| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/24/2473-2 |
| Registreeritud | 30.10.2024 |
| Sünkroonitud | 31.10.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tartu Linnaraamatukogu |
| Saabumis/saatmisviis | Tartu Linnaraamatukogu |
| Vastutaja | Jekaterina Aader (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim III) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Annika Hramov
Teie 28.09.2024 Meie 30.10.2024 nr 2.3-8/24/2473-2
Vastus nõudekirjale
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles küsite AKI seisukohta, kas
avalikus internetipunktis me peame nõudma isiku tuvastamist. Teil on raamatukogus avalik
internetipunkt ja praegu kaalute, kas arvutite haldussüsteem peaks sisaldama inimeste
registreerimisfunktsiooni nende tuvastamiseks. Seni pidi inimene, kes tahab Teie avalikku arvutit
kasutada, ennast tuvastama dokumendi alusel ja panema oma kasutuse paberile kirja. Nüüd aga
on tekkinud asutuses arvamusi, et Teil ei ole vaja neid ehk tuvastada.
Selgitame, et Euroopa Parlamendi ja Nõukogu määruse (EL) 2016/679 ehk isikuandmete kaitse
üldmääruse (edaspidi IKÜM) järgi on isikuandmete töötlejal on kohustus järgida IKÜM artiklis
5 sätestatud põhimõtteid, milleks muu hulgas on seaduslikkuse, eesmärgipärasuse ja
minimaalsuse põhimõtted. Nende kolme põhimõtte järgi peab isikuandmete töötlemiseks olema
alati seaduslik alus (IKÜM artiklis 6 sätestatud õiguslik alus, eriliigiliste isikuandmete puhul
lisaks artiklist 9 tulenev erand) ning töötlemine peab olema piiratud sellega, mis on vajalik nende
andmete töötlemise eesmärgi seisukohast. Seega ka seda, kas Teil on vajalik koguda isikute
andmeid arvuti kasutamisel peaksite hindama just Teie ise andmetöötlejana ning kui sellist
vajadust ei esine, siis ei tuleks seda ka teha. Samas on oluline, et olemas oleks ka õiguslik alus
nende andmete töötlemiseks, ka see alus peaks olema andmetöötlejal endal läbi mõeldud ja AKI
ei saa selles osas öelda ette, millisel alusel andmete töötlemine Teil hetkel toimub ja kas selleks
eesmärgiks on see vajalik. AKI-le hetkel teada olevalt ei tule raamatukogu internetipunktide
jaoks kohustust tuvastada tingimata isikusamasus, kuid see ei tähenda, et õiguslik alus andmete
küsimiseks ei pruugi olemas olla.
Näiteks tulenevalt rahvaraamatukogu seaduse (RaRS) § 15 lg-le 2 „Rahvaraamatukogu
põhiteenused on teavikute kohapeal kasutamine ja kojulaenutus ning avalikule teabele
üldkasutatava andmesidevõrgu kaudu juurdepääsu võimaldamine. Rahvaraamatukogu
põhiteenused on tasuta.“ Sama sätte esimese lõike kohaselt võib rahvaraamatukogu1 teenuseid
võib kasutada igaüks, välja arvatud käesoleva seaduse paragrahv 17 lõikes 3 nimetatud juhul.
Viimati nimetatud juhud on eriteenused (kopeerimine, andmebaaside kasutamine, tõlked ja muu),
mis võivad olla ka tasulised. Lisaks on RaRS §-s 21 täpsustatud: „Avaliku teabe seaduse alusel
üldkasutatava andmesidevõrgu kaudu avalikustatud teabega tutvumiseks võimaldatakse teabe
taotlejal kasutada arvutit. Kui üldkasutatava andmesidevõrgu kaudu avalikustatud teabele soovib
juurdepääsu rohkem isikuid, kui raamatukogu jõuab teenindada, on raamatukogu kohustatud
korraldama soovijate eelregistreerimise. Raamatukogu töötaja on kohustatud isikuid abistama
riigi- ja kohaliku omavalitsuse asutuste veebilehtedele juurdepääsu saamiseks.“
1 RaRS § 2 lg 2 järgi: „Rahvaraamatukogu käesoleva seaduse tähenduses on munitsipaalraamatukogu, kes kogub,
säilitab ja teeb lugejale kättesaadavaks temale vajalikud trükised, auvised ja teised teavikud (edaspidi teavikud) ning
avalikud andmebaasid.“
2 (2)
Samas ei tule seadusest selget regulatsiooni, kuidas tuleks käituda arvuti kasutajate soovidega,
sh kas on alati vajalik isikute registreerimine nimeliselt. Põhiülesannete puhul saab olla
õiguslikuks aluseks nt avaliku ülesande täitmine. Arvutid mille kaudu saab isik ligi avaliku teabe
seaduse alusel üldkasutatava andmesidevõrgu kaudu avalikustatud teabele, on säte näinud ette
kohustuse teha üldregistreerimise vajaduse tekkimisel. Sellisel juhul oleks seega minimaalsuse
põhimõtet arvestades isikuandmete kogumiseks alus sellel eesmärgil olemas. Kui sellitele
lehtedele soovitakse ligipääsu ilma järjekorra seadmise vajaduseta, on küsitav, milleks on
sellisele tasuta teenusele ligipääsuks vajalik isikuandmeid koguda.
Muudel eesmärkidel ja juhtudel arvuti kasutamise teenuse osas (nt sotsiaalmeedias olemiseks,
koolitööks, arvutimängudeks) seadus täpsemaid reegleid ette ei näe. Sellisel juhul peaks olema
asutuses selge, kas tegu on jätkuvalt avalikes huvides oleva põhiülesande täitmisega või
eriteenusega, mille eest on lubatud küsida ka tasu. Viimasel juhul on AKI hinnangul siiski pigem
küsitav, kas saab rääkida avalikes huvides oleva ülesande täitmisest või oleks tegu pigem
lisateenusena arvuti kasutamiseks sõlmitud lepingu täitmiseks isikuandmete töötlemisega.
Eriteenuse osutamiseks ja selle reeglite järgimiseks võib olla põhjendatud koguda andmeid, et nt
veenduda, et kasutatakse ainult teatud aeg arvutit või kes on rikkunud oma kasutuse ajal
kasutusreegleid vms, kuid lõpliku hinnangu peate ise andma, kas selline andmete kogumine on
vajalik. Kuid ka sellisel juhul peab enne olema selgeks tehtud õiguslik alus ja mis teenuse liigiga
on tegu. AKI ei saa seega hetkel anda lõpliku hinnangut, mis õiguslikul alusel ja eesmärgil Te
saate isikuandmeid koguda, sest see nõuaks põhjalikumat ülevaadet Teie teenuste protsessist ja
andmetöötlusest.
Eelnev tähendab, et ka praegusel juhul peaks raamatukogu kui andmetöötleja ise hindama, mis
õiguslikul alusel ja mis eesmärgil isikute andmeid arvuti kasutamisel täpselt töödeldakse. Ka
õigusliku aluse olemasolul tuleb lisaks läbi mõelda, kas andmete kogumine sellises mahus on ka
vajalik ja mis eesmärgil ning kui kaua neid andmeid säilitatakse. Andmetöötlusega seonduv
peaks olema kajastatud ka asutuse andmekaitsetingimustes.
Vajadusel soovitame pöörduda küsimuses abi saamiseks ka täiendavalt oma
andmekaitsespetsilisti poole [email protected] nagu on toodud välja Äriregistri kontaktides
Teie asutusega seoses. Andmekaitsespetsilist peaks oskama anda täpsemat nõu konkreetselt Teie
olukorrast lähtudes, kas ja milline õiguslik alus on Teil isikuandmete töötlemiseks ja kas selle
eesmärgi jaoks tohib isikuandmeid koguda.
Loodame, et meie selgitustest oli abi.
Lugupidamisega
Jekaterina Aader
jurist (tiimijuht)
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|