Märgukiri

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Lp Autode Müügi- ja

Teenindusettevõtete Eesti Liit

Lp Autode Keretöökodade Alaliit

[email protected]

Meie 08.05.2025 nr 2.2-10/25/1482-1

Märgukiri

Andmekaitse Inspektsiooni (AKI) mitme menetluse käigus on selgunud, et ettevõtete

andmekaitseteadlikkus on endiselt pigem madal ning ettevõtted rikuvad mitmel juhul

isikuandmete kaitse üldmäärusest (IKÜM) tulenevaid nõudeid.

Menetlustest on ilmnenud, et kuigi ettevõtted töötlevad oma tegevuse käigus erinevaid

isikuandmeid, siis reeglite tundmine, kuidas andmetega ümber käia on puudulik. See tähendab

muuhulgas seda, et ettevõtted ei jaga inimestele vajalikku teavet nende andmetöötluse kohta ning

inimestel pole aimugi, kas nende andmeid töödeldakse turvaliselt ja eesmärgipäraselt. Ettevõtted

vastutavad enda tegevuse raames toimuva andmetöötluse eest, mistõttu pidasime vajalikuks

selgitada üle peamise, mida isikuandmete töötlejal tuleb teada ennem kui isikuandmeid asutakse

töötlema. Palume, et liidud edastaks märgukirja oma liikmetele.

Ettevõttel, kes töötleb isikuandmeid, tuleb:

 selgitada välja, kas ja milliseid isikuandmeid, millistel õiguslikel alustel ja eesmärkidel on

vaja eesmärgi täitmiseks töödelda ehk siis tuleb koostada andmetöötlustoimingute

ülevaade;

 veenduda, et inimesed, kelle erinevaid andmeid kasutatakse, on sellest teadlikud ja et oleks

ka nende jaoks selge, kuidas nende kohta kogutud teavet töödeldakse (läbipaistvus) ehk

siis tuleb koostada andmekaitsetingimused;

 küsida nõu õigusnõustajalt või keerulisematel juhtudel Andmekaitse Inspektsioonilt ning

vajadusel muuta senist praktikat kui isikuandmete töötlemises esineb puudujääke;

 pöörata suuremat tähelepanu andmeturbele. Andmekaitse on vundament, mille katus on

infoturve;

 hoida ennast kursis riigisiseselt kehtestatavate andmekaitseliste muudatustega. Ajakohast

infot leiab Andmekaitse Inspektsiooni veebilehelt www.aki.ee;

 teada andmetöötluse reegleid, sest reeglite mittetundmine ei vabasta andmetöötlejat

seadusest tulenevast vastutusest.

Kuna andmetöötlejad (sh ettevõtted) vastutavad nende andmete eest, mida nad töötlevad (sh

koguvad, säilitavad, edastavad jne), siis pidasime vajalikuks koostada üldise nimekirja vajalikust,

mida tuleb igal isikuandmete töötlejal teada.

2 (4)

1. Mis on isikuandmed?

Isikuandmed on kõik andmed üksikuna või kogumis, mille kaudu inimene on otseselt või kaudselt

äratuntav, näiteks nimi, isikukood, asukohateave, võrguidentifikaatorid, samuti füüsilised,

geneetilised, vaimsed, majanduslikud, kultuurilised ja mistahes muud tuvastamist võimaldavad

tunnused ja nende kombinatsioonid1. Ehk siis kui inimene on tuvastatav läbi mingite parameetrite,

siis saab neid andmeid lugeda isikuandmeteks. Isikuandmete kaitse reeglid ei kehti kui teave ei

võimalda isikut mõistlike pingutustega tuvastada2.

Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub eraelu ning

seega ka isikuandmed, seetõttu ei kohaldu ka andmekaitsereeglid.

Kui ettevõttes on töötajad, ettevõte osutab teenuseid füüsilistele isikutele vms, siis võib juba

eeldada, et töödeldakse isikuandmeid, mistõttu tuleb täita kohastes seadustes sätestatud

isikuandmete kaitse nõudeid.

2. Isikuandmete töötlemise üldised põhimõtted

Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Isikuandmete kaitse üldmääruses

(IKÜM või inglise keeles ka GDPR) ning isikuandmete kaitse seaduses. Siinkohal räägimegi

füüsiliste isikute isikuandmete töötlemisest

IKÜM3 sätestab, et isikuandmete töötlemine peab olema seaduslik ja andmesubjektile läbipaistev;

samuti tohib isikuandmeid töödelda (sh koguda, edastada jne) üksnes kindlaksmääratud

õiguspärastel eesmärkidel4 ning koguda tuleb eesmärgi seisukohalt võimalikult vähe andmeid5.

Ehk siis igasugusel isikuandmete töötlemisel tuleb silmas pidada, et andmetöötleja vastutab kohase

andmetöötluse eest ning peab järgima muuhulgas seaduslikkuse, läbipaistvuse, minimaalsuse,

eesmärgipärasuse, õigsuse, säilitamise piirangu, usaldusväärsuse ning konfidentsiaalsuse

põhimõtteid, mille täpsemad selgitused on leitavad siit.

Näiteks viitab korrektselt koostatud dokumentatsioon, kus on kirjas teave isikuandmete töötlemise

kohta, et ettevõte soovib olla läbipaistev ning seeläbi usaldusväärne partner.

3. Isikuandmete töötlemiseks peab olema õiguslik alus

Isikuandmete töötlemise õiguslike aluste loetelu on sätestatud IKÜM artiklis 6. Seda, millisel

õiguslikul alusel ja eesmärgil andmetöötlust läbi viiakse, peab IKÜM-i6 kohaselt selgitama ja

tõendama iga andmetöötleja ise vastavalt töödeldavatele andmetele. Kui õiguslik alus

isikuandmete töötlemiseks puudub, siis andmeid töödelda (sh koguda, edastada, salvestada vms)

ei tohi. Niisama ja igaks juhuks andmeid töödelda, sh koguda selleks, et ehk hiljem on tarvis, ei

ole lubatud.

1 Vt üldmääruse art. 4 p.1; direktiivi art. 3 p. 1. 2 Vt üldmääruse põhjenduspunkt 26 ja 57 ning art. 11; direktiivi pp. 21. 3 IKÜM art 5 lg 1 p a. 4 IKÜM art 5 lg 1 p b. 5 IKÜM art 5 lg 1 p c. 6 IKÜM art 5 lg 2.

3 (4)

4. Andmete täpsus ja ajakohasus

Andmetöötleja peab tagama, et töödeldavad isikuandmed oleksid täpsed ja ajakohased. Kui

andmed on ebatäpsed või puudulikud, tuleb need viivitamatult parandada või kustutada.

5. Andmetöötlustoimingute ülevaade

Kuivõrd andmetöötluse seisukohalt on tähtis, et andmetöötlejal oleks ülevaade oma töödeldavatest

andmetest, siis peab ta kaardistama oma andmetöötlustoimingud. Nimetame selle tulemusena

valminud dokumenti isikuandmete töötlemisülevaateks või andmetöötlusetoimingute ülevaateks7.

Töötlemise ülevaatest saab täpsemalt lugeda AKI koostatud isikuandmete töötleja üldjuhendi

peatükist 4.

6. Andmekaitsetingimused

Oluline on, et enne andmete kogumist tuleb andmetöötluse läbipaistvuse kontrollimiseks

andmetöötlejal koostada andmekaitsetingimused, kus selgitatakse, milliseid andmeid, millisel

eesmärgil ning õiguslikul alusel töödeldakse. Andmekaitsetingimused on kirjeldus, mis aitab

inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et

andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad

olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (näiteks ettevõtte veebilehel).

Andmetöötleja saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse

protsesse. Mida läbipaistvam on ettevõtte andmetöötlus, seda enam peegeldub see

andmekaitsetingimustest. Seda, millistele küsimustele peab vastama ettevõtte läbipaistvust

peegeldav andmekaitsetingimuste dokument, saab põhjalikumalt lugeda AKI isikuandmete

töötleja üldjuhendist.

7. Turvalisus isikuandmete töötlemisel ning kohustus inimesi teavitada andmelekke

korral

Iga andmetöötleja peab isikuandmete töötlemisel järgima määruses8 sätestatud põhimõtteid,

vastutama nende põhimõtete täitmise eest ja olema võimeline nende täitmist tõendama9.

Eelviidatud põhimõtete juurde kuulub ka kohustus töödelda isikuandmeid viisil, mis tagab

isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest

ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või

korralduslikke meetmeid10

Isikuandmete töötlemisel (sh kogumisel, säilitamisel, edastamisel vms) peab eelkõige jälgima

kõige tavapärasemaid turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata

isikute kätte (igasugused andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest,

õigustamata edastamised vms).

7 IKÜM artikkel 30. 8 IKÜM artiklis 5 lõikes 1 9 IKÜM artikkel 5 lg 2 10 IKÜM art 5 lg 1 p f- „usaldusväärsus ja konfidentsiaalsus“

4 (4)

Kui andmetöötleja saab teada, et on toimunud õigustamatu andmetöötlus (turvarikkumine,

andmeleke vms), peab ettevõte sellest teavitama 72 tunni jooksul Andmekaitse Inspektsiooni,

rohkem informatsioon selle kohta leiab siit ja siit.

8. Andmesubjekti ehk inimeste õigused, millega andmetöötlejal tuleb arvestada

Kui isik soovib infot oma isikuandmete töötlemise kohta, siis on tal õigus pöörduda andmetöötleja

poole. Inimesel on muuhulgas õigus nõuda näiteks, lisaks andmetega tutvumisele, isikuandmete

parandamist, kustutamist, piiramist ja ka ülekandmist. Täpsemalt saab isiku õiguste kohta lugeda

AKI veebilehelt isikuandmed inimese õigused rubriigist.

Oluline on meeles pidada, et ettevõte peab inimese pöördumisele, kas nõue täidetakse või mitte,

vastama kuu jooksul. Keeldumist peab põhjendama. Kui selgitusi ei anta või need ei ole selged

ning piisavad, siis saab andmesubjekt vajadusel pöörduda Andmekaitse Inspektsiooni.

9. Kasulikke viiteid andmetöötlejale.

9.1 Andmekaitse Inspektsiooni veebilehel avaldatud korduma kippuvad küsimused

(KKK);

9.2 Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhend, Juhendis on kirjas

kõige olulisem, mida isikuandmete töötleja peab teadma. Samuti leiab informatsiooni

andmetöötleja vastutusest ning kohustustest isikuandmete töötlemisel siit.

9.3 Kui ettevõttel on vaja konkreetsemat õiguslikku abi ja seisukohta lähtuvalt

konkreetsetest asjaoludest, siis tuleb pöörduda õigusnõustajate (advokaadid, juristid)

poole, kes saavad aidata korrektse dokumentatsiooni koostamisel.

9.4 Informatsiooni, kuidas olla IT-vaatlik, leiab näiteks ka siit.

9.5 Andmetöötlejal on võimalus tellida Andmekaitse Inspektsiooni uudiskiri, et olla kursis

aktuaalsete andmetöötluse uudistega. Uudiskirja saab tellida:

https://www.aki.ee/meist/teadlikkus/uudiskiri

9.6 Käimas on AKI tasuta koolitused väikestele ja keskmise suurusega ettevõtetele, mille

kohta saab teavet ning registreeruda AKI veebilehel.

Eelnevast tulenevalt palume märgukirja jagada kõikidele liidu liikmetele, et ettevõtted, kes

töötlevad isikuandmeid, saaksid oma andmetöötlusprotsessid läbi analüüsida ja seadustega

kooskõlla viia.

Lugupidamisega

Liina Kroonberg

jurist

peadirektori volitusel