| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/24/3032-2 |
| Registreeritud | 13.12.2024 |
| Sünkroonitud | 16.12.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Kuressaare Ametikool |
| Saabumis/saatmisviis | Kuressaare Ametikool |
| Vastutaja | Grete-Liis Kalev (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Teie 22.11.2024 nr Meie 13.12.2024 nr 2.3-8/24/3032-2
Vastus selgitustaotlusele
Tänan Andmekaitse Inspektsiooni poole pöördumast.
Andmekaitse Inspektsioon ei saa anda õiguslikku hinnangut, kas selline isikuandmete töötlus on
õiguspärane väljaspool järelevalvemenetlust ega anda õigusabi. Saame üksnes selgitada
isikuandmete töötlemise reegleid ja õigusnorme Teie poolt antud teabe põhjal.
Olete välja toonud, et soovite koguda järgmisi andmeid: nimi, organisatsioon, e-mail, õpetatav
valdkond ja õpetamise kogemus aastates. Andmekaitse vaatest on oluline meeles hoida, et
igasugune isikuandmete töötlemine vajab õiguslikku alust ning järgida tuleb isikuandmete
töötlemise põhimõtteid. Seejuures on äärmiselt oluline määratleda, kes on isikuandmete vastutav
töötleja. Kui Teie määrate kindlaks isikuandmete töötlemise eesmärgid ja vahendid, siis olete
Teie vastutav töötleja. Olukorras, kus Te töötlete isikuandmeid kellegi teise nimel ja paika
pandud eesmärkidel, olete volitatud töötleja. Nende erinevuste kohta saate täpsemalt lugeda siit:
https://www.aki.ee/isikuandmed/andmetootlejale/andmetootleja-vastutus-ja-kohustused
Nii nagu eelnevalt selgitasin, peab isikuandmete töötlemisel alati olema õiguslik alus ning see
peab olema olemas enne, kui isikuandmeid töötlema (sh koguma) hakatakse. Õiguslikud alused
isikuandmete töötluseks on toodud isikuandmete kaitse üldmääruse (IKÜM) artiklis 6 lõikes 1.
Ilma õigusliku aluseta isikuandmeid töödelda ei tohi. Täpsustavalt selgitan, et lepingu täitmine
õigusliku alusena on asjakohane olukorras, kus Teie ja andmesubjekti vahel on sõlmitud leping
ehk isikuandmete töötlemine on vajalik inimesega sõlmitud lepingu täitmiseks või lepingu
sõlmimisele eelnevate meetmete võtmiseks vastavalt inimese taotlusele. Erinevatest õiguslikest
alustest saate täpsemalt lugeda siit: https://www.aki.ee/isikuandmed/andmetootlejale/tootlemise-
oiguslikud-alused.
Kui õiguslik alus on paika pandud, tuleb kindlaks määrata selge ja õiguspärane eesmärk, mille
tarbeks isikuandmeid töödeldakse. Tegemist on IKÜM artiklist 5 lõikest 1 punktist b tuleneva
eesmärgipärasuse põhimõttega, mis eeldab kindla õiguspärase eesmärgi määratlemist enne kui
isikuandmeid töötlema hakatakse. Algsest erineval eesmärgil isikuandmete töötlemine ei ole
lubatud. Seega peate enne isikuandmete töötlemist selgeks tegema, mis on nende isikuandmete
kogumise eesmärk.
Ühtlasi palun eelnevalt läbi mõelda, kas Teil on just nii palju andmeid vaja. IKÜM artikli 5 lõike
1 punkti c kohaselt võib andmetöötleja koguda nii palju andmeid kui vaja, kuid nii vähe kui
võimalik. Tegemist on minimaalsuse põhimõttega, mille kohaselt on lubatud koguda
isikuandmeid ainult ulatuses, mis on vajalik konkreetse õiguspärase eesmärgi saavutamiseks.
2 (2)
Teiste IKÜM artikli 5 põhimõtete kohta saate täpsemalt lugeda siit:
https://www.aki.ee/isikuandmed/andmetootlejale/andmetootluse-pohimotted.
Kui andmed on kogutud ja töödeldud õiguspäraselt ning eesmärk saavutatud, tuleb isikuandmed
kustutada. See tähendab, et kui seadusest või mõnest muust õigusaktist ei tulene kindlat
säilitamise tähtaega, peate Teie ise hindama ja kindlaks määrama, kui kaua kogutud isikuandmeid
säilitate. Säilitamiseks peab olema konkreetne põhjus. Näiteks, kui on vajalik säilitada projektile
antud tagasiside, siis peab hindama, kas seda on vaja säilitada isikustatult või on soovitud tulemus
tegelikkuses kasutatav ja eesmärki täitev ka ilma isikuandmeteta.
Selleks, et kogu andmetöötlus oleks läbipaistev ja selge nii Teile kui ka inimestele, kelle andmeid
kogute, tuleb kogu andmetöötluse protsess lahti kirjutada ja läbi mõelda. See tähendab, et enne
isikuandmete töötlemist peate paika panema andmekaitsetingimused, kus on kirjas kogu
informatsioon isikuandmete töötlemise kohta: õiguslik alus, eesmärk, kui kaua säilitatakse jne.
Andmekaitsetingimused aitavad inimesel omada ülevaadet, mida tema andmetega tehakse.
Lisaks saate andmetöötlejana paremini kontrollida enda andmetöötluse protsesse. Seetõttu peab
juba isikuandmete kogumisel olema isikul võimalus tutvuda Teie andmekaitsetingimustega.
Andmekaitsetingimuste koostamisest saate täpsemalt lugeda siit:
https://www.aki.ee/isikuandmed/andmetootlejale/andmekaitsetingimuste-koostamisest ja meie
üldjuhendist: https://www.aki.ee/isikuandmed/juhendid/isikuandmete-tootleja-uldjuhend.
Lisaks eelnevale juhin tähelepanu, et isikuandmete töötlemisel peab kasutusele võtma ka
asjakohased tehnilised või korralduslikud meetmed. Isikuandmete töötlemisel peab tagama
nende turvalisuse. Andmekaitse Inspektsioon on varasemalt jaganud häid nippe andmete
turvaliseks töötlemiseks siin: https://www.aki.ee/uudised/inspektsioonile-esitatud-
rikkumisteadetest ja siin: https://www.aki.ee/uudised/andmeturbe-soovitused.
Kokkuvõtlikult, tuleb enne isikuandmete töötlemist teha selgeks, kas ja miks on vaja
isikuandmeid töödelda ning kas nende andmete kogumisele ja töötlemisele rakendub mõnest
õigusaktist lisakriteeriume või säilitamistähtaegasid. Samuti tuleb andmesubjekte ehk inimesi
isikuandmete töötlemisest ka teavitada ja viidata andmekaitsetingimustele.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Grete-Liis Kalev
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|