| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/498-1266-16 |
| Registreeritud | 31.12.2024 |
| Sünkroonitud | 01.01.2025 |
| Liik | Otsus |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/498 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Annika Kaljula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Lp Heinar Olak
IF P&C Insurance AS
Teie 22.06.2024 nr Meie 31.12.2024 nr 2.1.-4/24/498-1266-16
Tagasiside andmetega tutvumise võimaldamise seire kohta
2024. a kevadel algatas Euroopa Andmekaitsenõukogu liikmesriikides ühistegevuse, mille
eesmärgiks oli saada põhjalikum ülevaade sellest, kuidas on tagatud andmesubjektide õigus
tutvuda andmetega, mis tuleneb isikuandmete kaitse üldmääruse (IKÜM) artiklist 15.
Ühistegevusest võttis osa ka Eesti Andmekaitse Inspektsioon. Andmekaitse Inspektsiooni seire
keskendus 2024. a andmesubjektide õiguste teostamisele kindlustussektoris, mille raames saadeti
täitmiseks küsimustik ka AS-le IF P&C Insurance (IF, andmetöötleja).
Täname seires osalemast. Käesolevaga toome välja AS IF P&C Insurance vastuste analüüsimisel
tuvastatud positiivsed tähelepanekud ja juhime tähelepanu ka töötlemise kitsaskohtadele.
1. Positiivsed praktikad:
a) läbimõeldud protsess andmetega tutvumise taotluste käsitlemiseks;
b) pseudonüümitud andmete töötlemine;
c) konkreetsete vastuvõtjate nimetamine;
d) andmete muutumise kohta teabe esitamine (kui andmed muutuvad taotluse esitamise
ja sellele vastamise vahepealsel ajal);
e) andmesubjektile vastamisel teiste isikute andmete eemaldamine, sh telefonivestlusest
teise osapoole hääle eemaldamine jt.
2. Kitsaskohad:
a) Andmetega tutvumise taotluste säilitamistähtaeg. IF on öelnud, et kirjavahetuse sisu
säilitatakse piiratud juurdepääsuga süsteemis, kus vastust säilitatakse vastavalt
vastuse sisus toodud andmete säilitamise üldisele tähtajale, kuid mitte vähem kui 3
aastat, tagamaks korduvatele päringutele efektiivse vastamise.1
Säilitamise piirangu põhimõtte kohaselt (IKÜM art 5 lg 1 punkt e) peavad vastutavad töötlejad
tagama ka selliste isikuandmete (juurdepääsutaotlused ja nendega seotud kirjavahetus)
asjakohased säilitamistähtajad ja suutma nende asjakohasust tõendada (IKÜM art 5 lg 2).
Igasugune säilitamine peab olema objektiivselt põhjendatud. Siinkohal tuleks arvesse võtta, et
koondandmete pakett, mis sisaldab kõiki taotluse esitanud andmesubjektiga seoses töödeldavaid
isikuandmeid, annab mõnikord üksikasjaliku ülevaate andmesubjekti eraelust.
Säilitamistähtaeg peaks olema määratud objektiivsete kriteeriumite alusel ja dokumenteeritud
põhjendustega. Vastutavad töötlejad peaksid tagama, et juurdepääsutaotluse teatis salvestatakse
1 IF Kindlustuse vastus küsimusele 2.2
2 (2)
eraldi muust andmesubjekti käsitlevast teabest, mille suhtes võidakse kohaldada muid
säilitamistähtaegu ning samuti muudest juurdepääsuõigustest vastutava töötleja organisatsioonis.
Muud liiki dokumentide või kirjete kohustuslikke säilitamistähtaegu ei tohiks vaikimisi kohaldada.
Vastutavad töötlejad peaksid hoolikalt hindama, kas need sätted hõlmavad tegelikult
juurdepääsutaotluste edastamist ja dokumenteerima oma hinnangu. Seega tuleks andmetöötlejal
analüüsida vajadust säilitada andmetega tutvumise taotluste, nendega seotud kirjavahetuste ja
vastustega seonduvaid andmeid ja vaadata üle määratud 3-aastase säilitamistähtaja
proportsionaalsus ning vajalikkus.
b) Juurdepääsutaotluste vastuvõtmise viisid. Vastuses küsimusele andmesubjektidele
suulise teabe esitamise võimaluse kohta tunnistas IF, et kuna puudub võimekus
andmesubjekti isikusamasuse tuvastamiseks, ei ole suuliselt teabe esitamine võimalik.2
Selgitame, et vastutavad töötlejad peaksid olema valmis juurdepääsutaotlust vastu võtma ja
menetlema olenemata selle saamise viisist. Andmetega tutvumise õiguse kasutamiseks ei ole õiget
ega standardset viisi ning andmesubjektil ei tohiks olla takistusi oma õiguste kasutamisel.
Suunistes 01/2022 korratakse, et isikuandmete kaitse üldmääruses ei ole sätestatud mingeid
ametlikke nõudeid andmetega tutvumise taotlustele, et vastutav töötleja hõlbustab andmetega
tutvumise õiguse kasutamist ega tohiks keelduda andmetega tutvumise taotluse alusel tegutsemast,
välja arvatud juhul, kui ta suudab tõendada, et ta ei suuda andmesubjekti tuvastada (isikuandmete
kaitse üldmääruse artikli 12 lõige 2). Seega tuleks andmetöötlejal läbi mõelda võimalikud
meetmed andmesubjekti isikusamasuse tuvastamiseks sellistes olukordades (nt lisaküsimused,
mida ainult andmesubjekt teab) ning lahendused nende andmesubjektide taotluste lahendamiseks,
kes soovivad taotlust esitada suuliselt, nt telefoni teel.
c) Koopia saamise õigus. IF on oma vastuses öelnud, et kui tegemist on suuremahuliste
andmetega (nt videod), siis võimaldatakse andmesubjektile teisi juurdepääsu viise,
näiteks kohapeal tutvumist.3
Rõhutame siinkohal, et IKÜM art 15 lg 3 näeb ette andmesubjektile õiguse küsida töödeldavate
isikuandmete koopia, st soovi korral saada ka videosalvestise koopia, kui tegemist on
andmesubjekti isikuandmetega. Vastavalt IKÜM põhjenduspunktile 63 – kui vastutav töötleja
töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et
andmesubjekt täpsustaks enne andmete esitamist, millist teavet või milliste isikuandmete
töötlemise toimingutega seonduvalt ta soovib. Seega on andmetöötlejal võimalik täpsustada
andmesubjektiga soovitud videomaterjali mahtu. Andmetega kohapeal tutvumise võimaldamine
ei ole samastatav koopia saamise õigusega.
Koondraport seire tulemustega avalikustatakse Euroopa Andmekaitsenõukogu (EAKN) kodulehel
jaanuaris 2025.
Lugupidamisega
(allkirjastatud digitaalselt)
Annika Kaljula
jurist
peadirektori volitusel
2 IF Kindlustuse vastus küsimusele 4.7 3 IF Kindlustuse vastus küsimusele 5.14
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastus seisrepäringule | 25.06.2024 | 1 | 2.1.-4/24/498-1266-6 🔒 | Sissetulev kiri | aki | If P&C Insurance AS |