| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/1096-2 |
| Registreeritud | 24.04.2025 |
| Sünkroonitud | 25.04.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Integratsiooni Sihtasutus |
| Saabumis/saatmisviis | Integratsiooni Sihtasutus |
| Vastutaja | Anu Suviste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim 2) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Liilika Raudhein
Integratsiooni Sihtasutus
Teie 07.04.2025 Meie 24.04.2025 nr 2.2-9/25/1096-2
Vastus selgitustaotlusele
Pöördusite Andmekaitse Inspektsiooni (AKI) poole küsimustega Integratsiooni Sihtasutuse
ülesannete täitmisega seotud isikuandmete töötlemise kohta.
Esmalt vabandan vastuse viibimise pärast. Ühtlasi selgitan, et Andmekaitse Inspektsioon ei saa
selgitustaotlusele vastates anda konkreetsele juhtumile siduvat õiguslikku hinnangut või
konkreetsele küsimusele ammendavat vastust. Inspektsiooni kohustus on anda õigusalaseid selgitusi
vastavalt oma pädevusvaldkonnale.
Isikuandmete kaitse üldmääruse1 (IKÜM) järgi on isikuandmeteks igasugune teave, mis võimaldab
füüsilise isiku otseselt või kaudselt tuvastada ning isikuandmete töötlemiseks loetakse
isikuandmetega tehtavat mistahes toimingut. Seega tuleb isikuandmete töötlemiseks lugeda
sihtasutuse poolt oma ülesannete täitmisel isikut tuvastada võimaldavate andmete töötlemist
mistahes viisil või vahendite abil, sh ka telefoni teel nõustamisel või e-kirjaga teavet väljastades.
Andmekaitse põhimõtteid ei pea kohaldama anonüümse teabe suhtes, mis ei ole seotud tuvastatud
või tuvastatava inimesega, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil,
et inimest ei ole võimalik tuvastada.
IKÜM-i kohaselt peab igasuguseks isikuandmete töötlemiseks olema õiguslik alus ning töötlemine
peab olema kooskõlas IKÜM artiklis 5 sätestatud isikuandmete töötlemise põhimõtetega. Nende
põhimõtete täitmise eest vastutab ja peab olema võimeline nende täitmist tõendama isikuandmete
vastutav töötleja ehk sihtasutus. Selles osas, mil andmetöötlus ei vasta täielikult IKÜM artikkel 5
lõikes 1 sätestatud põhimõtetele, on andmetöötlus keelatud.
IKÜM artikli 5 lõikes 1 sätestatud põhimõtete kohaselt peab andmetöötlus vastama seaduslikkus
põhimõttele. See tähendab, et isikuandmete töötlemiseks peab olema artikli 6 lõikes 1 ning
eriliigiliste isikuandmete puhul lisaks artikli 9 lõikes 2 sätestatud õiguslik alus. Teatud IKÜM
õiguslikele alustele lisandub ka siseriiklikus õiguses sätestatud regulatsioon. Sihtasutus on
eraõiguslik juriidiline isik, kuid teatud juhul, näiteks kui asutus täidab avalikku ülesannet, laienevad
sihtasutusele ka avaliku sektori asutustele kohalduvad normid2.
Riigikohus3 on selgitanud, et isikuandmete töötlemiseks õigusliku aluse olemasolu ei tähenda siiski
seda, et isikuandmete töötlemine on igal konkreetsel juhul õiguspärane. Töötlemine kui toiming
peab olema õigusliku alusega ka kooskõlas. Teisisõnu, lisapiirangud võivad tuleneda õiguslikust
alusest enesest ja IKÜM artiklis 5 sätestatud töötlemise põhimõtetest, sealhulgas eesmärgipärasuse
ja võimalikult väheste andmete kogumise ehk minimaalsuse põhimõttest. Artiklis 5 sätestatud
1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete
töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta 2 Näiteks avaliku teabe seadus (vt § 5), haldusmenetluse seadus jne. 3 RKHKo 26.09.2022 nr 3-20-1449 p 24
2 (2)
põhimõtteid tuleb hinnata koostoimes IKÜM artiklites 6 ja 9 sätestatud „vajalikkuse“ kriteeriumiga.
See tähendab, et konkreetsete isikuandmete töötlemine peab olema „vajalik“ kõnealuses aluses
sätestatud eesmärgil töötlemiseks.
Ühtlasi on andmetöötleja kohustus tagada, et andmed oleksid õiged ja ajakohased ning neid
töödeldakse turvalisel viisil. Muu hulgas tuleb andmetöötlejal tagada, et välistatud oleks
isikuandmete loata või ebaseaduslik töötlemine ning nende juhuslik kaotamine, hävitamine või
kahjustumine4. Selleks peab andmetöötleja valima andmetöötluseks asjakohased tehnilised ja
korralduslikud meetmed. Andmetöötleja peab hindama kõiki isikuandmete töötlemisega seotud ohte
ja vastavalt sellele rakendama ohte leevendavaid meetmeid5. Töötlemise turvalisuse tagamisel tuleb
arvesse võtta isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva
tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele ning valima sellele vastavad
lahendused6, mis sageli ongi erinevate võimalustega, sh vajaliku turvatasemega. Näiteks võib tuua
pangateenuste kasutamise. Telefoni teel saab isik pangast ainult üldisemat teavet ja pangateenuseid
kasutada väga piiratud ulatuses, enamate toimingute tegemiseks tuleb inimesel oma isikut
tuvastades siseneda turvalisse veebikeskkonda (internetipanka), kuid on ka toiminguid, milleks
inimene peab füüsiliselt koos isikut tõendava dokumendiga pangakontorisse kohale minema. IKÜM
artikli 9 lõikes 1 loetletud eriliigilised isikuandmed, sh näiteks terviseandmed, on oma olemuselt
põhiõiguste ja - vabaduste seisukohast eriti tundlikud ning väärivad seetõttu erilist kaitset, sest nende
töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Seetõttu nõuab selliste
isikuandmete töötlemine kõrgema turvastandardi järgimist ning seega tuleks näiteks e-kirja teel
isiku terviseandmeid edastada õigustatud isikule krüpteeritult.
Teie pöördumises käsitletud isikusamasuse tuvastamise küsimus on tihedalt seotud isikuandmete
kaitse nõuete täitmisega, eelkõige turvalisuse tagamisega. Ei saa nõustuda seisukohaga, et isiku
tuvastamiseks on vajalik juurdepääs rahvastikuregistrile ning isikut tõendavat dokumenti küsida ei
tohi. Vastupidi, isikut tõendavate dokumentide seaduse7 (ITDS) kohaselt on isikut tõendav
dokument isiku tõendamiseks ettenähtud dokument ning digitaalseks isiku tõendamiseks ettenähtud
dokument on elektroonilises keskkonnas isiku tõendamiseks ja isikusamasuse kontrollimiseks
ettenähtud dokument. Rahvastikuregister ei ole isiku tõendamiseks või isikusamasuse tuvastamiseks
mõeldud vahend8 ning rahvastikuregistri andmete alusel ei ole võimalik isikusamasust kontrollida.
Telefoni teel nõustamisel on isiku tuvastamine vägagi komplitseeritud ning inspektsioon ei saa anda
reegleid, millise info küsimine on selleks sobiv. Pigem peab asutus sellisel juhul hindama, milliseid
teenuseid või millises ulatuses on telefoni teel otstarbekas osutada (vt panga näidet eelpool). Isikut
tõendava dokumendi küsimine ja selle andmete põhjal isikusamasuse kontrollimine, samuti
digiallkirjastatud dokumendi nõudmine on igati põhjendatud, kui ülesande täitmine või toimingu
tegemine eeldab isiku tuvastamist. Näiteks ei pruugi see vajalik olla üldises küsimuses e-kirjaga
saadetud päringu puhul, millele saab ka üldiselt ja isikustamata teabega vastata. Kuid näiteks
avalduse alusel haldusmenetluse läbiviimiseks on isiku tuvastamine vajalik.
Kokkuvõttes peab asutus oma töö korraldama selliselt, et asutusele pandud ülesannete täitmisel
kasutatakse selle eesmärgi täitmiseks vajaliku andmetöötluse jaoks sobivaid viise ja vahendeid.
Loodame, et meie selgitustest on abi.
Lugupidamisega
Anu Suviste
jurist
peadirektori volitusel 4 IKÜM art 5 lg 1 punkt f 5 IKÜM põhjenduspunkt 83 6 IKÜM art 32 lg 1 ning vt lisaks ka lõimitud ja vaikimisi andmekaitse IKÜM art 24 7 Vt ITDS §§-d 2-4. 8 Vt rahvastikuregistri pidamise eesmärk rahvastikuregistri seaduse § 4
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|