| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/25/848-3 |
| Registreeritud | 03.04.2025 |
| Sünkroonitud | 04.04.2025 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Annika Kaljula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim 2) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Heikki Mägi
Juhatuse liige
Frillice OÜ
Heikkimagi.com
Meie 03.04.2025 nr 2.2-10/25/848-3
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI, inspektsioon) sai märgukirja, mille kohaselt sai isik isiklikule e-
posti aadressile [email protected]´lt otseturustuspakkumise. Märgukirja saatja oli oma e-
posti aadressi jaganud vaid Frillice OÜ-le, mille rakenduse ta kunagi alla tõmmanud oli, kuid oli
selle ammu kustutanud. Isikule antud vastuse kohaselt oli tema e-posti aadress sattunud Heikki
Mägi isikliku brändi (heikkimagi.com) andmebaasi Frillice OÜ kaudu, kuna mõlemaid haldab üks
isik. Sealjuures ei olnud märgukirja saatja Frillice OÜ-le andmeid jagades teadlik, kui kaua ja
millisel eesmärgil tema isikuandmeid peale rakenduse kustutamist säilitatakse. Lisaks ei vastanud
andmetöötleja isiku päringule tähtaegselt.
Järgnevalt juhib AKI nii heikkimagi.com kui ka Frillice OÜ tähelepanu isikuandmete kaitse nõuete
täitmise vajalikkusele.
Vastavalt isikuandmete töötlemise põhimõtetele tuleb töötlemisel tagada, et andmetöötlus on
seaduslik, õiglane ja andmesubjektile läbipaistev (isikuandmete kaitse üldmäärus ehk IKÜM art
5 lg 1 p a). Selleks, et töötlemine oleks seaduslik, peab andmetöötleja veenduma, et iga
isikuandmetega tehtav töötlemistoiming on vastavuses õigusliku alusega (IKÜM art 6 lg 1 või
IKÜM art 9 lg 2), sealjuures vastutab isikuandmete töötlemise põhimõtete järgimise eest ja peab
olema võimeline selle täitmist tõendama vastutav töötleja (IKÜM art 5 lg 2). Läbipaistvuse
tagamiseks peab andmetöötleja teavitama andmesubjekti isikuandmete töötlemisest
kokkuvõtlikult, selgelt, arusaadavalt ja lihtsasti kättesaadavas vormis ning esitama
andmesubjektile artiklites 13 ja 14 osutatud teabe (IKÜM art 12 lg 1). Isikute päringutele tuleb
vastata esimesel võimalusel, kuid hiljemalt ühe kuu jooksul (IKÜM art 12 lg 3).
Andmekaitsetingimused
Isikutele andmekaitsealase teabe edastamiseks tuleb ettevõttel koostada ja avaldada
andmekaitsetingimused. AKI on isikute teavitamist selgitanud ka oma kodulehel.
Andmekaitsetingimustest peab selguma näiteks see, milline ettevõte isikuandmeid töötleb;
milliseid andmeid ning millisel eesmärgil töödeldakse; milline on andmete kogumise õiguslik
alus; milline on andmete säilitamise tähtaeg; milliseid andmeid, millistele kolmandatele
osapooltele ning millisel õiguslikul alusel edastatakse jne.
AKI kontrollis nii heikkimagi.com kui ka Frillice OÜ kodulehte. Heikkimagi.com veebilehel
puudusid andmekaitsetingimused, kuigi on ilmne, et kõnealusel veebilehel toimub isikuandmete
töötlemine (isikuandmeid kogutakse nii e-raamatu allalaadimise pakkumiseks (e-mail, eesnimi,
perekonnanimi), kontaktvormi kaudu ühenduse võtmise eesmärgil (nimi, e-mail, telefon jms) kui
2 (2)
ka e-poest kauba tellimisel.
Frillice OÜ kodulehel olid küll privaatsustingimused leitavad, kuid nendes tuvastas AKI mitmeid
puudusi – nt puudus teave isikuandmete töötlemise õigusliku aluse kohta (IKÜM art 13 lg 1 p c);
teave õigustatud huvide kohta (IKÜM art 13 lg 1 p d); isikuandmete säilitamise ajavahemik või
selle määramise kriteeriumid (IKÜM art 13 lg 2 p a); teave isikute võimaluste kohta oma õigusi
rakendada (IKÜM art 13 lg 2 p b) jt. Teave, mis puudutab isikuandmete vastuvõtjaid või
vastuvõtjate kategooriaid (IKÜM art 13 lg 1 p e) ei ole andmesubjektidele esitatud selgelt ja
läbipaistvalt (milliseid isikuandmeid, millisel õiguslikul alusel ja kellele konkreetselt edastatakse)
ning sisaldab ebamääraseid mõisteid (võime jagada, võime avaldada, Frillice OÜ kaasab
mõnikord jt).
Otseturustus
Otseturunduspakkumiste saatmist reguleerib elektroonilise side seadus (ESS). Vastavalt ESS §-le
1031 lõikele 1 on füüsilisest isikust sideteenuse kasutaja või kliendi elektrooniliste kontaktandete
kasutamine otseturustuseks lubatud üksnes eelneval nõusolekul. ESS § 1031 lg 3 kohaselt võib
juhul, kui füüsilisest või juriidilisest isikust ostja kontaktandmed on saadud seoses toote müügi või
teenuse osutamisega, kasutada neid ostjale samasuguste toodete või teenuste otseturustamiseks
juhul, kui:
1) ostjale antakse tema elektrooniliste kontaktandmete esmase kogumise ajal selge ja arusaadav
võimalus tasuta ja lihtsal viisil keelata oma kontaktandmete selline kasutamine;
2) ostjale antakse iga kord, kui tema elektroonilisi kontaktandmeid kasutatakse otseturustuseks,
selge ja arusaadav võimalus tasuta ning lihtsal viisil keelata oma kontaktandmete selline
kasutamine;
3) ostjal võimaldatakse oma õigust keeldumisele realiseerida elektroonilise side võrgu kaudu.
ESS §-le 1031 lg 4 p 2 järgi on elektrooniliste kontaktandmete kasutamine otseturustuseks keelatud
juhul, kui edastatud teave ei sisalda juhendit või teavet, mis võimaldab sideteenuse kasutajal,
kliendil või ostjal oma õigust keeldumisele realiseerida ning samuti ESS §-le 1031 lg 4 p 5 järgi
juhul, kui sideteenuse kasutaja, klient või ostja on keelanud oma elektrooniliste kontaktandmete
kasutamise otseturustuseks. Seega ei ole otseturustuspakkumiste saatmine lubatud, kui isik on
avaldanud soovi pakkumisi mitte saada või kui isikule ei ole antud iga kord reklaami saatmisel
selge ja arusaadav võimalus tasuta ning lihtsal viisil keelata oma kontaktandmete selline
kasutamine.
Kokkuvõte
Andmekaitse Inspektsioon juhib tähelepanu, et isikuandmete edastamine ühe ettevõtte
andmebaasist teise ilma õigusliku aluse ja eesmärgita ning ilma andmesubjekti sellest teavitamata
ei ole vastavuses isikuandmete kaitse üldmääruse nõuetega. Samuti ei ole otseturustuspakkumiste
saatmine füüsilisele isikule, kelle andmed on saadud teise ettevõtte andmebaasist, kooskõlas
elektroonilise side seaduse ega ka andmekaitsealaste nõuetega.
Eelnevast tulenevalt tuleb andmetöötlejal viia oma tegevus kooskõlla isikuandmete kaitse
nõuetega. Inspektsiooni kodulehelt on leitav isikuandmete töötleja üldjuhend.
Andmekaitsetingimuste osas leiab infot siit. Ühtlasi on AKI-l lähiajal (aprill 2025) valmimas uus
juhend „Turvaline e-pood“, mille kohta leiate täpsemat infot peagi meie kodulehelt.
Käesolevale tähelepanu juhtimisele Andmekaitse Inspektsioon vastust ei oota.
Lugupidamisega
Annika Kaljula
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|