiseks tööaja arvestuseks või töötajate pidevaks jälgimiseks. Isikute teavitamine videovalvest ja videoanalüütika kasutamisest peab olema selge ja arusaadav. Objektil peab olema nähtav teavitussilt, millest nähtub vähemalt töötlemise eesmärk, vastutav töötleja ja viide täiendavale teabele. Lisaks peab töötajatele olema kättesaadavad täpsemad andmekaitsetingimused. Lisainfot saab lugeda siit: Andmekaitsetingimuste koostamine | Andmekaitse Inspektsioon. Lisaks on inspektsioon kaamerate puhul loonud ka eraldi videovalvesildi genereerija, mida saab võtta aluseks sildi koostamisel: Videovalve sildi genereerija. Salvestiste säilitamise osas tuleb määrata selge ja põhjendatud säilitustähtaeg. Üldjuhul eeldatakse videovalve puhul lühikest säilitamistähtaega (kuni 72 tundi) ning pikema säilitamise vajadus peab olema eraldi põhjendatud. Samuti tuleb tagada, et ligipääs salvestistele on piiratud ainult neile kellel seda päriselt vaja, ligipääsud on logitud ning andmete edastamine (nt teenusepakkuja ja kliendi vahel) toimub turvaliselt. Soovitan tutvuda ka Videovalve korraldajale | Andmekaitse Inspektsioon. Loodan, et vastusest on abi. Parimate soovidega Geili Keppi jurist [email protected] 627 4141 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti
3
LinkedIn | YouTube
From: Andres Kõiv <[email protected]> Sent: Friday, June 5, 2026 10:06 AM To: Geili Keppi - AKI <[email protected]> Subject: FW: Päring AI-põhise videovalve teenuse andmekaitsenõuete kohta
Tere, Geili Soovin uurida, kas olete jõudnud minu 25.05 saadetud täpsustust vaadata. Kui sellise piiritletud kasutusjuhi põhjal on võimalik anda esmaseid kirjalikke suuniseid, oleksime nende eest väga tänulikud. Tervitades, Andres Kõiv Tootearenduse spetsialist M: +372 5029439 E: [email protected] Forus Security AS Kadaka tee 63, 12915 Tallinn W: www.forus.ee
KONFIDENTSIAALSUSHOIATUS
Selles e-kirjas sisalduv teave (kaasa arvatud manused) on mõeldud teadmiseks ja kasutamiseks ainult e-kirja adressaatidele. E-kirjas sisalduvat teavet ei tohi ilma saatja selgelt väljendatud loata edasi saata ega mistahes viisil kõrvalistele isikutele avaldada. Juhul, kui Te olete saanud käesoleva e- kirja eksituse tõttu, teavitage sellest koheselt saatjat ning kustutage e-kiri oma arvutist.
From: Andres Kõiv Sent: Monday, May 25, 2026 12:55 PM
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada.
4
To: 'Geili Keppi - AKI' <[email protected]> Subject: RE: Päring AI-põhise videovalve teenuse andmekaitsenõuete kohta Tere, Geili Täname vastuse eest. Kohtumise mõte sobib meile vajadusel hästi, kuid täpsustaksime esmalt varasemas pöördumises esitatud üldisemat teenusekirjeldust ühe konkreetse kasutusjuhi kaudu. See võiks aidata teemat kitsamalt hinnata ning loodetavasti võimaldada anda esmased suunised ka kirjalikult. Soovime hinnata AI-põhist videoteavituslahendust ehitusobjektil, mille eesmärk on tuvastada isikukaitsevahendite kasutamisega seotud ohutusnõuete võimalikke rikkumisi. Lahenduse üldine loogika oleks järgmine. Ehitusobjektil kasutatakse kaameraid kindlalt piiritletud ja tööohutuse seisukohalt põhjendatud alade jälgimiseks. Kaamerapilti analüüsitakse eesmärgiga tuvastada, kas jälgitaval alal viibival isikul puudub nõutud isikukaitsevahend: kaitsekiiver, helkurvest või muu objektil nõutud kaitsevahend. Kui süsteem tuvastab võimaliku rikkumise, edastatakse selle kohta sündmuspõhine teavitus kliendi määratud vastutavale isikule või vajadusel Foruse juhtimiskeskusele. Teavituse eesmärk on võimaldada kliendil ohutusnõuete rikkumisele kiiremini reageerida ja vähendada tööõnnetuste riski. Lahenduse eesmärk on toetada ehitusobjekti tööohutuse tagamist, tuvastades olukordi, kus nõutud isikukaitsevahend võib puududa. Videoanalüütika kasutus on seotud konkreetse ohutuseesmärgiga ning teavitused tekivad üksnes eelnevalt määratletud sündmuse korral. Lahendus ei ole suunatud isikute tuvastamisele, vaid ohutusnõuete täitmisega seotud olukordade märkamisele ja kiiremale reageerimisele. Esimeses etapis käsitleksime lahendust piiratud ja selgelt määratletud kasutusjuhina:
kasutuskoht on ehitusobjekt jälgitavad alad on eelnevalt määratud ja põhjendatud eesmärk on kaitsekiivri, helkurvesti või muu nõutud isikukaitsevahendi puudumise
tuvastamine teavitus saadetakse ainult võimaliku rikkumise korral andmetöötlus on piiratud konkreetse ohutuseesmärgiga ligipääsuõigused on piiratud sündmused ja ligipääsud logitakse objektil kasutatakse nähtavat teavitust videovalve ja videoanalüütika kasutamise kohta.
Eeltoodud kirjeldusega soovime täpsustada varasemas pöördumises esitatud üldisemat teenusekirjeldust ning keskenduda esmalt ühele konkreetsele kasutusjuhule: isikukaitsevahendite puudumise tuvastamine ehitusobjektil tööohutuse eesmärgil. Kui sellise piiritletud kasutusjuhi põhjal on võimalik anda esmaseid kirjalikke suuniseid, oleks sellest meile palju abi. Eelkõige soovime mõista, milliste peamiste andmekaitsealaste eelduste, piirangute ja dokumenteerimiskohustustega peaksime enne lahenduse piloteerimist arvestama. Kui Teie hinnangul eeldab ka sellise konkreetse kasutusjuhi hindamine siiski nõustamiskohtumist, oleme valmis seda eraldi kokku leppima.
5
Tervitades, Andres Kõiv Tootearenduse spetsialist M: +372 5029439 E: [email protected] Forus Security AS Kadaka tee 63, 12915 Tallinn W: www.forus.ee
KONFIDENTSIAALSUSHOIATUS
Selles e-kirjas sisalduv teave (kaasa arvatud manused) on mõeldud teadmiseks ja kasutamiseks ainult e-kirja adressaatidele. E-kirjas sisalduvat teavet ei tohi ilma saatja selgelt väljendatud loata edasi saata ega mistahes viisil kõrvalistele isikutele avaldada. Juhul, kui Te olete saanud käesoleva e- kirja eksituse tõttu, teavitage sellest koheselt saatjat ning kustutage e-kiri oma arvutist.
From: Geili Keppi - AKI <[email protected]> Sent: Friday, May 22, 2026 4:46 PM To: Andres Kõiv <[email protected]> Subject: RE: Päring AI-põhise videovalve teenuse andmekaitsenõuete kohta Tere, Andres! Mul on heameel, et soovite veenduda, kas lahendus on kooskõlas kehtivate nõuetega ning pöördusite küsimusega Andmekaitse Inspektsiooni poole. Isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Kui videovalve kaudu on võimalik isikuid tuvastada, tuleb järgida isikuandmete kaitse üldmääruse (IKÜM) nõudeid. See kehtib ka juhul, kui kaamerasüsteemile on lisatud tehisintellekti (AI) komponent. Lisaks sätestab Euroopa Liidu tehisintellekti määrus teatud AI-süsteemidele täiendavad nõuded, eelkõige läbipaistvuse, inimjärelevalve ja dokumenteerimise osas. Samas ei pruugi iga kaameralahendus automaatselt kvalifitseeruda tehisintellektiks. Selleks peab süsteem olema muu hulgas suuteline tegema järeldusi. Kui tegemist on üksnes reeglipõhise või lihtsa algoritmi alusel toimiva lahendusega, ei pruugi see kvalifitseeruda AI-süsteemina. Teie pöördumises kirjeldatud plaanitav teenus hõlmab mitmeid erinevaid kasutusjuhtumeid ning tekitab mitmeid täpsustamist vajavaid küsimusi.
6
Seetõttu leian, et kõige eesmärgipärasem oleks esialgu arutada teemat lähemalt nõustamise vormis. Oleme valmis korraldama kohtumise, kus teil on võimalik täpsemalt tutvustada kavandatavat teenust, selle tehnilist toimimist ning kasutusstsenaariume. See võimaldaks meil anda ka täpsemaid ja praktilisemaid suuniseid. Samas juhin kohe ka tähelepanu, et Andmekaitse Inspektsioon tegutseb järelevalveasutusena ning ei saa anda eelnevaid siduvaid kooskõlastusi ega heakskiitu konkreetsete lahenduste rakendamisele. Palun andke märku kuidas teile see mõte sobib. Parimate soovidega Geili Keppi jurist [email protected] 627 4141 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn | YouTube
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|