| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/25/657-2 |
| Registreeritud | 05.03.2025 |
| Sünkroonitud | 06.03.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Võrumaa Haridus- ja Tehnoloogiakeskus |
| Saabumis/saatmisviis | Võrumaa Haridus- ja Tehnoloogiakeskus |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Merle Tolk
Võrumaa Haridus- ja Tehnoloogiakeskus
Teie 26.02.2025 Meie 05.03.2025 nr 2.3-8/25/657-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles soovite selgitusi isikuandmete töötlemise
kohta, et tagada koolis kehtivate andmekaitse põhimõtete nõuetekohane järgimine. Palute
selgitada, millisel alusel kool mitmel juhul isikuandmeid töödelda (sh milline on õiguslik alus
õpilaste terviseandmete töötlemiseks, millisel alusel toimub andmete edastamine teistele
asutustele jne).
Teadmata, kuidas on selles koolis isikuandmete töötlemine paika pandud, siis selgitan esmalt, et
inspektsioon järelevalveasutusena ei osuta õigusabi ehk siis ei saa anda menetluse väliselt
hinnanguid, sh veel enam kõiki asjaolusid teadmata. Õigusabiga on tegemist siis, kui antakse
mingite konkreetsete eluliste asjaolude osas õiguslik hinnang. Inspektsioon saab anda
õigusalaseid selgitusi enda pädevuse piires. Õigusalaste selgituste andmisega on tegemist siis,
kui selgitatakse mingi konkreetse seaduse, konkreetse paragrahvi, konkreetse lõike, konkreetse
punkti sisu ja tähendust.
Teisalt pean vajalikuks selgitada lühidalt mõningaid isikuandmete töötlemise põhimõtteid. Nimelt
on oluline teada, et vastutav töötleja (sh kool) peab isikuandmete töötlemisel järgima isikuandmete
kaitse üldmääruses (IKÜM) sätestatud põhimõtteid (sh läbipaistvus ja eesmärgipärasus),
vastutama nende põhimõtete täitmise eest ja olema võimeline nende täitmist tõendama1.
Eelviidatud põhimõtete juurde kuulub ka kohustus töödelda isikuandmeid viisil, mis tagab
isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest
ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või
korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“2).
Seda, millisel õiguslikul alusel ja eesmärgil andmetöötlust igal konkreetsel juhul läbi viiakse,
peab alati selgitama ja tõendama iga andmetöötleja ise.3 Inspektsioon ei saa asuda järelevalve
asutusena andmetöötleja eest tema ülesandeid täitma, sh analüüsima igas olukorras
andmetöötlejate õiguseid andmeid töödelda. Saab öelda, et kui andmetöötleja ei oska selgitada,
millisel alusel ta andmeid töötleb, siis ei tohi neid andmeid töödelda (sh koguda, edastada vms).
Isikuandmete töötlemise aluste ammendav loetelu on välja toodud IKÜM artiklis 6 ning
eriliigiliste isikuandmete (mida terviseandmed on) töötlemise alused artiklis 9. Kui õiguslik alus
puudub, siis andmeid töödelda ei tohi. Üldmäärus sätestab4, et isikuandmete töötlemine peab
olema seaduslik ja andmesubjektile läbipaistev (sh peab andmetöötlejal olema andmetöötlusest
1 IKÜM artikkel 5 lõige 1 ja 2. 2 IKÜM artikkel 5 lõige 1 punkt f. 3 IKÜM artikkel 5 lõige 2. 4 IKÜM artikkel 5 lõige 1 punkt a.
2 (2)
ülevaade, koostatud korrektsed andmekaitsetingimused jne); samuti tohib isikuandmeid koguda
üksnes kindlaksmääratud õiguspärastel eesmärkidel5 ning koguda eesmärgi seisukohalt
võimalikult vähe andmeid6.
Mis puudutab terviseandmete töötlemist, siis selgitan, et terviseandmed on füüsilise isiku füüsilise
ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad
andmed, mis annavad teavet tema tervisliku seisundi kohta. Terviseandmed kuuluvad eriliigiliste
isikuandmete alla, mille töötlemine on keelatud v.a juhul, kui kehtib üks IKÜM artiklis 9 lg 2
asjaoludest. Koolil tuleb endal selgeks teha, milliseid andmeid on tal õigus oma tegevuse tarbeks
töödelda (sh koguda, säilitada).
Olukorras kus kooli poole pöördub kohaliku omavalitsuse spetsialist, töötukassa vms isik, siis ei
tohi andmeid väljastada ilma, et selleks oleks õiguslikku alust. Kui kool ei tea, millisel alusel
temalt andmeid küsitakse, siis tuleb tal pöörduda andmete küsija poole (sh olgu selleks kas mõni
KOV spetsialist või muu asutuse esindaja) ja paluda selgitada millisel õiguslikul alusel andmeid
soovitakse saada. Kui andmete küsija ja kool ei tea milline on õiguslik alus, siis ei tohi andmeid
edastada. Kool vastutab ebaseadusliku andmetöötluse eest, sh kui edastab õigustamatult
isikuandmeid, sh terviseandmeid kolmandatele isikutele.
Kokkuvõtvalt selgitan, et seda, kas koolil on õigus viidatud andmeid töödelda, saab ja peab
selgitama kool ise. Kui alus andmetöötluseks puudub, siis ei tohi andmeid töödelda. Kui Teil on
vaja konkreetset õiguslikku seisukohta lähtuvalt konkreetsetest asjaoludest, siis soovitame
pöörduda esmalt näiteks Haridus-ja Teadusministeeriumi poole, kes on Äriregistri andmetel kooli
kõrgemalseisev asutus ning kes peab tagama oma haridusasutustes lisaks kohasele haridusteenuse
osutamisele ka kohase muude seaduste täitmise, sh isikuandmete kaitse üldmääruse.
Andmekaitsespetsialisti kontaktandmed leiab äriregistrist.
Asjakohaseid selgitusi isikuandmete töötlemisest leiate Andmekaitse Inspektsiooni veebilehelt, sh
korduma kippuvate küsimuste rubriigist. Samuti on Teil võimalus selgitusi küsida AKI
nõuandetelefonilt +372 5620 2341. Nõuandetelefonile saab helistada esmaspäevast neljapäevani
vahemikus 13.00-16.00.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist
peadirektori volitusel
5 IKÜM artikkel 5 lõige 1 punkt b. 6 IKÜM artikkel 5 lõige 1 punkt c.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|