| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/24/1210-3 |
| Registreeritud | 11.06.2024 |
| Sünkroonitud | 12.06.2024 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kirsika Lääts (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim III) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp juhatuse liikmed
Nexa Intelligence OÜ
Meie 11.06.2024 nr 2.2-10/24/1210-3
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja, milles kohaselt puuduvad Nexa Intelligence OÜ
hallataval veebilehel eestiettevõtted.ee andmekaitsetingimused. Märgukirjast ajendatuna
kontrollis inspektsioon veebilehte https://xn--eestiettevtted-ppb.ee/et/ ja juhib Teie tähelepanu
alljärgnevale.
1. Isikuandmete töötlemise alused
Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 ehk isikuandmete kaitse üldmääruse
(IKÜM) art 4 punkti 1 kohaselt on isikuandmeteks igasugune teave tuvastatud või tuvastatava
füüsilise isiku kohta. Tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada,
eelkõige sellise tunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle
füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku,
kultuurilise või sotsiaalse tunnuse põhjal.
Juriidilise isiku andmetele andmekaitsenõuded ei kohaldu. Küll aga on näiteks juhatuse liikme
nimi, isikukood, sünniaeg jms isikuandmed, millele isikuandmete kaitse nõuded kohalduvad.
Isikuandmete töötlemine on IKÜM art 4 punkti 2 järgi isikuandmete või nende kogumitega tehtav
automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine,
dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine,
avalikustamine, kustutamine jne.
Isikuandmete töötlemisel tuleb järgida IKÜM artiklis 5 toodud üldpõhimõtteid. See tähendab, et
isikuandmete töötlemine peab olema mh seaduslik, õiglane ja andmesubjektile läbipaistev.
Seaduslik on tavaliste isikuandmete töötlemine juhul, kui selleks on IKÜM art 6 lõikest 1 tulenev
õiguslik alus.1
Nexa Intelligence OÜ kui isikuandmete vastutav töötleja on kohustatud järgima IKÜM art 5 lõikes
1 sätestatud põhimõtteid. Nende põhimõtete täitmise eest vastutab ja peab olema võimeline nende
täitmist tõendama vastutav töötleja ise.2 See tähendab, et Nexa Intelligence OÜ-l lasub
isikuandmete töötlemisel kohustus tõendada, et andmeid kogutakse täpselt ja selgelt
kindlaksmääratud ning õiguspärastel eesmärkidel ning neid töödeldakse seaduslikult, õiglaselt ja
andmesubjektile läbipaistvalt. Selles osas, mille andmetöötlus ei vasta täielikult IKÜM art 5 lõikes
1 sätestatud põhimõtetele, on andmetöötlus keelatud.
1 Eriliiki isikuandmete korral tuleneb õiguslik alus IKÜM artiklist 9. 2 IKÜM art 5 lõige 2.
2 (3)
Alates 01.10.2022 laienes avalikustatud andmete hulk äriregistris ning inimesed saavad samu
andmeid näha ettevõtete kohta tasu maksmata. Äriregister on riiklik register ning andmete
avalikustamine toimub seaduse alusel ehk isikuandmete avalikustamiseks on loodud
eriregulatsioon. Äriühingu ärinime ja juhatuse liikme andmete esitamine on äriregistri avalike
andmete taasesitamine.
Isikuandmete (taas)avaldaja ei saa tugineda esialgse andmetöötleja poolt avaldamise õiguslikule
alusele, vaid iga (taas)avaldaja peab tuginema konkreetses olukorras sobivale seaduslikule
õiguslikule alusele.
2. Andmekaitsetingimused
Läbipaistvuse põhimõte eeldab, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt
kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud.3 Läbipaistvuse põhimõtet aitab
tagada eelkõige andmekaitsetingimuste olemasolu. Iga vastutav töötleja peab ise koostama enda
äritegevusest lähtuvalt andmekaitsetingimused ning kontrollima nende vastavust IKÜM-i
nõuetele, eelkõige artiklid 12-14.
Andmekaitsetingimused tuleb koostada vastavalt tegelikule andmetöötlusele. Tingimused ei saa
piirduda näidetega, vaid loetelu peab olema lõplik. Kui andmetöötluse sisu või eesmärgid aja
jooksul muutuvad, siis tuleb andmekaitsetingimusi vastavalt sellele ka ajakohastada.
Andmekaitsetingimused aitavad inimesel omada ülevaadet, mida tema andmetega tehakse ja
andmetöötleja saab paremini kontrollida andmetöötluse protsesse. Andmekaitsetingimuste
koostamine võimaldab ühte dokumenti koondada vastused, mida inimesel kui andmesubjektil on
õigus küsida oma isikuandmete töötlemise kohta. Ühtlasi hõlbustab andmekaitsetingimuste
koostamine andmetöötleja enda jaoks õigusliku aluse leidmist ja töötlemise vajaduse hindamist,
kuivõrd tingimuste koostamine eeldab töötlemistoimingute läbi mõtlemist ning üleüldise
töötlemise vajaduse hindamist.4
Teie veebilehel andmekaitsetingimused puuduvad ning seega palume need avaldada.
3. Küpsised
Tuvastasime, et nimetatud veebilehel kasutatakse lisaks veebilehe toimimiseks vältimatult
vajalikele küpsistele ka täiendavaid küpsiseid. Hädavajalikud küpsised on näiteks kasutaja
sessiooni- või keele-eelistuse küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad
veebilehe põhifunktsioone. Täiendavad küpsised on analüütilised küpsised, reklaamküpsised või
autentimise küpsised, mis võimaldavad inimest kas otseselt või kaudselt tuvastada – seda tüüpi
küpsiste paigaldamiseks peab olema kasutaja eelnev vabatahtlik nõusolek.
Selline nõue tuleb direktiivi 2002/58/EÜ (e-privaatsusdirektiiv) art 5 lõikest 3, mida täpsustab art
2 punkt f. Euroopa Kohus on lahendis C673/17 sedastanud, et küpsiste kasutamise nõusolek peab
vastama IKÜM art 4 punkti 11 ja artikli 7 tingimustele. Nõusolek peab olema antud kõiki
asjaolusid teades, mh peab veebilehe külastajal teada olema küpsiste kasutamise kestus kui ka
asjaolu, kas kolmandatel isikutel on võimalus neile juurde pääseda. Selline info tuleks esitada
veebilehe andmekaitsetingimustes. Ühtlasi peab olema võimalik antud nõusolekut tagasi võtta
sama lihtsal viisil, kui toimus selle andmine veebilehel.
Teie veebilehel https://xn--eestiettevtted-ppb.ee/et/ kasutatakse veebilehe toimimiseks vältimatult
vajalike küpsistele lisaks ka küpsiseid, mis eeldavad veebilehe külastaja vabatahtlikku nõusolekut
– analüütilised küpsised (_ga). Veebilehe inspekteerimisel selgus, et puudub teavitus küpsiste
3 IKÜM art 12 lõige 1, põhjenduspunkt 39. 4 Vt täpsemalt https://www.aki.ee/isikuandmed/andmetootlejale/andmekaitsetingimuste-koostamisest ja AKI juhend
Isikuandmete töötleja üldjuhend.
3 (3)
kasutamise kohta ning külastajatelt ei küsita aktiivset nõusolekut täiendavate küpsiste kasutamise
osas. Lisaks nagu eelnevalt viitasime on andmetöötlejal kohustus esitada inimesele isikuandmete
töötlemise kohta teavet, sh küpsiste osas. Teie lehelt ei leidnud teavet isikuandmete töötlemise
kohta, sh küpsiste osas.
Palume Teil üle vaadata, kas isikuandmete töötlemise protsessid vastavad isikuandmete kaitse
üldmääruse ja e-privaatsusdirektiivi nõuetele, sh avaldada oma veebilehel andmekaitsetingimused
ja vaadata üle küpsiste kasutamine. Kuigi AKI käesolevale tähelepanu juhtimisele vastust ei oota,
võib AKI igal ajal ette teatamata kontrollida veebilehte uuesti ja otsustada seejärel täiendava
sekkumisvajaduse üle.
Lugupidamisega
Kirsika Lääts
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|