| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/498-1266-19 |
| Registreeritud | 31.12.2024 |
| Sünkroonitud | 01.01.2025 |
| Liik | Otsus |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/498 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Annika Kaljula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Lp Verner Elp
ERGO Insurance SE
Teie 01.07.2024 nr EE_NL_O_000265/2024 Meie 31.12.2024 nr 2.1.-4/24/498-1266-19
Tagasiside andmetega tutvumise võimaldamise seire kohta
2024. a kevadel algatas Euroopa Andmekaitsenõukogu liikmesriikides ühistegevuse, mille
eesmärgiks oli saada põhjalikum ülevaade sellest, kuidas on tagatud andmesubjektide õigus
tutvuda andmetega, mis tuleneb isikuandmete kaitse üldmääruse (IKÜM) artiklist 15.
Ühistegevusest võttis osa ka Eesti Andmekaitse Inspektsioon. Andmekaitse Inspektsiooni seire
keskendus 2024. a andmesubjektide õiguste teostamisele kindlustussektoris, mille raames saadeti
täitmiseks küsimustik ka ERGO Insurance SE-le (ERGO, andmetöötleja).
Täname seires osalemast. Käesolevaga toome välja ERGO vastuste analüüsimisel tuvastatud
positiivsed tähelepanekud ja juhime tähelepanu ka töötlemise kitsaskohtadele.
1. Positiivsed praktikad:
a) päringutele vastamise protseduurireeglite kontrollimine andmekaitsespetsialisti poolt;
b) müügitoe osakonna ja andmekaitsespetsialisti koordineeritud koostöö päringutele
vastamisel.
2. Kitsaskohad:
a) Andmetega tutvumise taotluste säilitamistähtaeg. ERGO säilitab teavet ja kirjavahetust
andmesubjektide andmetega tutvumise taotlusega seonduvalt 3 aastat (vastavalt TsÜS-
s sätestatud üldisele nõuete aegumise tähtajale).
Säilitamise piirangu põhimõtte kohaselt (IKÜM art 5 lg 1 punkt e) peavad vastutavad töötlejad
tagama ka selliste isikuandmete (juurdepääsutaotlused ja nendega seotud kirjavahetus)
asjakohased säilitamistähtajad ja suutma nende asjakohasust tõendada (IKÜM art 5 lg 2).
Igasugune säilitamine peab olema objektiivselt põhjendatud. Siinkohal tuleks arvesse võtta, et
koondandmete pakett, mis sisaldab kõiki taotluse esitanud andmesubjektiga seoses töödeldavaid
isikuandmeid, annab mõnikord üksikasjaliku ülevaate andmesubjekti eraelust.
Säilitamistähtaeg peaks olema määratud objektiivsete kriteeriumite alusel ja dokumenteeritud
põhjendustega. Vastutavad töötlejad peaksid tagama, et juurdepääsutaotluse teatis salvestatakse
eraldi muust andmesubjekti käsitlevast teabest, mille suhtes võidakse kohaldada muid
säilitamistähtaegu ning samuti muudest juurdepääsuõigustest vastutava töötleja organisatsioonis.
Muud liiki dokumentide või kirjete kohustuslikke säilitamistähtaegu ei tohiks vaikimisi kohaldada.
Vastutavad töötlejad peaksid hoolikalt hindama, kas need sätted hõlmavad tegelikult
juurdepääsutaotluste edastamist, ja dokumenteerima oma hinnangu.
Seega tuleks andmetöötlejal analüüsida vajadust säilitada andmetega tutvumise taotluste, nendega
2 (3)
seotud kirjavahetuste ja vastustega seonduvaid andmeid ja vaadata üle määratud 3-aastase
säilitamistähtaja proportsionaalsus ning vajalikkus.
b) Juurdepääsutaotluste vastuvõtmise viisid. Suulise (nt telefoni teel) edastatud taotluse
korral palub ERGO esitada taotlus digitaalselt allkirjastatud e-maili teel1, st suulisi
taotlusi vastu ei võta.
Selgitame, et vastutavad töötlejad peaksid olema valmis juurdepääsutaotlust vastu võtma ja
menetlema olenemata selle saamise viisist. Andmetega tutvumise õiguse kasutamiseks ei ole õiget
ega standardset viisi ning andmesubjektil ei tohiks olla takistusi oma õiguste kasutamisel.
Suunistes 01/2022 korratakse, et isikuandmete kaitse üldmääruses ei ole sätestatud mingeid
ametlikke nõudeid andmetega tutvumise taotlustele, et vastutav töötleja hõlbustab andmetega
tutvumise õiguse kasutamist ega tohiks keelduda andmetega tutvumise taotluse alusel tegutsemast,
välja arvatud juhul, kui ta suudab tõendada, et ta ei suuda andmesubjekti tuvastada (IKÜM art 12
lõige 2). Seega tuleb andmetöötlejal läbi mõelda lahendused nende andmesubjektide taotluste
lahendamiseks, kes soovivad taotlust esitada suuliselt, nt telefoni teel.
c) Info vastuvõtjate kohta. Seoses isikuandmete vastuvõtjate loeteluga ei ole ERGO seni
vastuvõtjaid andmesubjektidele loetlenud. ERGO hinnangul on vastav teave
kättesaadav privaatsusteates, mistõttu ei ole ERGO pidanud vajalikuks eraldi teavet
jagada.2
Selgitame, et andmesubjektidele IKÜM artikli 15 lõigete 1 ja 2 kohaselt antav teave peaks olema
kohandatud konkreetsele andmesubjektile ja konkreetsele juurdepääsutaotlusele. Eelkõige tuleks
olemasolevatele dokumentidele (nt privaatsusteatele) viidata alles pärast konkreetse
juurdepääsutaotluse hoolikat hindamist. Ühelt poolt ei sisalda need dokumendid sageli kogu
teavet, mida nõutakse IKÜM artikli 15 lõike 1 alusel. Teisest küljest ei pruugi kogu nendes
dokumentides esitatud teave kehtida konkreetse andmesubjekti kohta, kohustades teda nö ära
arvama, milline teave konkreetselt tema kohta kehtib (nt kui kaua täpselt tema andmeid
säilitatakse). Selline praktika on vastuolus nii andmetega tutvumise õiguse eesmärgiga olla teadlik
töötlemise seaduslikkusest ja seda kontrollida, kui ka vastutava töötleja kohustusega aidata kaasa
andmesubjektide õiguste kasutamisele (IKÜM art 12 lõige 2). Seetõttu peab reeglina vastutav
töötleja nimetama tegelikud vastuvõtjad, välja arvatud juhul, kui andmesubjekt ei ole otsustanud
teisiti, kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui vastutav töötleja tõendab, et
andmesubjekti juurdepääsutaotlused on ilmselgelt põhjendamatud või ülemäärased vastavalt
IKÜM art 12 lõikele 5.
d) Andmetega tutvumise taotluste sisu ja teabe täielikkus. Säilitamistähtaegadega
seonduvalt teatab ERGO andmesubjektidele enamasti, et nende isikuandmeid
säilitatakse 10 aastat pärast kindlustuslepingu lõppemist, et kaitsta end kindlustusvõtja
nõuete vastu.3
Juhime tähelepanu, et andmete säilitamistähtaegu käsitlevad märkused peavad keskenduma
andmesubjekti käsitlevatele konkreetsetele andmetele. Kui andmesubjekti isikuandmete suhtes
kohaldatakse erinevaid säilitustähtaegu (nt kuna kõikide andmete suhtes ei kehti seaduslik
säilitamiskohustus), tuleb märkida vastavate töötlemistoimingute ja andmekategooriate
kustutamistähtajad eraldi.4
1 ERGO vastus p. 4.7 2 ERGO vastus p. 5.7 3 ERGO vastus p. 5.8 4 Suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega, p. 118
3 (3)
Koondraport seire tulemustega avalikustatakse Euroopa Andmekaitsenõukogu (EAKN) kodulehel
jaanuaris 2025.
Lugupidamisega
(allkirjastatud digitaalselt)
Annika Kaljula
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastus seirepäringule | 02.07.2024 | 1 | 2.1.-4/24/498-1266-11 🔒 | Sissetulev kiri | aki | ERGO Insurance SE |