| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/25/60-2 |
| Registreeritud | 21.01.2025 |
| Sünkroonitud | 22.01.2025 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kirsika Lääts (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp juhatuse liikmed
AS Pensionikeskus
Meie 21.01.2025 nr 2.2-10/25/60-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja seoses AS-i Pensionikeskus poolt e-kirjades
jälgimislinkide ja -pikslite kasutamisega, mis on iga adressaadi kohta unikaalsed. Märgukirja
kohaselt ei toimu pikslite kasutamine andmesubjekti nõusoleku alusel. Lisaks võib selline
andmetöötlus olla vastuolus isikuandmete kaitse üldmäärusest tuleneva minimaalsuse
põhimõttega.
Euroopa Parlamendi ja Nõukogu määruse (EL) 2016/679 ehk isikuandmete kaitse üldmääruse
(IKÜM) art 4 punkti 1 kohaselt loetakse isikuandmeteks igasugust teavet tuvastatud või
tuvastatava isiku („andmesubjekti“) kohta. Tuvastatav füüsiline isik on isik, keda saab otseselt
või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood,
asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise,
füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.
Kuivõrd jälgimispikslite ja -linkide ehk nn veebimajakate (edaspidi ühiselt pikslid) abil on
võimalik teada saada, milliselt IP-aadressilt, millal ja millisest seadmest on isik avanud saadetud
e-kirja, on sellised andmed isikuandmed, mille abil on võimalik isikut tuvastada. Pikslite abil
saadud andmete lugemine, säilitamine, kasutamine on aga isikuandmete töötlemine IKÜM art 4
punkti 2 mõistes.
Isikuandmete töötlemiseks peab olema IKÜM art 6 lõikest 1 tulenev õiguslik alus. Kuivõrd
pikslid on elektroonilise side kaudu kasutatavad vahendid, reguleerib täiendavalt isikuandmete
töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris e-privaatsuse direktiiv1.
Euroopa Andmekaitsenõukogu arvamuses nr 5/2019 käsitletakse e-privaatsuse direktiivi ja
üldmääruse koostoimet. Olukordades, kus e-privaatsuse direktiiviga täpsustatakse (st
muudetakse konkreetsemaks) isikuandmete kaitse üldmääruse norme, on e-privaatsuse direktiivi
(eri)sätted ülimuslikud isikuandmete kaitse üldmääruse (üldisemate) sätete suhtes.2
E-privaatsuse direktiivi põhjenduspunkti 24 järgi võimaldavad niinimetatud nuuskurvara,
veebilutikad, varjatud identifikaatorid ja muud sellised vahendid kasutaja teadmata siseneda
kasutaja lõppseadmesse, et pääseda juurde teabele, salvestada varjatud teavet või jälitada
kasutaja tegevust, ning võimaldab tõsiselt sekkuda kõnealuste kasutajate eraellu. Selliste
vahendite kasutamine peaks olema lubatud ainult õiguspärastel eesmärkidel ja asjaomaste
1 Euroopa Parlamendi ja Nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, mida on muudetud direktiiviga
2006/24/EÜ ja direktiiviga 2009/136/EÜ. 2 Euroopa Andmekaitsenõukogu arvamus 5/2019, milles käsitletakse e-privaatsuse direktiivi ja isikuandmete kaitse
üldmääruse koostoimet, eelkõige seoses andmekaitseasutuste pädevuse, ülesannete ja volitustega, 12. märts 2019, p
38, lk 14.
2 (2)
kasutajate teadmisel. Ulatuses, milles lõppkasutaja seadmesse salvestatud teabeks on
isikuandmed, kehtib teabe salvestamise või sellele juurdepääsu saamise toimingu kohta
isikuandmete kaitse üldmääruse artikli 6 asemel e-privaatsuse direktiivi art 5 lõige 3.3
Liikmesriigid peavad e-privaatsuse direktiivi art 5 lg 3 järgi tagama, et teabe salvestamine
kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult
tingimusel, et asjaomane kasutaja on andnud selleks oma nõusoleku ning talle on esitatud
IKÜM-i kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta.
Euroopa Andmekaitsenõukogu suunistes 2/2023 kinnitatakse veel kord üle, et jälgimispikslid
kuuluvad e-privaatsusdirektiivi art 5 lg 3 kohaldamisalasse ning rõhutatakse, et pikslite
kasutamisel peab küsima sarnaselt küpsistega andmesubjekti nõusolekut.4
Teisisõnu on e-kirjades pikslite kasutamiseks ning informatsiooni kogumiseks vaja esmalt
võtta andmesubjektilt nõusolek.
E-privaatsuse direktiivi art 2 punkti f kohaselt peab nõusolek vastama IKÜM-s sätestatud
nõusoleku tingimustele, mille kohaselt peab nõusolek olema vabatahtlik, konkreetne, teadlik ja
ühemõtteline tahteavaldus5. Teadliku nõusoleku saamiseks tuleb isikule anda informatsiooni
vähemalt iga töötlemisprotsessi ning kogutavate isikuandmete liigi kohta. Kui nõusolek antakse
kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on
muudest küsimustest selgelt eristatav. Näiteks otseturunduspakkumiste jaoks antud nõusolek ei
hõlma pikslite kaudu informatsiooni kogumist ega edasist töötlemist. Kui pakkumise saatmisega
kaasneb teine toiming – pikslite või sarnaste jälgimisseadmete lisamine e-kirjadesse – tuleb selle
jaoks võtta isikult eraldiseisev nõusolek.
Pikslite abil saadavate isikuandmete edasisele andmetöötlusele kohaldub IKÜM, mis tähendab,
et andmetöötleja peab teadma, millisel õiguslikul alusel (IKÜM art 6 lg 1 punktid a-f) andmeid
edasi töödeldakse peale kogumist. Juhul, kui andmetöötleja tugineb õigustatud huvile (IKÜM art
6 lg 1 punkt f), tuleb selleks eelnevalt läbi viia nõuetekohane huvide kaalumine (õigustatud huvi
analüüs). Näiteks peab andmetöötleja suutma põhjendada, et tema huvi teada saada, kas ja mitu
korda klient e-kirja avab, kaalub üles kliendi eraellu sekkumise.
Lisaks juhime tähelepanu, et isikuandmete töötlemine peab olema seotud selgelt
kindlaksmääratud ja õiguspärase eesmärgiga6 ning andmeid tohib koguda nii vähe kui võimalik
kindla eesmärgi saavutamiseks7. Igaks juhuks andmete kogumine ei ole lubatud.
Eelnevast tulenevalt tuleb Teil pikslite kasutamine viia e-privaatsuse direktiivist ja IKÜM-st
tulenevate nõuetega vastavusse või loobuda pikslite kasutamisest.
Lugupidamisega
Kirsika Lääts
jurist
peadirektori volitusel
3 Euroopa Andmekaitsenõukogu arvamus 5/2019, p 40. 4 Euroopa Andmekaitsenõukogu. Suunised 2/2023 e-privaatsusdirektiivi art 5 lg 3 tehnilise kohaldamisala kohta, ver
2.0, 7. oktoober 2024 - https://www.edpb.europa.eu/system/files/2024-
10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf 5 IKÜM art 4 lg 11, art 7. 6 IKÜM art 5 lg 1 punktis b on sätestatud eesmärgi piirangu põhimõte. 7 IKÜM art 5 lg 1 punktis c on sätestatud minimaalsuse põhimõte.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|