| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/976-2 |
| Registreeritud | 10.04.2025 |
| Sünkroonitud | 11.04.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Ronimisliit |
| Saabumis/saatmisviis | Eesti Ronimisliit |
| Vastutaja | Grete-Liis Kalev (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Kristjan-Erik Suurväli
Eesti Ronimisliit
Teie 26.03.2025 nr Meie 10.04.2025 nr 2.2-9/25/976-2
Vastus selgitustaotlusele
Pöördusite Andmekaitse Inspektsiooni poole küsimusega, mis puudutab isikuandmete kogumist
ronimisintsidentide registreerimisel. Oluline on rõhutada, et järelevalveasutusena saame
selgitustaotlusele vastates anda üldise teoreetilise selgituse isikuandmete kaitse reeglitest, kuid ei
anna õiguslikku hinnangut kirjeldatud asjaoludele.
Esmalt, igasuguseks isikuandmete töötlemiseks on vaja õiguslikku alust. Õiguslikud alused on
sätestatud isikuandmete kaitse üldmääruse (IKÜM) artiklis 6 lõikes 1 ning eriliiki isikuandme
puhul artiklis 9 lõikes 2. Lisaks õiguslikule alusele peab andmetöötleja alati järgima isikuandmete
kaitse põhimõtteid, mis tulenevad IKÜM artiklist 5.1 Pöördumises olete selgitanud, et kogute
andmeid nõusoleku põhiselt. Nõusoleku puhul on oluline meeles hoida, et nõusolek peab olema
vabalt antud, konkreetne, teadlik ja ühemõtteline (IKÜM artikkel 4 p 11). Lisaks saab inimene
antud nõusoleku igal hetkel tagasi võtta. Peale nõusoleku tagasivõtmist tuleb isikuandmete
töötlemine lõpetada, kui muud õiguslikku alust edasiseks töötlemiseks ei ole. Nõusolekust oleme
pikemalt kirjutanud üldjuhendi 9. peatükis.2
Teie sooviks on koguda intsidentidega seotud andmeid, mis sisaldavad andmeid ka inimese
tervisliku seisundi kohta. Terviseandmed oma olemuselt kuuluvad eriliiki isikuandmete hulka.
Eriliiki isikuandmeid peab töötlema erilise hoolega, sest võimalik privaatsuseriive on suurem ning
selliste tundlike andmete kasutamisel võib olla inimestele märkimisväärne kahjulik mõju.
Kirjaga koos edastatud vormis palute esitada üsna täpseid andmeid, sh kas isikul võis vigastuse
tagajärjelt tekkida puue. Seetõttu soovitan enne andmetöötluse alustamist koostada
andmekaitsealane mõjuhinnang, kus kirjeldate täpselt ära, milliseid isikuandmeid töötlema
hakkate, mis on sellise töötlemise eesmärgid ja õiguslikud alused, kuidas maandate riske, mis
seonduvad isikuandmete töötlemisega jne, kui Te soovite koguda terviseandmeid. 3 Mõjuhinnang
annab hea arusaama, kui palju ja mil määral on üldse vajalik isikuandmeid koguda. Lisaks
mõjuhinnangule peaksite kindlasti koostama andmekaitsetingimused4 nii nagu pöördumises olete
märkinud ja andmetöötlustoimingute ülevaate.5 Mõlemad dokumendid on olulised, et tagada
andmetöötluse läbipaistvus nii inimese jaoks kui ka organisatsioonis sees.
1 Andmetöötluse põhimõtted | Andmekaitse Inspektsioon 2 Andmekaitse Inspektsioon. Andmetöötleja üldjuhend, 9. ptk. 9. peatükk. Nõusoleku küsimine | Andmekaitse
Inspektsioon 3 Andmekaitse Inspektsioon. Andmetöötleja üldjuhend, 5. ptk. 5. peatükk. Andmekaitsealane mõjuhinnang |
Andmekaitse Inspektsioon 4 Andmekaitsetingimuste koostamisest | Andmekaitse Inspektsioon 5 AKI andmehääling. Andmetöötlustoimingute ülevaade – miks see on iga organisatsiooni jaoks hädavajalik?
Andmetöötlustoimingute ülevaade – miks see on iga organisatsiooni jaoks hädavajalik? | Andmekaitse Inspektsioon
2 (2)
Pakute välja ühe alternatiivina, et eraldate intsidendi kirjeldusest isikuandmed, määrates intsidendi
numbri ja eraldi baasis numbrile vastava isiku. Seejuures märgite, et isikuandmeid vajate üksnes
intsidendi asjaolude täpsustamiseks. Sellisel juhul on ikkagi vaja isikuandmete töötlemiseks
õiguslikku alust, kuna isikuandmed ei ole mitte anonümiseeritud, vaid pseudonümiseeritud, sest
Teile jääks ikkagi võimalus viia kokku intsident konkreetse isikuga. Pseudonümiseeritud andmed
on isikuandmed, mida saab täiendavat teavet kasutades seostada konkreetse füüsilise isikuga.
Anonümiseerimine tähendab seda, et isikuandmed viiakse kujule, kus isik ei ole enam otseselt ega
kaudselt tuvastatav; anonümiseeritud andmeid ei saa viia tagasi isikut tuvastavale kujule. Seetõttu
soovitan hoolikalt läbi mõelda, mis andmeid tegelikkuses on vaja, et arendada ronimisspordi
turvalisust.
Kirja juurde lisatud vormi viimases osas soovite küsida kõigi intsidendis osalenute
kontaktandmeid. Teise isiku isikuandmeid ei ole lubatud edastada kolmandale isikule, kui selleks
puudub õiguslik alus. Seega sarnaselt organisatsiooni poolt andmete kogumisega, peab ka teiste
inimeste isikuandmete jagamisel vormi täitja tagama, et tal on selleks õiguslik alus, milleks saab
ilmselt olla vigastatu nõusolek. Vastasel juhul võib tekkida olukord, kus näiteks kõrvalseisja
soovib intsidenti raporteerida, kuid vigastatu tegelikkuses seda ei soovi ning võib tekkida vaidlus,
kas isikuandmete töötlemine oli õiguspärane või mitte.
Soovite teada ka andme- ja infoturbe kohustuste kohta. Vastutaval töötlejal on IKÜM artiklist 24
ja 32 tulenevad kohustused võtta kasutusele asjakohaseid tehnilisi ja korralduslikke meetmeid, et
tagada ja suuta tõendada isikuandmete töötlemist kooskõlas IKÜM-ga ning tagada isikuandmete
töötlemise turvalisus. Samuti tuleks rakendada lõimitud ja vaikimisi andmekaitset.6 Seeläbi on
vastutava töötleja ülesanne valida teenusepakkujad ja platvormid, mis järgivad andmekaitse
reegleid ning kasutavad asjakohaseid meetmeid isikuandmete õiguspäraseks ja turvaliseks
töötlemiseks. IKÜM-s ei ole sätestatud, mis meetmeid täpselt peab kasutusele võtma, kuid oleme
koostanud mõned soovitused7 ja avanud teemat taskuhäälingus.8 Lisaks viidatud soovitustele
tuleks kindlasti andmetele ligipääsusid logida ja reguleerida, kes pääseb kogutud isikuandmetele
ligi, kui kaua andmeid säilitatakse, kellel võidakse neid edastada jms.
Kokkuvõtlikult soovitan üle hinnata vormis küsitavate andmete vajalikkus ja eesmärk, sest
isikuandmeid on lubatud koguda üksnes ulatuses, mis on vajalik konkreetse õiguspärase eesmärgi
saavutamiseks. Näiteks, kas isikuandmeid on üldse vaja koguda soovitud eesmärgi saavutamiseks.
Seejuures peab andmetöötleja alati suutma põhjendada, miks tal on just neid konkreetseid andmeid
vaja ning mis on nende andmete kogumise õiguslik alus.
Loodan, et vastusest on abi ning täiendavate küsimuste korral oleme nõus kokku leppima
kohtumise.
Lugupidamisega
Grete-Liis Kalev
jurist
peadirektori volitusel
6 Euroopa Andmekaitse Nõukogu suunised 4/2019 artikli 25 kohta, vastu võetud 20. oktoobril 2020. Lõimitud ja
vaikimisi andmekaitse | Andmekaitse Inspektsioon 7 Milline on turvalisuse ahela nõrgim lüli? | Andmekaitse Inspektsioon 8 Infoturve ja sellega kaasaskäivad eksimused | Andmekaitse Inspektsioon
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|