| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/300-2 |
| Registreeritud | 06.02.2025 |
| Sünkroonitud | 07.02.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Astro Baltics |
| Saabumis/saatmisviis | Astro Baltics |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Margret Siilbaum
Astro Baltics
Teie 27.01.2025 Meie 06.02.2025 nr 2.2-9/25/300-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles soovite üldiseid selgitusi
isikuandmete kaitse üldmääruse (IKÜM) ja andmekaitse kohta ettevõtluses. Nimelt küsite:
Millised järgnevatest andmetest, mida kogume füüsilistest isikutest klientidelt, kuuluvad GDPR
mõistes isikuandmete alla ja peame kustutama/muutma mitteidentifitseeritavaks juhul, kui meilt
seda palutakse? a. Nimi, b. Isikukood, c. Telefoninumber, d. E-posti aadress, e. Aadress, f.
Ettevõtte nimi ja ametikoht, g. Arveldusarve andmed, h. Päringute tekstid. Millised
andmekaitsemäärused kohalduvad juriidilistele isikutele? Milline peaks olema säilitustähtaeg
andmetele, mis ei ole seotud raamatupidamisseadusest tulenevate piirangutega?
Selgitan vastuseks Teie esimesele küsimusele, et isikuandmed on kõik andmed üksikuna või
kogumis, mille kaudu inimene on otseselt või kaudselt äratuntav, näiteks nimi, isikukood,
asukohateave, võrguidentifikaatorid, samuti füüsilised, geneetilised, vaimsed, majanduslikud,
kultuurilised ja mistahes muud tuvastamist võimaldavad tunnused ja nende
kombinatsioonid1. Ehk siis kui inimene on tuvastatav läbi mingite parameetrite, siis saab neid
andmeid lugeda isikuandmeteks.
Isikuandmete kaitse reeglid ei kehti kui teave ei võimalda isikut mõistlike pingutustega
tuvastada2. Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub
eraelu ning seega ka isikuandmed, seetõttu ei kohaldu ka andmekaitsereeglid.
Vastuseks Teie teisele küsimusele selgitan, et isikuandmete kaitse nõuded Eestis on sätestatud
peamiselt Isikuandmete kaitse üldmääruses (IKÜM või inglise keeles ka GDPR) ning
isikuandmete kaitse seaduses aga kohustusi võib ka muudest seadustest tulla. See olenebki juba
sellest, millega ettevõte tegeleb ning milliseid andmeid kogub.
IKÜM3 sätestab, et isikuandmete töötlemine peab olema seaduslik ja andmesubjektile
läbipaistev; samuti tohib isikuandmeid töödelda (sh koguda, säilitada jne) üksnes
kindlaksmääratud õiguspärastel eesmärkidel4 ning koguda tuleb eesmärgi seisukohalt
võimalikult vähe andmeid5. Isikuandmete töötlemise õiguslike aluste loetelu on sätestatud IKÜM
artiklis 6. Seda, millisel õiguslikul alusel ja eesmärgil andmetöötlust läbi viiakse, peab IKÜM-i6
kohaselt selgitama ja tõendama iga andmetöötleja ise vastavalt töödeldavatele andmetele.
1 Vt üldmääruse art. 4 p.1; direktiivi art. 3 p. 1. 2 Vt üldmääruse põhjenduspunkt 26 ja 57 ning art. 11; direktiivi pp. 21. 3 IKÜM art 5 lg 1 p a 4 IKÜM art 5 lg 1 p b 5 IKÜM art 5 lg 1 p c 6 IKÜM art 5 lg 2
2 (3)
Kui õiguslik alus isikuandmete töötlemiseks puudub, siis andmeid töödelda (sh koguda, edastada,
salvestada vms) ei tohi. Niisama igaks juhuks andmeid töödelda, sh koguda, eesmärgiga, et ehk
hiljem on tarvis, ei ole samuti lubatud.
Vastuseks Teie kolmandale küsimusele selgitan, et andmete säilitamise tähtaja määramisel peab
järgima nii minimaalsuse kui eesmärgipärasuse nõudeid, kuid ka erinevatest seadustest tulenevaid
reegleid olenevalt kogutavatest andmetest. Säilitamiseks peab olema konkreetne põhjus ja ükski
isikuandmete hulk ei tohi olla igavene. Üldise printsiibi järgi peaks andmete säilitamine olema
minimaalne ehk andmed kustutatakse kohe kui eesmärk on täidetud. Kui osutub vajalikuks
andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne põhjendatud aeg,
kaua andmeid säilitatakse (näiteks raamatupidamisest tulenev säilitustähtaeg).
Isikul on õigus andmetöötleja poole pöörduda järgmiste taotlustega:
- nõuda võimalust oma andmetega tutvuda ehk siis saada teada, kuidas ja milliseid pöörduja
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
maksu- ja tolliamet, tervisekassa vms) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud
ning ettevõttega seotud isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjadesse
kirja panna ning andmesubjektidele tutvustada enne nende isikuandmete töötlemist.
- nõuda oma isikuandmete parandamist.
- nõuda oma isikuandmete kustutamist.
- nõuda oma isikuandmete töötlemise piiramist.
- nõuda oma isikuandmete ülekandmist.
Andmetöötlejal tuleb pöördumisele vastata 30 päeva jooksul ning anda vastus, kas isiku nõue
täidetakse või mitte. Keeldumist peab põhjendama ehk siis Teil tuleb selgitada, miks ja millisel
alusel Te neid mingeid isikuandmeid töötlete. Kui selgitusi ei anta või need ei ole selged ning
piisavad, siis saab andmesubjekt vajadusel pöörduda Andmekaitse Inspektsiooni.
Lisainformatsiooni saamiseks soovitame tutvuda Andmekaitse Inspektsiooni veebilehel avaldatud
korduma kippuvate küsimustega (KKK), samuti isikuandmete töötlemise üldjuhendiga, kus on
kirjas kõige olulisem, mida isikuandmete töötleja peab teadma. Samuti leiab informatsiooni
andmetöötleja vastutusest ning kohustustest isikuandmete töötlemisel siit.
Kui ettevõttel on vaja õiguslikku abi ja seisukohta lähtuvalt konkreetsetest asjaoludest ning
töödeldavatest andmetest, siis soovitame pöörduda õigusnõustajate (advokaadid, juristid) poole,
kes saavad aidata korrektse dokumentatsiooni koostamisel.
Samuti on andmetöötlejal võimalus tellida Andmekaitse Inspektsiooni uudiskiri, et olla kursis
andmetöötluse aktuaalsete uudistega. Uudiskirjaga saab liituda siit:
https://www.aki.ee/meist/teadlikkus/uudiskiri
Kokkuvõtteks selgitangi, et isiku pöördumise saamisel peate kustutama, piirama vms need
andmed, mille töötlemiseks puudub Teil õiguslik alus. Seda, millisel alusel andmetöötleja
andmeid kogub, peab rangelt teadma iga ettevõte ise. Oluline ongi teada, et kui nõudega (näiteks
kustutada) andmetöötleja poole pöördutakse ning ettevõte ei oska selgitada, millisel alusel ta neid
andmeid töötleb (nimi jne), siis tuleb need andmed koheselt kustutada.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist
3 (3)
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|