| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/679-2 |
| Registreeritud | 10.04.2024 |
| Sünkroonitud | 11.04.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Forales OÜ |
| Saabumis/saatmisviis | Forales OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39, 10134 Tallinn Telefon 627 4135
Registrikood 70004235 E-post [email protected] www.aki.ee
Lp Merily Rool
Forales OÜ
Teie 12.03.2024 nr Meie 10.04.2024 nr 2.2-9/24/679-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles kirjutate:
Soovin uurida raamatupidamise valdkonna kohta täpsemalt. Nimelt olukorras, kus
raamatupidaja ja kliendi vaheline lepinguline suhe lõpeb ning raamatupidaja soovib anda
kliendile üle nii andmed kui ka ligipääsud raamatupidamistarkvaras olevale informatsioonile,
kuid klient ei võta neid andmeid vastu, siis millised kohustused on raamatupidamisettevõttel
sellisel juhul? Jah, lepingus saab näha ette kohustuse kõik andmed vastu võtta, kuid kui
reaalsuses seda ei tehta, siis mis alusel on raamatupidajal kohustus või vastupidi, ei ole
kohustust, andmeid hoiustada? Millal tekib raamatupidajal õigus andmed kustutada?
Raamatupidamisseaduse kohaselt on juhatuse vastutus andmeid vallata, kuid näib liigselt jõuline
andmed kohe kustutada, kui neid vastu ei võeta. Samas on see konkreetne rahaline kulu, kui
andmeid säilitada, mistõttu tekib õigustatult küsimus, mis sammud on vajalik teha enne, kui tohib
andmed kustutada? Vajadusel saan selgitada näiteks telefoni teel olukorda lähemalt.
Selgitame, et Andmekaitse Inspektsioon teostab järelevalvet isikuandmete kaitse seaduses ja
selle alusel kehtestatud õigusaktides, Euroopa Parlamendi ja nõukogu määruses (EL) nr
2016/679 sätestatud nõuete ning muudes seadustes isikuandmete töötlemisele kehtestatud nõuete
täitmise üle (IKS § 56 lg 1). Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul –
juriidilisel isikul puudub eraelu ning seega ka isikuandmed seetõttu ei kohaldu ka
andmekaitsereeglid. Raamatupidamisdokumentide säilitamisega seonduvat reguleerib eelkõige
raamatupidamise seadus ning juhatuse vastutust raamatupidamise korraldamise eest reguleerib
äriseadustik.
Teadmata kõiki asjaolusid ning pöördumisest tulenevalt ei ole arusaadav, kas töödeldakse lisaks
juriidiliste isiku andmetele ka füüsilise isiku isikuandmeid, siis soovitame vaadata läbi, milline
on raamatupidaja ning kliendi vaheline leping (kus muuhulgas on paika pandud osapoolte
vastutused lähtudes asjakohastest seadustest) ning järgida seda.
Saame lisaks selgitada, et füüsiliste isikute isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a
sätestab, et isikuandmete töötlemine peab olema seaduslik ja andmesubjektile läbipaistev; samuti
tohib isikuandmeid koguda üksnes kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b)
ning koguda tuleb eesmärgi seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Seda, millisel
õiguslikul alusel ja eesmärgil andmetöötlust läbi viiakse, peab IKÜM art 5 lg 2 kohaselt
selgitama ja tõendama andmetöötleja ise. Kui õiguslik alus puudub, siis andmeid töödelda ei
tohi.
Vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1 sätestatud
2 (2)
põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende täitmist
tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava töötleja
kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas
kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või
kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Kokkuvõtvalt selgitame, et isikuandmete töötlemisel peab eelkõige jälgima kõige
tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata isikute
kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest, õigustamata
edastamised vms). Teadma peab, et vastutus võimalike andmekaitseliste rikkumiste puhul lasub
eelkõige vastutaval andmetöötlejal, mistõttu peabki tõlgendama osapoolte vahelist kokkulepet
ning järgima seda.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|