| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/1919-2 |
| Registreeritud | 27.08.2024 |
| Sünkroonitud | 28.08.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Katriito OÜ |
| Saabumis/saatmisviis | Katriito OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Anna Helena Ursula Malkovskaja
OÜ Katriito
Teie 25.07.2024 nr Meie 27.08.2024 nr 2.2-9/24/1919-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles kirjutate:
Kui psühholoogilist nõustamist pakkuv ettevõte implementeerib triaazi süsteemi (vastuvõtule
registreeritud klient täidab kirjalikult lühiküsimustiku, mis aitab hinnata kliendi seisundit ja
toimetulekut), siis kas ja kuidas lasub ettevõttel kohustus neid triaaziküsimustikke säilitada?
Kuna Te ei ole selgitanud, kas Te olete pöördunud oma andmekaitsespetsialisti poole, siis esmalt
märgime, et ettevõte saab/peab saama ettevõttes andmetöötlusega seotud küsimustes pöörduda
vajadusel oma andmekaitsespetsialisti poole. Äriregistri andmetel on viidatud ettevõtte
andmekaitsespetsialistiks määratud Andmekaitse Ekspert OÜ ([email protected]).
Ettevõtte andmekaitsespetsialist teab kõige paremini, milliseid andmeid, millisel alusel ning
kuidas ettevõttes töödeldakse, sh millised on töödeldavate andmete säilitamise tähtaeg.
Andmekaitsespetsialistidest, sh millised kompetentsid peavad andmekaitsespetsialistil olema,
leiab inspektsiooni veebilehelt siit: Andmekaitsespetsialist | Andmekaitse Inspektsioon (aki.ee).
Järgnevalt peame vajalikuks selgitada teadmiseks isikuandmete töötlemise põhimõtteid üldiselt.
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses.
Teadmata kõiki asjaolusid, sh miks on vajalik edastada klienti teavitamata tema andmed koos
isikuandmetega kolmandatele isikutele, siis saame selgitada isikuandmete kaitse üldmääruse
(IKÜM) art 5 lg 1 p a sätestab, et isikuandmete töötlemine peab olema seaduslik ja
andmesubjektile läbipaistev; samuti tohib isikuandmeid töödelda (sh koguda, edastada jne) üksnes
kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb eesmärgi seisukohalt
võimalikult vähe andmeid (art 5 lg 1 p c). Isikuandmete töötlemise õiguslike aluste loetelu on
sätestatud IKÜM artiklis 6 (lg 1 p a ehk nõusolek on üks võimalikest õiguslikest alustest). Seda,
millisel õiguslikul alusel ja eesmärgil andmetöötlust läbi viiakse (sh kui kaua viidatud
andmeid võib säilitada) peab IKÜM art 5 lg 2 kohaselt selgitama ja tõendama andmetöötleja
ehk Teie ise, mitte Andmekaitse Inspektsioon. Kui õiguslik alus selliste andmete töötlemiseks
puudub, siis andmeid töödelda (sh koguda, edastada vms) ei tohi.
Igal juhul tuleb ettevõttel mõelda andmetöötluse protsessid ning informeerida andmesubjekte enne
andmete töötlemist.
Oluline on, et enne andmete kogumist tuleb andmetöötlejal koostada andmekaitsetingimused või
viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel
eesmärgil ning õiguslikul alusel töödeldakse. Andmekaitsetingimused on kirjeldus, mis aitab
2 (3)
inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et
andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad
olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt võrgulehel).
Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui paljusid töötlustoiminguid ja milliseid inimeste gruppe see puudutab. Nt peaks
olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk on täidetud (kui osutub
vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne
põhjendatud aeg, millal andmed kustutatakse).
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima
kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata
isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,
õigustamata edastamised vms).
Andmetöötlejal on oluline teadvustada, et andmesubjektil on õigus teada, kuidas tema
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
haigekassa) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud ning ettevõttega seotud
isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjad kirja panna ning töötajale
tutvustada enne tema isikuandmete töötlemist (sh Teie poolt viidatud andmete kogumist). Soovi
korral võib andmesubjekt pöörduda selgituste saamiseks andmetöötleja poole selgituste saamiseks
(sh milliseid andmeid ning kui kaua säilitatakse jne) ning seejärel vajadusel Andmekaitse
Inspektsiooni poole.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma.
Lisaks andmekaitsespetsialistile, kui teil on vaja konkreetsemat õiguslikku seisukohta lähtuvalt
konkreetsetest asjaoludest ning töödeldavatest andmetest, siis soovitame pöörduda õigusnõustajate
3 (3)
(advokaadid, juristid jne) poole. Samuti leiab informatsiooni andmetöötleja vastutusest ning
kohustustest isikuandmete töötlemisel siit.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|