| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/498-1266-15 |
| Registreeritud | 31.12.2024 |
| Sünkroonitud | 01.01.2025 |
| Liik | Otsus |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/498 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Annika Kaljula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Lp Aet Altroff
Swedbank P&C Insurance AS Swedbank Life Insurance SE
Teie 26.06.2024 nr A01.10-275-02/305 Meie 31.12.2024 nr 2.1.-4/24/498-1266-15
Tagasiside andmetega tutvumise võimaldamise seire kohta
2024. a kevadel algatas Euroopa Andmekaitsenõukogu liikmesriikides ühistegevuse, mille
eesmärgiks oli saada põhjalikum ülevaade sellest, kuidas on tagatud andmesubjektide õigus
tutvuda andmetega, mis tuleneb isikuandmete kaitse üldmääruse (IKÜM) artiklist 15.
Ühistegevusest võttis osa ka Eesti Andmekaitse Inspektsioon. Andmekaitse Inspektsiooni seire
keskendus 2024. a andmesubjektide õiguste teostamisele kindlustussektoris, mille raames saadeti
täitmiseks küsimustik ka Swedbank P&C Insurance AS-le, Swedbank Life Insurance SE-le
(Swedbank, andmetöötleja).
Täname seires osalemast. Käesolevaga toome välja Swedbanki vastuste analüüsimisel tuvastatud
positiivsed tähelepanekud ja juhime tähelepanu ka töötlemise kitsaskohtadele.
1. Positiivsed praktikad:
- andmesubjektide taotluste vastuvõtmise viiside lai valik (telefon, internetipank, e-
post, esindus, post)
2. Kitsaskohad:
a) Andmetega tutvumise taotluste säilitamistähtaeg. Andmetega tutvumise taotlusi
säilitab Swedbank 3 aastat tuginedes TsÜS § 146 lg-le 1.1
Säilitamise piirangu põhimõtte kohaselt (IKÜM art 5 lg 1 punkt e) peavad vastutavad töötlejad
tagama ka selliste isikuandmete (juurdepääsutaotlused ja nendega seotud kirjavahetus)
asjakohased säilitamistähtajad ja suutma nende asjakohasust tõendada (IKÜM art 5 lg 2).
Igasugune säilitamine peab olema objektiivselt põhjendatud. Siinkohal tuleks arvesse võtta, et
koondandmete pakett, mis sisaldab kõiki taotluse esitanud andmesubjektiga seoses töödeldavaid
isikuandmeid, annab mõnikord üksikasjaliku ülevaate andmesubjekti eraelust.
Säilitamistähtaeg peaks olema määratud objektiivsete kriteeriumite alusel ja dokumenteeritud
põhjendustega. Vastutavad töötlejad peaksid tagama, et juurdepääsutaotluse teatis salvestatakse
eraldi muust andmesubjekti käsitlevast teabest, mille suhtes võidakse kohaldada muid
säilitamistähtaegu ning samuti muudest juurdepääsuõigustest vastutava töötleja organisatsioonis.
Muud liiki dokumentide või kirjete kohustuslikke säilitamistähtaegu ei tohiks vaikimisi kohaldada.
Vastutavad töötlejad peaksid hoolikalt hindama, kas need sätted hõlmavad tegelikult
juurdepääsutaotluste edastamist, ja dokumenteerima oma hinnangu.
1 Swedbanki vastus p. 2.2
2 (2)
Seega tuleks andmetöötlejal analüüsida vajadust säilitada andmetega tutvumise taotluste, nendega
seotud kirjavahetuste ja vastustega seonduvaid andmeid ja vaadata üle määratud 3-aastase
säilitamistähtaja proportsionaalsus ning vajalikkus.
b) Info vastuvõtjate kohta. Konkreetsete andmete vastuvõtjate kohta annab Swedbank
teavet alles siis, kui andmesubjekt on seda küsinud.2
IKÜM artikli 15 lg 1 punkti c kohaselt tuleb andmesubjektile anda info vastuvõtjate või
vastuvõtjate kategooriate kohta. Vastutavad töötlejad peavad täpselt registreerima, millistele
üksustele nad isikuandmeid avaldavad ja kus need vastuvõtjad asuvad, et oleks võimalik nimetada
tegelikud vastuvõtjad vastavalt IKÜM artikli 15 lõike 1 punktile c. Artikli 15 kohaselt ette nähtud,
et kui andmesubjekt ei ole otsustanud teisiti, on vastutav töötleja kohustatud nimetama tegelikud
vastuvõtjad, välja arvatud juhul, kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui
vastutav töötleja tõendab, et andmesubjekti andmetega tutvumise taotlused on selgelt
põhjendamatud või ülemäärased isikuandmete kaitse üldmääruse artikli 12 lõike 5 tähenduses.3
Koondraport seire tulemustega avalikustatakse Euroopa Andmekaitsenõukogu (EAKN) kodulehel
jaanuaris 2025.
Lugupidamisega
(allkirjastatud digitaalselt)
Annika Kaljula
jurist
peadirektori volitusel
2 Swedbanki vastus vastus p. 5.7 3 Kohtuotsus, Euroopa Kohus, Österreichische Post AG, C-154/21.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastus seirepäringule | 26.06.2024 | 1 | 2.1.-4/24/498-1266-8 🔒 | Sissetulev kiri | aki | Swedbank P&C Insurance AS |