| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/498-1266-18 |
| Registreeritud | 31.12.2024 |
| Sünkroonitud | 01.01.2025 |
| Liik | Otsus |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/498 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Annika Kaljula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Lp Elar Tamme
Inges Kindlustus AS
Teie 01.07.2024 Meie 31.12.2024 nr 2.1.-4/24/498-1266-18
Tagasiside andmetega tutvumise võimaldamise seire kohta
2024. a kevadel algatas Euroopa Andmekaitsenõukogu liikmesriikides ühistegevuse, mille
eesmärgiks oli saada põhjalikum ülevaade sellest, kuidas on tagatud andmesubjektide õigus
tutvuda andmetega, mis tuleneb isikuandmete kaitse üldmääruse (IKÜM) artiklist 15.
Ühistegevusest võttis osa ka Eesti Andmekaitse Inspektsioon. Andmekaitse Inspektsiooni seire
keskendus 2024. a andmesubjektide õiguste teostamisele kindlustussektoris, mille raames saadeti
täitmiseks küsimustik ka Inges Kindlustus AS-le (Inges, andmetöötleja).
Täname seires osalemast. Käesolevaga toome välja Ingese vastuste analüüsimisel tuvastatud
positiivsed tähelepanekud ja juhime tähelepanu ka töötlemise kitsaskohtadele.
1. Positiivsed praktikad:
a) andmete väljastamise võimaldamine koha peal ka suuliselt;
b) andmesubjektile teabe esitamine mh muutunud andmete kohta;
c) andmetega tutvumise taotluste raporteerimine vastavuskontrollile kord aastas.
2. Kitsaskohad:
a) Andmetega tutvumise taotluste säilitamistähtaeg. Andmetega tutvumise taotlusi ja
nendega seotud kirjavahetusi ja vastuseid säilitab andmetöötleja võimalike
tsiviilnõuete aegumiseni, milleks on üldjuhul 3 aastat.1
Säilitamise piirangu põhimõtte kohaselt (IKÜM art 5 lg 1 punkt e) peavad vastutavad töötlejad
tagama ka selliste isikuandmete (juurdepääsutaotlused ja nendega seotud kirjavahetus)
asjakohased säilitamistähtajad ja suutma nende asjakohasust tõendada (IKÜM art 5 lg 2).
Igasugune säilitamine peab olema objektiivselt põhjendatud. Siinkohal tuleks arvesse võtta, et
koondandmete pakett, mis sisaldab kõiki taotluse esitanud andmesubjektiga seoses töödeldavaid
isikuandmeid, annab mõnikord üksikasjaliku ülevaate andmesubjekti eraelust.
Säilitamistähtaeg peaks olema määratud objektiivsete kriteeriumite alusel ja dokumenteeritud
põhjendustega. Vastutavad töötlejad peaksid tagama, et juurdepääsutaotluse teatis salvestatakse
eraldi muust andmesubjekti käsitlevast teabest, mille suhtes võidakse kohaldada muid
säilitamistähtaegu ning samuti muudest juurdepääsuõigustest vastutava töötleja organisatsioonis.
Muud liiki dokumentide või kirjete kohustuslikke säilitamistähtaegu ei tohiks vaikimisi kohaldada.
Vastutavad töötlejad peaksid hoolikalt hindama, kas need sätted hõlmavad tegelikult
juurdepääsutaotluste edastamist ja dokumenteerima oma hinnangu.
1 Ingese vastus p.2.2
2 (3)
Seega tuleks andmetöötlejal analüüsida vajadust säilitada andmetega tutvumise taotluste, nendega
seotud kirjavahetuste ja vastustega seonduvaid andmeid 3 aastat ja vaadata üle määratud
säilitamistähtaja proportsionaalsus ning vajalikkus.
b) Andmetega tutvumise taotluste sisu ja teabe täielikkus.
Andmetöötleja vastuse kohaselt ei ajakohastata konkreetsest andmesubjektist lähtuvat
teavet andmetöötluse eesmärkide kohta eraldi. Vajadusel selgitatakse, milliseid
konkreetseid andmetöötlustoiminguid on tema andmetega läbi viidud.2
Seoses säilitamistähtaegadega edastatakse andmesubjektile üldine dokument
andmetöötlustähtaegade kohta, millel on näha, millal mingisuguseid andmeid
kustutatakse. Alles andmesubjekti täiendava soovi korral arvutatakse talle välja
konkreetse andmegrupi kustutamisaeg.3
Juhime tähelepanu, et andmesubjektidele IKÜM artikli 15 lõigete 1 ja 2 kohaselt antav
teave peaks olema kohandatud konkreetsele andmesubjektile ja konkreetsele
juurdepääsutaotlusele. IKÜM art 15 lõike 1 punkti a kohane teave eesmärkide kohta
peab olema konkreetne, st taotluse esitanud andmesubjektile tuleb esitada täpne
eesmärk (täpsed eesmärgid). Vastutava töötleja üldiste eesmärkide loetelust ei piisa, kui
ei selgitata, millist eesmärki (milliseid eesmärke) vastutav töötleja taotluse esitanud
andmesubjekti puhul taotleb. Kui töötlemine toimub mitmel eesmärgil, peab vastutav
töötleja selgitama, milliseid andmeid või andmekategooriaid millisel eesmärgil või
millistel eesmärkidel töödeldakse.4 Teabe esitamine, mis ei ole kohandatud vastavalt
konkreetsele andmesubjektile ja tema taotlusele, on vastuolus nii andmetega tutvumise
õiguse eesmärgiga olla teadlik töötlemise seaduslikkusest ja seda kontrollida, kui ka
vastutava töötleja kohustusega aidata kaasa andmesubjektide õiguste kasutamisele
(IKÜM art 12 lõige 2).
IKÜM art 15 lg 1 punkti d kohaselt tuleb andmesubjektidele anda teave säilitamise
ajavahemikust või kui see ei ole võimalik, siis ajavahemiku määramise kriteeriumitest.
Isikuandmete säilitamistähtaegu käsitlevad märkused peavad keskenduma
andmesubjekti käsitlevatele konkreetsetele andmetele. Kui andmesubjekti
isikuandmete suhtes kohaldatakse erinevaid säilitustähtaegu (nt kuna kõikide andmete
suhtes ei kehti seadusest tulenev säilitamiskohustus), tuleb märkida vastavate
töötlemistoimingute ja andmekategooriate kustutamistähtajad eraldi.5
c) Info vastuvõtjate kohta. Andmetöötleja vastas, et esitab andmesubjektile esmalt
vastuvõtjate kategooriad ning alles täiendava soovi korral konkreetsed vastuvõtjad.6
IKÜM art 15 lg 1 punkti c kohaselt tuleb andmesubjektile anda info vastuvõtjate või
vastuvõtjate kategooriate kohta. Vastutavad töötlejad peavad täpselt registreerima,
millistele üksustele nad isikuandmeid avaldavad ja kus need vastuvõtjad asuvad, et
oleks võimalik nimetada tegelikud vastuvõtjad vastavalt IKÜM artikli 15 lõike 1
punktile c. Artikli 15 kohaselt ette nähtud, et kui andmesubjekt ei ole otsustanud teisiti,
on vastutav töötleja kohustatud nimetama tegelikud vastuvõtjad, välja arvatud juhul,
kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui vastutav töötleja tõendab, et
andmesubjekti andmetega tutvumise taotlused on selgelt põhjendamatud või
ülemäärased isikuandmete kaitse üldmääruse artikli 12 lõike 5 tähenduses.7
2 Ingese vastus, p.5.6 3 Ingese vastus, p. 5.8 4 Suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega, p. 114 5 Suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega, p. 118 6 Ingese vastus, p. 5.7 7 Kohtuotsus, Euroopa Kohus, Österreichische Post AG, C-154/21
3 (3)
Koondraport seire tulemustega avalikustatakse Euroopa Andmekaitsenõukogu (EAKN) kodulehel
jaanuaris 2025.
Lugupidamisega
(allkirjastatud digitaalselt)
Annika Kaljula
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastus seirepäringule | 02.07.2024 | 1 | 2.1.-4/24/498-1266-12 🔒 | Sissetulev kiri | aki | Inges Kindlustus AS |