Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39, 10134 Tallinn Telefon 627 4135

Registrikood 70004235 E-post [email protected] www.aki.ee

Lp Evi Suurmets

ITÜ Rebella

[email protected]

Teie 04.04.2024 nr Meie 08.05.2024 nr 2.2-9/24/958-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon sai Teie pöördumise, milles kirjutate: Oleme automüügiga tegelev firma ITÜ Rebella (reg.nr. 10298733) Tartumaalt. Oleme leidnud endale uue partneri Itaalia autotootja Piaggio näol. Küsimus tekkis koostöölepingu sõlmimisel. Probleem on selles, et autotootja soovib meilt saada auto garantii kehtimiseks alljärgnevat infot: Isikuliselt (firmade puhul kontaktisikuliselt): Ees ja perekonnanimi, Sugu; Sünniaeg; Elukoht (tänav, linn, maakond, postiindeks); Telefon (tavaline ja mobiilne); E-posti aadress; Maksunumber (taxis number). Kui me neid andmeid ei esita, siis müüdud autole garantii justkui ei kehtivat. Nii nad meid ähvardavad. Kas meil on õigus selliseid andmeid tehasele esitada? Meil puudub igasugune kontroll selle üle, mis neist andmetest edasi saab. Nad küll lubavad kaitsta meie poolt esitatud andmeid, aga kontrollida me seda ei saa.

Selgitame, et Andmekaitse Inspektsioon teostab järelevalvet isikuandmete kaitse seaduses ja

selle alusel kehtestatud õigusaktides, Euroopa Parlamendi ja nõukogu määruses (EL) nr

2016/679 sätestatud nõuete ning muudes seadustes isikuandmete töötlemisele kehtestatud nõuete

täitmise üle (IKS § 56 lg 1). Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul –

juriidilisel isikul puudub eraelu ning seega ka isikuandmed seetõttu ei kohaldu ka

andmekaitsereeglid.

Mis puudutab füüsiliste isikute isikuandmete töötlemist, sh viidatud andmete kasutamist garantii

võimaldamise tarbeks, siis isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a sätestab, et

isikuandmete töötlemine peab olema seaduslik ja andmesubjektile läbipaistev; samuti tohib

isikuandmeid koguda üksnes kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning

koguda tuleb eesmärgi seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Seda, millisel

õiguslikul alusel ja eesmärgil andmetöötlust (sh andmete edastamine) läbi viiakse, peab

IKÜM art 5 lg 2 kohaselt selgitama ja tõendama andmetöötleja ehk Teie ise. Kui alust

sellisteks isikuandmete töötlemiseks ei ole, siis selliseid andmeid töödelda ei tohi.

Igal juhul tuleb Teil läbi mõelda, kas küsite siiski minimaalselt vajalikku andmekoosseisu

eesmärgi täitmiseks ja kas kliendid on sellisest andmetöötlusest enne teenuse kasutama asumist

informeeritud.

Oluline on, et enne andmete kogumist tuleb ettevõttel koostada andmekaitsetingimused või

viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel

eesmärgil ning õiguslikul alusel kogutakse. Andmekaitsetingimused on kirjeldus, mis aitab

inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et

andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad

olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt võrgulehel).

2 (2)

Ettevõte saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse

protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see

andmekaitsetingimustest.

Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline

on“ küsimusele.

1. Milline on andmete kogumise õiguslik alus?

2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides

kasutatakse?

3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on

vastutava, kaasvastutava või volitatud töötlejaga?

4. Milline on inimese võimalus saada teavet enda andmete kohta?

Olulised on ka vastused kolmele „kas“ küsimusele.

1. Kas toimub andmete automaattöötlus?

2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?

3. Kas on esitatud andmetöötleja enda kontaktandmed?

Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest

ning sellest, kui palju see haarab töötlustoiminguid ja milliseid inimeste gruppe. Nt peaks olema

andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub

vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne

põhjendatud aeg, millal andmed kustutatakse).

Kokkuvõtvalt, Te peate andmesubjekte teavitama andmete töötlemise tingimustest.

Isikuandmete kogumiseks peab olema õiguslik alus ning Teil peavad olema koostatud

andmekaitsetingimused, kus siis märgite ära, milliseid andmeid kogute, millisel eesmärgil, kaua

säilitate ning muu oluline informatsioon, lähtudes seejuures nii minimaalsuse kui

eesmärgipärasuse nõuetest.

Samuti peab andmetöötlejal olema selge, kellele ning millisel eesmärgil ning alusel isikuandmeid

edastatakse. Sellest, kellele (sh millisesse riiki) kogutud isikuandmeid edastatakse, oleneb ka see,

milliseid turvameetmeid kasutusele tuleb võtta. Kuna Itaalia asub Euroopa Liidus, siis kohaldub

ka sellele riigile sarnaselt Eestiga, isikuandmete kaitse üldmäärus, mistõttu on andmetöötluse

aluspõhimõtted määrusest tulenevalt samad.

Rohkem informatsiooni lähtuvalt oma andmetöötlusprotsessidest leiate Andmekaitse

Inspektsiooni veebilehelt. Teile on asjakohane isikuandmete töötleja üldjuhend, mis võtab kokku

kõige olulisema, mida isikuandmete töötleja peab teadma. Andmekaitsetingimuste koostamisest

leiab informatsiooni ka siit.

Kui Teil on vaja konkreetsemat õiguslikku seisukohta lähtuvalt konkreetsetest asjaoludest sh

millised peaksid olema lepingutingimused Itaalia automüüjaga, siis soovitame pöörduda

õigusnõustajate (advokaadid, juristid jne) poole. Samuti leiab informatsiooni andmetöötleja

vastutusest ning kohustustest siit.

Loodan, et minu selgitustest on abi.

Lugupidamisega

Liina Kroonberg

jurist-konsultant

peadirektori volitusel