| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/24/498-1266-14 |
| Registreeritud | 31.12.2024 |
| Sünkroonitud | 01.01.2025 |
| Liik | Otsus |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/24/498 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Annika Kaljula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Lp Erkki Sadam
Compensa Life Vienna Insurance
Group SE
Teie 26.06.2024 Meie 31.12.2024 nr 2.1.-4/24/498-1266-14
Tagasiside andmetega tutvumise võimaldamise seire kohta
2024. a mais algatas Euroopa Andmekaitsenõukogu liikmesriikides ühistegevuse, mille
eesmärgiks oli saada põhjalikum ülevaade sellest, kuidas on tagatud andmesubjektide õigus
tutvuda andmetega, mis tuleneb isikuandmete kaitse üldmääruse (IKÜM) artiklist 15.
Ühistegevusest võttis osa ka Eesti Andmekaitse Inspektsioon. Andmekaitse Inspektsiooni seire
keskendus 2024. a andmesubjektide õiguste teostamisele kindlustussektoris, mille raames saadeti
täitmiseks küsimustik ka Compensa Life Vienna Insurance Group SE (Compensa, andmetöötleja).
Täname seires osalemast. Käesolevaga toome välja Compensa vastuste analüüsimisel tuvastatud
positiivsed tähelepanekud ja juhime tähelepanu ka töötlemise kitsaskohtadele.
1. Positiivsed praktikad:
a) asjaolu, et andmesubjektide taotluste käsitlemisse on kaasatud mitmed erinevad
organisatsioonilised üksused;
b) andmed väljastatakse ajakohaselt, taotluse saamise hetke seisuga.
2. Kitsaskohad:
a) Andmetega tutvumise taotluste säilitamistähtaeg. Compensa Life Vienna Insurance
Group SE andmete säilitamise juhendi kohaselt on isikuandmetega tutvumise taotluste
ja nendega seotud kirjavahetuse, sealhulgas vastuste säilitamisperiood 10 aastat.
Säilitamisperiood algab hetkest, mil andmesubjektile on saadetud viimane vastus.1 Säilitamise piirangu põhimõtte kohaselt (IKÜM art 5 lg 1 punkt e) peavad vastutavad töötlejad
tagama ka selliste isikuandmete (juurdepääsutaotlused ja nendega seotud kirjavahetus)
asjakohased säilitamistähtajad ja suutma nende asjakohasust tõendada (IKÜM art 5 lg 2).
Igasugune säilitamine peab olema objektiivselt põhjendatud. Siinkohal tuleks arvesse võtta, et
koondandmete pakett, mis sisaldab kõiki taotluse esitanud andmesubjektiga seoses töödeldavaid
isikuandmeid, annab mõnikord üksikasjaliku ülevaate andmesubjekti eraelust. Säilitamistähtaeg
peaks olema määratud objektiivsete kriteeriumite alusel ja dokumenteeritud põhjendustega.
Vastutavad töötlejad peaksid tagama, et juurdepääsutaotluse teatis salvestatakse eraldi muust
andmesubjekti käsitlevast teabest, mille suhtes võidakse kohaldada muid säilitamistähtaegu ning
samuti muudest juurdepääsuõigustest vastutava töötleja organisatsioonis. Muud liiki dokumentide
või kirjete kohustuslikke säilitamistähtaegu ei tohiks vaikimisi kohaldada. Vastutavad töötlejad
peaksid hoolikalt hindama, kas need sätted hõlmavad tegelikult juurdepääsutaotluste edastamist,
ja dokumenteerima oma hinnangu.
1 Compensa vastus p. 2.2
2 (3)
Seega tuleks andmetöötlejal analüüsida vajadust säilitada andmetega tutvumise taotluste, nendega
seotud kirjavahetuste ja vastustega seonduvaid andmeid ja vaadata üle määratud 10-aastase
säilitamistähtaja proportsionaalsus ning vajalikkus.
b) Juurdepääsutaotluste vastuvõtmise viisid. Compensa andmetega tutvumise taotluse
nõuete kohaselt tuleb taotlus esitada kirjalikult ning taotluses tuleb täpsustada millist
tüüpi andmetega andmesubjekt soovib tutvuda.2
Selgitame esmalt, et vastutavad töötlejad peaksid olema valmis juurdepääsutaotlust vastu võtma
ja menetlema olenemata selle saamise viisist. Andmetega tutvumise õiguse kasutamiseks ei ole
õiget ega standardset viisi ning andmesubjektil ei tohiks olla takistusi oma õiguste kasutamisel.
Suunistes 01/2022 korratakse, et isikuandmete kaitse üldmääruses ei ole sätestatud mingeid
ametlikke nõudeid andmetega tutvumise taotlustele, et vastutav töötleja hõlbustab andmetega
tutvumise õiguse kasutamist ega tohiks keelduda andmetega tutvumise taotluse alusel tegutsemast,
välja arvatud juhul, kui ta suudab tõendada, et ta ei suuda andmesubjekti tuvastada (IKÜM artikli
12 lõige 2). Seega tuleb andmetöötlejal läbi mõelda ka lahendused nende andmesubjektide
taotluste lahendamiseks, kes soovivad taotlust esitada suuliselt, nt telefoni teel.
Seoses taotluse täpsustamisega on andmetöötlejal võimalus paluda andmesubjektidel oma taotlust
täpsustada, kui see on kooskõlas IKÜM põhjenduspunkt 63 lausega 7, st vastutav töötleja töötleb
suurt hulka andmesubjekti käsitlevat teavet. Seega ei saa seda võimalust kohaldada kõik
vastutavad töötlejad ja igasuguste juurdepääsutaotluste puhul. Juhul, kui andmetöötleja töötleb
suures mahus teavet, siis sõltuvalt asjaoludest ja tehnilistest võimalustest võib olla viise selle
probleemi lahendamiseks, näiteks pakkudes veebipõhiseid iseteenindusvahendeid. Kui selliseid
lahendusi ei saa kasutada, võib vastutav töötleja, kes töötleb suurt hulka andmesubjektiga seotud
teavet, paluda, et andmesubjekt täpsustaks enne, kui talle teave edastatakse, millise teabe või
milliste isikuandmete töötlemise toimingutega on taotlus seotud.3 Samas ei tohiks täpsustuste
küsimise eesmärk olla juurdepääsutaotlusele vastamise piiramine ja seda ei tohiks kasutada
andmete või töötlemise kohta käiva teabe varjamiseks. Seega, kui vastutav töötleja palub
andmesubjektidel oma taotlust täpsustada, annab ta samal ajal ka sisulist teavet
töötlemistoimingute kohta, mis võivad andmesubjekti puudutada (IKÜM artikli 12 lõige 2),
teavitades oma tegevuse asjakohastest harudest, andmebaasidest jne.4
c) Info vastuvõtjate kohta. Compensa on märkinud, et konkreetsed vastuvõtjad
loetletakse, kui see on otseselt seotud andmesubjekti huvidega. Muidu loetletakse ainult
vastuvõtjate kategooriad, et säilitada selgus ja operatiivne tõhusus.5
IKÜM artikli 15 lg 1 punkti c kohaselt tuleb andmesubjektile anda info vastuvõtjate või
vastuvõtjate kategooriate kohta. Vastutavad töötlejad peavad täpselt registreerima, millistele
üksustele nad isikuandmeid avaldavad ja kus need vastuvõtjad asuvad, et oleks võimalik nimetada
tegelikud vastuvõtjad vastavalt IKÜM artikli 15 lõike 1 punktile c. Artikli 15 kohaselt ette nähtud,
et kui andmesubjekt ei ole otsustanud teisiti, on vastutav töötleja kohustatud nimetama tegelikud
vastuvõtjad, välja arvatud juhul, kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui
vastutav töötleja tõendab, et andmesubjekti andmetega tutvumise taotlused on selgelt
põhjendamatud või ülemäärased isikuandmete kaitse üldmääruse artikli 12 lõike 5 tähenduses.6
Koondraport seire tulemustega avalikustatakse Euroopa Andmekaitsenõukogu (EAKN) kodulehel
jaanuaris 2025.
2 Compensa vastus p. 4.3, punkt a, c; vastus 5.13 kohaselt ei paku ettevõte andmesubjektile muid viise andmetega
tutvumiseks 3 Suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega. lk 16 4 Suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega. lk. 17 5 Compensa vastus, p.5.7 6 Kohtuotsus, Euroopa Kohus, Österreichische Post AG, C-154/21
3 (3)
Lugupidamisega
(allkirjastatud digitaalselt)
Annika Kaljula
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastus seirepäringule | 26.06.2024 | 1 | 2.1.-4/24/498-1266-7 🔒 | Sissetulev kiri | aki | Compensa Life Vienna Insurance Group SE |