| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/1387-2 |
| Registreeritud | 19.05.2025 |
| Sünkroonitud | 20.05.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Grex IT OÜ |
| Saabumis/saatmisviis | Grex IT OÜ |
| Vastutaja | Grete-Liis Kalev (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Rainer Renn
Grex IT OÜ
Teie 30.04.2025 Meie 19.05.2025 nr 2.2-9/25/1387-2
Vastus selgitustaotlusele
Pöördusite Andmekaitse Inspektsiooni (AKI) poole mitme küsimusega, mis puudutab
isikuandmete töötlemist peale töösuhte lõppu. Vabandan, et vastus on viibinud. Vastan
küsimustele vastavalt esitamise järjekorras.
1. Vestluste säilitamine sõltub Teie töökorraldus reeglitest. Nimelt peab töökorraldus reeglites
olema paika pandud, kui kaua kiirsõnumite ajalugu säilitatakse ning millistel juhtudel või
kas üldse on tööandjal lubatud vestluste sisu kontrollida. Lahkunud töötaja nime ei pea
kustutama tööalastest vestlustest või dokumentidest, kui töötaja on lihtsalt olnud näiteks
dokumendi koostaja või osa mõnest tööülesandest. Olukorras, kus kellegi nime on
kasutatud grupivestluses seoses tööalase suhtlusega, siis puudub vajadus ainult isiku nime
kustutamine vestlusest. Paika peab panema üldised reeglid vestluste, e-kirjade jms
dokumentide säilitamiseks ning ka selle, kas ja kuidas võib töötaja kasutada tööalaseks
suhtluseks mõeldud e-posti, vestlusrakendusi eraelulistel eesmärkidel.
2. Üldjuhul antakse töötajale tööalane e-post töölepingus ettenähtud ülesannete täitmiseks.
Kui töötaja kasutab tööülesannete täitmiseks enda nimelist töö e-posti aadressi, siis ei ole
põhjendatud, et need kirjad peab kindlasti kustutama, kui need tegelikkuses on hiljem
vajalikud ning tegemist ei ole töötaja isiklike e-kirjadega. Seetõttu on äärmiselt vajalik
määrata kindlaks, kas ja mis ulatuses e-kirju ettevõttes säilitatakse. Kui töötaja on
kasutanud tööalast e-posti või arvutit üldiselt ka enda eraelulisteks tegevusteks, kuid selle
kohta ei ole töökorraldus reeglites paika pandud reegleid, peaks töötaja ka ise enne
lahkumist kontrollima, et arvutisse või postkasti jms, ei ole jäänud tema eraelulisi
dokumente. Samuti on ülemäärane nõuda kolmandatelt isikutelt, et nad kustutaksid lahkunud töötaja
poolt saadetud tööalased kirjad või dokumendid, sest need sisaldavad lahkunud töötaja
nime. Saadetud e-kirjad ja dokumendid on loodud tööülesannete raames ning eelduslikult
ei riku ainuüksi töötaja nimi saatja adressaadis selle töötaja õigust privaatsusele. Praktikas on kujunenud tavapäraseks, et töötajad kasutavad töö e-posti muuhulgas ka oma
erakirjade saatmiseks ja saamiseks. Töötajal ei ole küll mingit üldist õigust töö e-posti
isiklikul eesmärgil kasutamiseks, kuid tööandjad peavad sellise väljakujunenud praktikaga
ja sellest tuleneva töötaja õiguspärase ootusega privaatsusele arvestama seni, kuni nad pole
ise kehtestanud teistsuguseid reegleid.
2 (3)
3. Koosoleku raportite puhul peate samuti ise kindlaks määrama, kas ja kui kaua on vajalik
neid dokumente säilitada. Kui dokument on loodud tööülesannete käigus ja sisaldab
äritegevusega seotud teavet, mitte isikute eraelu, siis puudub vajadus kustutada koosolekul
osalenud isikute raportist. Töö käigus koostatud dokumendid ning projektid on seotud
töökohustuste täitmisega. Olukorras, kus Teie ettevõtte ei soovi jätta koosoleku raporti
sisse osalejate nimesid või töötajad ise soovivad enda nime eemaldamist, siis sellekohased
reeglid peab paika panema töökorraldus reeglites ning ka raportite säilitamise tähtajad.
4. Isikuandmete töötleja üldjuhendis peatükk kirjeldab rikkumisteate esitamise kohustust.
Nimetatud peatükis on selgitatud, et rikkumisteate esitamise kohustuse puhul peetakse ohu
puhul silmas mitte üldist riski, vaid reaalselt saadud või tõenäoliselt saadavat kahju.
Rikkumisteate esitamise kohustus ei olene sellest, kui mitut inimest või kui suuri
andmemahte oht puudutab. Andmekaitse Inspektsiooni peab teavitama, kui toimunud
isikuandmetega seotud rikkumine ehk rikkumine on seotud kahjuga inimese õigustele ja
vabadustele. Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või
juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks
saamist. Teie poolt toodud näite puhul, kus on 50 töötajaga ettevõtte, peate teavitama esitama
Andmekaitse Inspektsioonile rikkumisteate, kui lekkisid isikuandmed ning selle tagajärjel
on oht üksikisiku õigustele ja vabadustele. Asjaolu, et olete kasutusele võtnud kõik
võimalikud asjakohased lahendused ei välista seda, et peate Andmekaitse Inspektsiooni
esitama rikkumisteate, kui on toimunud isikuandmetega seotud rikkumine. Üldjuhendis
oleme toonud näiteid, miks ei sõltu rikkumisteate esitamise kohustust inimeste arvust.1
5. Ühispiltide puhul soovitan esmalt hinnata, kas nende piltide avaldamiseks on olemas
õiguslik alus. Siinkohal etteruttavalt selgitan, et tööleping ei saa olla töötajatest piltide
avaldamise õiguslikuks aluseks, sest piltide avaldamine ei ole seotud töölepingu
täitmisega. Nõusolekule kui õiguslikule alusele tuginedes peate arvestama, et töötaja võib
nõusoleku igal hetkel tagasi võtta. Seega ühispiltide avaldamise puhul võib piltide
töötlemine osutuda keeruliseks, sest töötaja survestamine nõusoleku andmiseks pole
lubatud. Piltidega on võimalik pigem muuta isikuid tuvastamatuks näiteks
udutades/hägustades, kuid seda tehes peate läbi mõtlema, kas Te hoiate alles ka esialgse
pildi või ainult hiljem töödeldud versiooni.
6. Andmete ülekandmist saab kohaldada üksnes nendele andmetele, mille kogumise aluseks
on kas inimese nõusolek või inimese ja andmetöötleja vahel sõlmitud leping. Seejuures on
oluline rõhutada, et isikuandmete kaitse üldmääruse artikli 20 alusel on inimesel õigus
saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud,
struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul. Seega on oluline hinnata, mis andmeid Teil on üldse võimalik ülekanda töösuhte
lõpetamisel. Andmete ülekandmise regulatsiooni hea näitena saan tuua näiteks
kliendiandmed, kus klient jagab ühe teenusepakkuja juures olevaid andmeid teise
teenusepakkujaga ning on samaaegselt mõlema klient. Andmete ülekandmise õigus ei
tähenda seda, et töötaja saab nõuda andmeid ülekandmiseks, mis kahjustavad teiste isikute
õigusi ja vabadusi. 2 Eelnev tähendab seda, et töötaja ei saa välja nõuda kirjavahetusi või
teiste isikute andmeid, mis on seotud näiteks äritegevusega. Kui töötaja soovib tutvuda
iseeneda andmetega, siis sellise õiguse annab talle isikuandmete kaitse üldmääruse artikkel
15.
7. Vastates viimasele küsimusele, siis andmesubjektile peab andma teavet selle kohta, kas
temaga seotud isikuandmeid edastatakse kolmandatele isikutele, sh volitatud töötlejatele.
1 Isikuandmete töötleja üldjuhend, lk 29-30. Isikuandmete töötleja üldjuhend.pdf 2 Isikuandmete kaitse üldmääruse artikkel 20 lõige 4.
3 (3)
Kui IT-abi teenust pakub ettevõtte väline isik, siis peab olema andmekaitsetingimustes
määratletud, kes on see volitatud ettevõte. Kui andmeid töödeldakse ettevõtte sees, siis
piisab viitest, et andmetele on ligipääs ka ettevõtte IT-osakonnal. Juhin tähelepanu, et kui
kasutate volitatud töötlejaid, siis Teil on kohustus valida sellised partnerid, kes kes annavad
piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et
nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva
määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele.3
Kokkuvõtlikult, õigus isikuandmete kaitsele ei ole absoluutne. Seda peab kaaluma koos teiste
põhiõigustega. Seejuures on oluline mõista, et isiku nimi tööalastes e-kirjades või dokumentides
eraldatuna muudest temaga seotud eraelulistest andmetest ja teabest, ei ole töösuhete kontekstis
sellise kaitse all nagu seda on selle konkreetse isiku tööleping näiteks. Samas ei tähenda eelnev, et
töötajal ei ole töösuhtes õigust isikuandmete kaitsele. Töötajal on õigus enda isikuandmete kaitsele
töösuhete kontekstis, kuid see ei tähenda seda, et töölt lahkumisel on proportsionaalne eemaldada
tema nimi igalt e-kirjalt või dokumendilt, mida ta tööalaselt koostas või välja saatis. Tööalaselt
koostatud e-kirjad ja dokumendid ei ole reeglina seotud isiku eraeluga.
Täiendavalt veel selgitan, et igasugune töötaja kontrollimine, sh e-kirjade ja vestluste vaatamine,
peab samuti olema selgelt ja täpselt ära määratletud töökorraldus reeglites. Tööandjal on küll õigus
kontrollida töökohustuste täitmist, kuid seda tuleb teha austades töötaja privaatsust ja viisil, mis ei
riku töötaja põhiõigusi.4 Peate väga täpsemalt põhjendama, mis eesmärgil hiljem kontrollite
töötajate vahelisi 1:1 vestlusi, sest lisaks lahkunud töötaja privaatsusele võite seeläbi riivata teise
vestluse osapoole õigust privaatsusele. Töökorraldus reeglites peab olema paika pandud, kuidas
toimitakse, kui töötaja lahkub ning kui kaua säilitatakse tema e-posti aadressi ja selle sisu.
Loodan, et vastusest on abi ning kui Teil on veel täiendavaid küsimusi, võime leppida kokku
kohapealse nõustamise.
Lugupidamisega
Grete-Liis Kalev
jurist
peadirektori volitusel
3 Isikuandmete kaitse üldmääruse põhjenduspunkt 81 ja artikkel 28. L_2016119ET.01000101.xml 4 Töölepingu seadus 28 lõige 2 punkt 11. https://www.riigiteataja.ee/akt/102052024028?leiaKehtiv#para28
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|