| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2921-3 |
| Registreeritud | 16.12.2024 |
| Sünkroonitud | 17.12.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | OÜ Favorte |
| Saabumis/saatmisviis | OÜ Favorte |
| Vastutaja | Sirje Biin (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Kaja Kuris
Teie 12.11.2024 nr Meie 16.12.2024 nr 2.2-9/24/2921-3
Vastus selgitustaotlusele
Saime Teie pöördumise, milles soovite seoses ettevõttes kehtestatud isikuandmete kaitse
regulatsioonidega mõningaid selgitusi.
Selgitame kõigepealt, et isikuandmete töötlemise seaduslikkuse, õigluse ja läbipaistvuse eest
vastutab ja peab olema võimeline nende põhimõtete täitmist tõendama vastutav töötleja, so isik,
kes on määranud isikuandmete töötlemise eesmärgid ja vahendid.
Muuhulgas peab andmetöötleja tagama isikuandmete töötlemise turvalisuse. Isikuandmete kaitse
üldmäärus paneb andmetöötlejale kohustuse rakendada isikuandmete töötlemise turvalisuse
tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid. Millised meetmed on asjakohased,
sõltub isikuandmete töötlemise laadist, ulatusest, kontekstist ja eesmärkidest, mistõttu ei saa neid
üldiselt ette kirjutada, turvameetmete valik on andmetöötleja otsustada.
Alljärgnevalt vastame esitatud küsimustele.
1. Kas füüsilise isiku isikuandmeid ning isikuandmeid sisaldavaid lepinguid võib meiliga edastada
ainult krüpteeritult?
Krüpteerimine kaitseb selle eest, et tundliku sisuga faile ei saaks kätte need, kel puudub nende
saamiseks õigus. Seda, kas dokument on tundliku sisuga ja kas krüpteerimine on ainus võimalus
tagada selle nähtavus üksnes neile, kel seda vaja, peab otsustama andmetöötleja konkreetsetest
asjaoludest lähtudes. Võib-olla piisab sellest, kui korraldada dokumendihaldus nii, et dokumendi
sisu näeks üksnes need, kel seda tööks tõesti vaja on.
2. Kas füüsiliste isikute isikuandmeid sisaldavad lepingud eraldiseisvana ei käi andmekaitse
reeglite alla, aga kui ettevõte peab digitaalset andmekogumit, siis isikuandmete kaitse reeglid
kehtivad?
IKÜM põhjenduspunktis 15 on selgitatud, et füüsiliste isikute kaitse peaks olema tehnoloogiliselt
neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete
kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii
isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse
kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate
kriteeriumide kohaselt korrastatud, ega nende esilehed.
IKÜM ei täpsusta, mida mõeldakse automatiseeritud töötluse all, kuid praktikas tähendab see seda,
et igasugust digitaalsel kujul toimuvat isikuandmete töötlemist tuleb vaadelda kui automatiseeritud
töötlust ja seega kuulub selline töötlus IKÜM kohaldamisalasse.1[ Sellist seisukohta toetab ka
õiguskirjandus, kus on leitud, et isegi kui üks andmetöötlustoiming on kasvõi osaliselt sooritatud
automatiseeritud vahendit kasutades, kuulub see IKÜM kohaldamisalasse. Seejuures IKÜM ei
erista kuidagi automatiseeritud töötlemiseks kasutatavaid vahendeid nende keerukuse või muu
1
GDPR Hub art 2 kommentaarid, leitav https://gdprhub.eu/index.php?title=Article_2_GDPR#cite_note-2.
2 (2)
alusel, vaid piisavaks loetakse iga vahend, mis võimaldab kasvõi osaliselt isikuandmeid töödelda
automatiseeritult. Seda eeldust tuleb tõlgendada laialt.2
On vähetõenäoline, et inimese ja ettevõtte vahel lepingu sõlmimisel ei kasutataks elektroonilisi
vahendeid või et lepingut ei kanta mõnda ettevõte korrastatud andmete kogumisse (nt läbi
raamatupidamislike toimingute). Seega rakenduvad isikuandmeid sisaldavatele lepingutele
isikuandmete kaitse reeglid isegi siis, kui leping on paberkandjal.
3. Kas paberkandjal leping on vaja säilitada lukustatud kapis või tulenevalt eelmises punktis
toodust, ei ole see vajalik?
Kui lepingud sisaldavad isikuandmeid, siis rakenduvad nende säilitamisele kõik isikuandmete
kaitse nõuded, sh turvalisuse nõue. See, kuidas ja kus hoitakse isikuandmeid sisaldavaid
paberdokumente, on asutuse otsustada ja korraldada. Oluline on, et neile ei pääseks ligi isikud, kel
selleks õigust pole ning tagatud oleks dokumentide säilimine.
4. Kui isik pöördub ettevõtte poole päringuga saada ülevaade tema isikuandmetega tehtud
toimingutest, kas vastusena piisab toimingute kirjeldustest (kellele, millal ja mis eesmärgil on
andmeid edastatud) või on kohustuslik logide esitamine?
See, millist teavet on inimesel õigus andmetöötlejalt saada, on reguleeritud IKÜM artiklis 15.
Teave andmete edastamise kohta on ainult osa sellest, mille kohta inimesele teavet andma peab.
Mida konkreetselt väljastama peab, sõltub ka sellest, mida inimene täpsemalt küsib – ta võib
soovida tutvuda kogu artiklis 15 nimetatud teabega ja küsida töödeldavatest isikuandmetest
koopiat aga võib piirduda ka nt sooviga saada teada, kellele tema andmeid on edastatud.
Logid annavad inimesele ülevaate, kes on tema andmeid vaadanud, muutnud, edastanud jne, et
saaks kontrollida oma isikuandmete töötlemise õiguspärasust ja vajadusel esitada vastuväide,
taotleda andmete parandamist, kustutamist või kaevata järelevalveasutusele. Logimine on üks osa
andmetöötluse läbipaistvusest.
Euroopa Kohus on leidnud, et füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine,
lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema
nende jaoks läbipaistev.
Kohus märkis, et isikuandmete kaitse üldmääruse artikli 15 lõiget 1 tuleb tõlgendada nii, et teave
isiku isikuandmetega tutvumise toimingute kuupäevade ja eesmärgi kohta kujutab endast teavet,
mida sellel isikul on õigus selle sätte alusel vastutavalt töötlejalt saada.3
Seega kuuluvad logid andmete hulka, mida isikul on õigus oma andmete töötlemise kohta saada.
5. Kas logide säilitamise tähtaeg on sama isikuandmete säilitamise tähtajaga?
Logide säilitamise tähtaja peab määrama andmetöötleja lähtudes logimise eesmärkidest. Logide
säilitamise aeg ei pruugi kokku langeda isikuandmete säilitamise tähtaegadega.
Soovitame Teil tutvuda ka Andmekaitse Inspektsiooni kodulehel oleva isikuandmete töötleja
üldjuhendiga, kust võite leida vastuse mõnele oma küsimusele, abiks võib olla ka lühikokkuvõte
andmeturbest.
Loodame, et meie selgitustest on abi.
Lugupidamisega
(allkirjastatud digitaalselt)
Sirje Biin
jurist
peadirektori volitusel
2 General Data Protection Regulation: Article-by-Article Commentary. Edited by Indra Spiecker Gen. Dohmann, Edited by Paul De Hert, 2023,
art 2 kommentaarid. 3 Euroopa Kohtu 22.06.2023 otsus kohtuasjas C-579/21
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|