| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/24/2768-2 |
| Registreeritud | 21.11.2024 |
| Sünkroonitud | 22.11.2024 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Mona-Reti Pavlov (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim III) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Kaupo Kangur
juhatuse liige
Prügiekspress OÜ
info@prügiekspress.ee
21.11.2024 nr 2.2-10/24/2768-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai pöördumise, mille kohaselt saatis Prügiekspress OÜ
30.10.2024 otseturustuspakkumise väga paljude isikute e-posti aadressidele, mis olid kõik
adressaatide nimekirjas nähtavad. Pöördumise kohaselt ei olnud kaebaja
otseturustuspakkumisteks nõusolekut andnud.
Selgitame, et eraisiku e-posti aadress kuulub isikuandmete hulka. Euroopa Parlamendi ja
nõukogu määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus ehk IKÜM) 1 artikkel 4 punkti
1 järgi on isikuandmed igasugune teave, mille kaudu on võimalik otseselt või kaudselt isikut
tuvastada. Seega, kuivõrd e-posti aadressid on tavapäraselt loodud isikute nimede alusel, võivad
konkreetsed inimesed olla tuvastavad. Isikuandmete töötlemine on IKÜM artikli 4 punkti 2
kohaselt igasugune toiming või toimingute kogum, mida isikuandmetega tehakse. Nii kuulub
isikuandmete töötlemise hulka mh e-posti aadressi kasutamine, säilitamine, edastamine,
levitamine jne. Isikuandmete töötlemisele kohalduvad IKÜM-st, aga ka isikuandmete kaitse
seadusest ja sõltuvalt valdkonnast muudest eriseadustest tulenevad nõuded. Nii on oluline, et
isikuandmete seaduslikuks töötlemisel oleks täidetud üks IKÜM artikkel 6 lõikes 1 nimetatud
tingimustest (töötlemiseks peaks olema kas inimene nõusolek, töötlemise õigus tuleb seadusest
või õigustatud huvi olemasolust jne). Lisaks sellele peavad aga olema täidetud isikuandmete
töötlemise põhimõtted: isikuandmete töötlemine peab olema mh läbipaistev, töötlemine peab
olema kooskõlas selleks ettenähtud eesmärgiga, piirduma minimaalselt vajalikuga jne.
E-posti aadressi üldreeglina ilma inimese nõusolekuta avaldada ega jagada ei tohi. Juhime
Teie tähelepanu sellele, et nii ei ole isikuandmete kaitse nõuetega kooskõlas olukord, kus
ilma eelnevalt küsitud nõusolekuta saadetakse e-kiri viisil, kus selle adressaadid koos e-
posti aadressidega on kõikidele kirja saajatele näha. Kusjuures problemaatiline ja küsitav on
seegi, et kui e-kirja saatja on saanud kuskilt kolmandast kohast kunagi varem kellegi e-posti
aadressid, siis kas ja mis tingimustel võiks ta neid nüüd uuesti teistel eesmärkidel kasutada. Kui
andmetöötlejale (isikule/asutusele/organisatsioonile) on antud nõusolek kasutada e-posti aadressi
mingitel kindlatel eesmärkidel, siis ei tohiks keegi teine kasutada seda hiljem enda seatud muul
eesmärgil.
Ühtlasi aga tuleb arvestada sedagi, et iga e-kiri, mis välja saadetakse, võib jõuda isikuteni,
kellele see konkreetne kiri ei ole adresseeritud – seda ennekõike siis, kui eksitakse e-posti
aadresside kirjutamisel. Selle tulemusena võivad kõrvalised isikud teada saada informatsiooni,
mis ei ole neile mõeldud – olgu selleks nii kirja adressaadid koos e-posti aadressidega kui ka
kirja enda sisu. Kõige mustema stsenaariumi tulemusena võidakse selle kirja sisu (koos e-posti
aadressidega) edastada veel suuremale isikute ringile või laiemale avalikkusele. Sellepärast
tulebki eraisikute e-posti aadresside kasutamisel kindlasti arvestada isikuandmete töötlemise
2 (2)
reeglitega, sh tuleb eelistada neid meetmeid, mis kohe alguses tagavad suurema privaatsuse. E-
kirjade saatmisel võiks seega taolistel puhkudel eelistada varianti, kus e-posti aadressid on
pimekoopias.
Kuna kõnealune e-kiri oli otseturustuslik, selgitame järgnevalt ka otseturustuse nõudeid.
Otseturustuspakkumiste saatmist reguleerib elektroonilise side seadus (ESS). Füüsilisest isikust
kliendi elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud üksnes kliendi
eelneval nõusolekul.1 Nõusolek peab vastama IKÜM-is toodud nõuetele ning selle olemasolu
tõendamise kohustus on vastutaval töötlejal. Samuti peab olema isikule tagatud õigus igal ajal
keelata teda käsitlevate andmete töötlemine otseturustuseks.
Kui otseturustuseks kasutatakse juriidilise isiku kontaktandmeid, siis eelneva nõusoleku
omamise kohustust ei ole, kuid talle peab andma samamoodi võimaluse keelata oma
kontaktandmete edasine selline kasutamine. Sealjuures tuleb nii füüsilisele kui ka juriidilisele
isikule anda iga kord, kui tema elektroonilisi kontaktandmeid kasutatakse otseturustuseks, selge
ja arusaadav võimalus tasuta ning lihtsal viisil keelata oma kontaktandmete selline kasutamine
ning isikul peab olema võimalus nimetatud õigust realiseerida elektroonilise side võrgu kaudu.2
Vastavalt pöördumisele lisatud otseturustuspakkumisele puudus selles teave, mis võimaldanuks
reklaami saajal oma õigust keeldumisele tasuta ja lihtsal viisil realiseerida. Eeltoodust
tulenevalt juhime tähelepanu, et otseturustuspakkumiste saatmine ilma, et sellel oleks välja
toodud selgelt ja arusaadavalt teave, mismoodi pakkumistest loobuda, rikub elektroonilise
side seadusest tulenevaid nõudeid. Samuti ei ole pakkumiste saatmine lubatud, kui isik on
selgelt väljendanud soovi pakkumisi mitte saada.
Seega tuleb Teil viia isikuandmete töötlemine kooskõlla IKÜM-ist tulenevate nõuetega.3 Ning
otseturustuse saatmisel tuleb arvestada ESS-st tulenevate nõuetega ning mitte saata pakkumisi
isikutele, kes pole selleks nõusolekut andnud või on pakkumiste saamisest keeldunud.
Käesolevale tähelepanu juhtimisele AKI vastust ei oota.
Lugupidamisega
Mona-Reti Pavlov
jurist
peadirektori volitusel
1 ESS § 1031 lõige 1 2 ESS § 1031 lõige 2 ja 4 3 Isikuandmete töötlemise põhimõtetest saab täpsemalt lugeda AKI kodulehelt.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|