Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp Riin Teugijas

KVARK

[email protected]

Teie 10.03.2025 Meie 24.03.2025 nr 2.2-9/25/770-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles kirjutate: Kuidas tohib konkursi jaoks küsida laste (vanuses 14-17 ) andmeid - nime, meili ja/või telefoninumbrit. Konkursi üks voor on selline, kus lastel on võimalik mängida mäng või täita viktoriin ja siis parimad pääsevad edasi järgmisesse vooru. Selleks, et saaksime osalejatele märku anda, kes edasi jõudsid on vaja koguda nende nime meili ja/või telefoninumbrit. Kas nende andmete jaoks on vaja vanema luba ja kui siis kuidas seda luba peab küsima? Kas piisab, kui on täidetud kast linnukesega jah, vanem on andnud oma nõusoleku.

Teadmata kõiki asjaolusid, sh kes isikuandmeid töötleb, kas andmeid avaldatakse jne, siis peame

vajalikuks selgitada isikuandmete töötlemise üldiseid põhimõtteid, mida isikuandmete töötlejal

tuleb jälgida ning seejärel soovitusi, kust Te saaksite informatsiooni ning ka abi edasiste

toimingute tegemiseks.

Nimelt, isikuandmete (sh ka alaealiste kohta käivate isikuandmete) töötlemisel peaks olema selleks

isikuandmete kaitse üldmääruse (IKÜM) artiklist 6 või isikuandmete kaitse seaduse

paragrahvidest 4-7 tulenev alus. Isikuandmete töötlemine on andmetega tehtav mistahes toiming:

kogumine, korrastamine, säilitamine, muutmine, lugemine, kasutamine, edastamine, ühendamine,

kustutamine jne1. Kui õiguslik alus andmetöötluseks puudub, siis andmeid töödelda (s.h koguda,

edastada) ei tohi.

IKÜM sätestab2, et isikuandmete töötlemine peab olema seaduslik ja inimesele läbipaistev; samuti

tohib isikuandmeid koguda üksnes kindlaksmääratud õiguspärastel eesmärkidel3 ning koguda

tuleb eesmärgi seisukohalt võimalikult vähe andmeid4. Seda, millisel õiguslikul alusel ja

eesmärgil andmetöötlust läbi viiakse, peab selgitama ja tõendama andmetöötleja ehk

KVARK ise.5

Märgime, et alaealiste nimi, e-postiaadress, telefon jne andmed on isikuandmed. Üldjuhul

saab isikuandmete töötlemine toimuda tõesti ainult alaealise seadusliku esindaja nõusolekul. Kui

töötlemine toimub nõusoleku alusel, siis see, et nõusolek tuleks võtta üpriski paljudelt isikutelt, ei

ole aluseks nõusoleku võtmata jätmiseks. Nõusolek peab olema vabatahtlik, konkreetne ja

ühemõtteline.6 Nõusolek peab olema antud aktiivsete sammude astumisega, nt jah/ei vastus,

linnukese tegemine kastis vms. Eeltäidetud kastikesi nõusoleku vormil olla ei või, vaikimisi antud

1 Vt üldmääruse art. 2 lg 2 p. a ja b; direktiivi art. 2 lg 3 p. a 2 IKÜM art 5 lg 1 p a 3 IKÜM art 5 lg 1 p b 4 IKÜM art 5 lg 1 p c 5 IKÜM art 5 lg 2 6 IKÜM art 7

2 (2)

nõusolekut ei loeta IKÜM-i kohaseks nõusolekuks. Nõusoleku võtmisel tuleb andmesubjekti

teavitada ka õigusest nõusolek igal ajal tagasi võtta. Nõusoleku olemasolu tõendamise kohustus

vaidluse korral on andmetöötlejal, mistõttu on AKI soovitanud võtta nõusolek võimalusel

andmetöötlejal endal, nt lasta täita osalemissoov otse lapsevanemal, kus vanem saab otsustada ka

selle, kas ta annab nõusoleku konkreetseks töötlemiseks (s.h avaldamiseks, edastamiseks vms)

või mitte.

Oluline on teada, et üldmäärus kohustab andmetöötlejal avalikustama oma

andmekaitsetingimused.7 Seega andmekaitsetingimused on väljapoole avaldatav info, mis võiks

töötlejal olla näiteks oma võrgulehel. Üldine põhimõte on, et see peab olema hõlpsasti kättesaadav.

Seda, mida andmekaitsetingimused peavad sisaldama läbipaistvuse tagamiseks, leiab täpsemalt

juba Isikuandmete töötlemise üldjuhendist alates lk 43, peatükk 10.

Hoolimata õiguslikust alusest isikuandmete töötlemisel, tuleks andmetöötlejal siiski lähtuda

minimaalsuse põhimõttest ja alaealiste huvidest (s.h kas kogutud andmed peavad olema

googeldatavad vms). Eraelulisi põhjusi, miks ei soovita oma nime avaldamist sotsiaalmeedias vms,

võib olla mitmeid. Seetõttu tuleb inimese otsust austada. Nõusolekut saabki iga hetk tagasi võtta

ja seda tuleb aktsepteerida. Nõusoleku tagasivõtmine aga ei mõjuta eelnevat nõusoleku alusel

toimunud andmete töötlemist.

Seega tuleb andmetöötlejal isikuandmete töötlemisel lähtuda sellest, kas on olemas nõusolek

(alaealise puhul tema seadusliku esindaja antud nõusolek) või mõni muu õiguslik alus. Samuti

peab näiteks isikuandmete avalikustamise eesmärk olema kooskõlas avaldamise ulatusega.

Andmetöötlusel peab lähtuma muuhulgas nii minimaalsuse, eesmärgipärasuse ka asjakohasuse

põhimõttest.

Seda, kuidas tehniliselt isikuandmeid töödeldakse, tuleb samuti andmetöötlejal endal teada ning

tagada igati kohane ning turvaline isikuandmete töötlemine. Lõppkokkuvõttes vastutab

andmetöötleja ise, kuidas isikuandmeid töödeldakse ning milliseid samme on ette võetud lubamatu

töötlemise vältimiseks (sh igasugused andmelekked jne). Andmetöötlejal tuleb enne

andmetöötlust mõelda läbi sammud alates andmete kogumisest kuni nende kustutamiseni.

Rohkem informatsiooni isikuandmete töötlemisest on leitav Andmekaitse Inspektsiooni veebilehel

isikuandmete rubriigis. Andmekaitse ABC õppevideod on koondatud siia. Abiks on kindlasti ka

AKI andmehääling, kus oleme proovinud isikuandmete töötlemise teemasid võimalikult lihtsasti

avada:

a) Andmetöötlustoimingute ülevaade- miks see on iga organisatsiooni jaoks vajalik?;

b) Mõjuhinnang: tüütu kohustus või elupäästev tööriist?

c) Noored, veebikäitumine ja andmekaitse;

d) Kõik episoodid loetleus.

Kui Teil on vaja õigusnõu ja/või seisukohta lähtuvalt konkreetsetest asjaoludest ning

töödeldavatest andmetest, siis soovitame pöörduda õigusnõustajate (advokaadid, juristid) poole,

kes saavad Teid muuhulgas abistada protsesside kaardistamisel ning vajaliku korrektse

dokumentatsiooni koostamisel.

Loodan, et minu selgitustest on abi.

Lugupidamisega

Liina Kroonberg

jurist

peadirektori volitusel

7 Isikuandmete kaitse üldmääruse artikkel 12 punkt 1.