| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/1768-2 |
| Registreeritud | 31.07.2024 |
| Sünkroonitud | 01.08.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Structo Industry OÜ |
| Saabumis/saatmisviis | Structo Industry OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Erik Jässi
Teie 05.07.2024 nr Meie 31.07.2024 nr 2.2-9/24/1768-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles kirjutate:
Oleme garderoobisüsteeme ja liuguksi tootev ettevõte ning oma tooteid müüme läbi edasimüüjate
üle Eesti. Mõningatel juhtudel pöörduvad erakliendid kodulehel avaldatud e-maili aadressi
kaudu otse meie poole, sooviga saada pakkumist toodetele. Üldjuhul on erakliendi poolt
saadetud meilis välja toodud nimi, kontakttelefon ja loomulikult meili aadress. Sellest lähtuvalt
minu küsimus – kas meil on õigus see päring saata edasi mõnele meie edasimüüjatest ilma, et me
sellest päringu saatnud eraklienti informeeriks? Või peab meil selleks olema erakliendi eelnev
nõusolek?
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses.
Teadmata kõiki asjaolusid, sh miks on vajalik edastada klienti teavitamata tema andmed koos
isikuandmetega kolmandatele isikutele, siis saame selgitada isikuandmete kaitse üldmääruse
(IKÜM) art 5 lg 1 p a sätestab, et isikuandmete töötlemine peab olema seaduslik ja
andmesubjektile läbipaistev; samuti tohib isikuandmeid töödelda (sh koguda, edastada jne) üksnes
kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb eesmärgi seisukohalt
võimalikult vähe andmeid (art 5 lg 1 p c). Isikuandmete töötlemise õiguslike aluste loetelu on
sätestatud IKÜM artiklis 6 (lg 1 p a ehk nõusolek on üks võimalikest õiguslikest alustest). Ehk
siis vastuseks Teie küsimusele, et seda, millisel õiguslikul alusel ja eesmärgil andmetöötlust
läbi viiakse (sh kas neid andmeid on õiguspärane edastada kolmandatele isikutele), peab
IKÜM art 5 lg 2 kohaselt selgitama ja tõendama andmetöötleja ehk Teie ise, mitte
Andmekaitse Inspektsioon. Kui õiguslik alus selliste andmete töötlemiseks puudub, siis andmeid
töödelda (sh koguda, edastada vms) ei tohi.
Igal juhul tuleb Teil läbi mõelda andmetöötluse protsessid ning informeerida andmesubjekte
enne andmete töötlemist.
Oluline on, et enne andmete kogumist tuleb andmetöötlejal koostada andmekaitsetingimused või
viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel
eesmärgil ning õiguslikul alusel töödeldakse. Andmekaitsetingimused on kirjeldus, mis aitab
inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et
andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad
olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt võrgulehel).
2 (3)
Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui paljusid töötlustoiminguid ja milliseid inimeste gruppe see puudutab. Nt peaks
olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub
vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne
põhjendatud aeg, millal andmed kustutatakse).
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima
kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata
isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,
õigustamata edastamised vms).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
maksu- ja tolliamet, haigekassa) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud ning
ettevõttega seotud isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjad kirja panna
ning töötajale tutvustada enne tema isikuandmete töötlemist. Soovi korral võib andmesubjekt
pöörduda selgituste saamiseks andmetöötleja poole ning seejärel vajadusel Andmekaitse
Inspektsiooni poole.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma.
Kui Teil on vaja konkreetsemat õiguslikku seisukohta lähtuvalt konkreetsetest asjaoludest ning
töödeldavatest andmetest, siis soovitame pöörduda õigusnõustajate (advokaadid, juristid jne)
poole. Samuti leiab informatsiooni andmetöötleja vastutusest ning kohustustest isikuandmete
töötlemisel siit.
Loodan, et minu selgitustest on abi.
3 (3)
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|