| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-4/25/818-1777-1 |
| Registreeritud | 02.06.2025 |
| Sünkroonitud | 03.06.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-4 Inspektsiooni algatatud järelevalvemenetluse toimikud |
| Toimik | 2.1.-4/25/818 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Coop Eesti Keskühistu, MAXIMA Eesti OÜ, Selver AS , Rimi Eesti Food AS , TKM Grupp AS, Prisma Peremarket AS, Lidl Eesti OÜ, OG Elektra AS, Circle K Eesti AS, Neste Eesti AS, Olerex AS , Alexela AS , Krooning AS |
| Saabumis/saatmisviis | Coop Eesti Keskühistu, MAXIMA Eesti OÜ, Selver AS , Rimi Eesti Food AS , TKM Grupp AS, Prisma Peremarket AS, Lidl Eesti OÜ, OG Elektra AS, Circle K Eesti AS, Neste Eesti AS, Olerex AS , Alexela AS , Krooning AS |
| Vastutaja | Andra Kask (Andmekaitse Inspektsioon, Euroopa koostöö ja õiguse valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lugupeetud seires osalejad
Meie 02.06.2025 nr 2.1.-4/25/818-1777-1
Andmete kustutamise võimaldamise seire
Euroopa Andmekaitsenõukogu on algatanud liikmesriikides ühistegevuse, et saada ülevaade,
kuidas on tagatud andmesubjektide õigus olla unustatud. Ühistegevuse raames tegeleb enamik
Euroopa Andmekaitsenõukogu liikmetest terve aasta kestel ühe kooskõlastatud teemaga. 2025. a
on fookuses andmesubjektide õigus andmete kustutamisele ja selle rakendamine. Ühistegevuses
osaleb seire vormis ka Eesti Andmekaitse Inspektsioon.
Ühistegevuse eesmärgiks on saada põhjalikum ülevaade sellest, kuidas on tagatud
andmesubjektide õigus olla unustatud, sest tegemist on isikuandmete kaitse üldmääruse ühe keskse
õigusega, mis võimaldab andmesubjektidel teostada kontrolli nende isikuandmete töötlemise üle.
Lisaks on tegemist õigusega, mida andmesubjektid kasutavad andmetega tutvumise õiguse kõrval
kõige sagedamini ja mille rakendamise kohta andmetöötlejate poolt saavad järelevalveasutused
üle Euroopa andmesubjektidelt palju kaebusi.
Andmekaitse Inspektsiooni seire keskendub 2025. a füüsiliste isikute õigusele olla unustatud
seonduvalt kliendiprogrammides osalemisega, et mõista, kuidas on erinevaid kliendiprogramme
kasutavad ettevõtted taganud, et andmete kustutamise taotluse saamisel järgitakse isikuandmete
kaitse üldmääruse nõudeid. Seiresse on kaasatud suuremad jae- ja tanklaketid, kes oma tegevuse
raames kliendiprogramme kasutavad. Viidatud ülevaate saamiseks on käesolevale kirjale lisatud
küsimustik, mille palume Teil ära täita ja oma vastused Andmekaitse Inspektsioonile saata.
Küsimustiku täitmisel palume keskenduda andmetöötlusele asjakohase kliendiprogrammi
raames.
Palun edastage vastused Andmekaitse Inspektsioonile hiljemalt 28.07.2025. Seire küsimused on
liikmeriikide üleselt ühiselt koostatud ning nende tulemused on üldistatud kujul sisendiks
andmekaitsenõukogu ühisaruandele, mis valmib eeldatavalt 2025. aasta lõpuks. Seire viime läbi
tulenevalt isikuandmete kaitse üldmääruse artiklist 58 ning isikuandmete kaitse seaduse
paragrahvist 56. Seetõttu on vastuse esitamine meile kohustuslik.
Tekkivate küsimuste või probleemide korral on Teil võimalik pöörduda Andmekaitse
Inspektsiooni rahvusvahelise õiguse juristi Andra Kase poole, kirjutades aadressile
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
1
Küsimustik
Andmete kustutamise õiguse (“õigus olla unustatud”) rakendamine
vastutavate töötlejate poolt
Isikuandmete kaitse määruse (EL) 2016/679 artikkel 17
1. Teave vastutava töötleja kohta
1.1 nimi:
aadress:
kontaktandmed:
1.2 Millisesse kategooriasse Teie organisatsioon kuulub?1 (palun valige ainult üks):
☐ mikroettevõtja (< 10 töötajat ja käive ≤ 2 miljonit eurot või bilansimaht ≤ 2 miljonit eurot)
☐ väikeettevõtja (< 50 töötajat ja käive ≤ 10 miljonit eurot või bilansimaht ≤ 10 miljonit eurot)
☐ keskmise suurusega ettevõtja (< 250 töötajat ja käive ≤ 50 miljonit eurot või bilansimaht ≤ 43 miljonit
eurot)
☐ suurettevõtja (üle 250 töötaja)
1.3 Kas Teie klientide hulgas, on ka andmesubjekte, kes on (valige üks või mitu sobivat vastust):
☐ lapsed
☐ haavatavad isikud (nt eakad, varjupaigataotlejad, etnilised vähemused, puuetega inimesed)
☐ me ei töötle laste ega haavatavate isikute andmeid oma kliendi programmi raames
1.4 Palun esitage ligikaudne andmesubjektide arv, keda Teie isikuandmete töötlemistoimingud
puudutavad:
☐ < 100
☐ 101 – 1000
☐ 1 001 – 10 000
☐ 10 001 – 100 000
☐ 100 001 – 500 000
1 Teavet ettevõtete kategooriate kohta leiab aadressilt https://single-market-
economy.ec.europa.eu/smes/sme-definition_en?prefLang=de.
2
☐ 500 001 – 1 000 000
☐ > 1 000 000
1.5 Milliseid isikuandmete liike Teie isikuandmete töötlemistoimingud peamiselt puudutavad? (valige
kõik sobivad)
☐ kontaktandmed
☐ makseandmed
☐ identifitseerimisandmed
☐ turundusandmed
☐ eriliigilised andmed isikuandmete kaitse üldmääruse artikli 9 tähenduses
palun täpsustage, milliseid all loetletud eriliigilisi andmeid töötlete:
nt terviseandmed; seksuaalelu või seksuaalne sättumus; rassiline või etniline päritolu; poliitilised vaated,
usulised või filosoofilised veendumused või ametiühingusse kuulumine; biomeetrilised ja geneetilised
andmed
☐ andmed süüdimõistvate kohtuotsuste ja süütegude kohta isikuandmete kaitse üldmääruse artikli 10
tähenduses
☐ muu, palun täpsustage:
1.6 Mitu isikuandmete kaitse üldmääruse artikli 17 kohast andmete kustutamise taotlust Te saite allpool
toodud aastate lõikes?
2022 2023 2024
0 ☐ ☐ ☐
1–10 ☐ ☐ ☐
11–50 ☐ ☐ ☐
51–100 ☐ ☐ ☐
101–500 ☐ ☐ ☐
üle 500 ☐ ☐ ☐
3
1.7 Kui suure protsendi taotlustest Te tagasi lükkasite?
2022 2023 2024
0% ☐ ☐ ☐
10% ☐ ☐ ☐
20% ☐ ☐ ☐
30% ☐ ☐ ☐
40% ☐ ☐ ☐
üle 50% ☐ ☐ ☐
1.8 Kui suur osa Teile esitatud andmete kustutamise taotlustest oli seotud isikuandmete kaitse
üldmääruse artikli 21 kohaste vastuväidete esitamise õiguse kasutamisega sama andmesubjekti poolt
(sealhulgas vastuväited turundamisele)?
2022 2023 2024
0% ☐ ☐ ☐
10% ☐ ☐ ☐
20% ☐ ☐ ☐
30% ☐ ☐ ☐
40% ☐ ☐ ☐
üle 50% ☐ ☐ ☐
1.9 Kas nende klientide hulgas, kes on esitanud taotluse andmete kustutamiseks on ka:
☐ vanemad või eestkostjad, kes on esitanud taotluse oma lapse (laste) nimel
kui jah, siis palun märkige protsent saadud taotlustest:
☐ haavatavad isikud (nt eakad, varjupaigataotlejad, etnilised vähemused, puuetega inimesed) või
haavatava isiku eestkostjad
kui jah, siis palun märkige protsent saadud taotlustest:
2. Töövoog
2.1 Kas Teie organisatsioon on välja töötanud konkreetsed organisatsioonisisesed
juhised/suunised/soovitused või sarnased dokumendid, mis käsitlevad õigust isikuandmete
kustutamisele? Kas teie organisatsioon järgib isikuandmete kaitse üldmääruse artikli 17 kohaste
taotluste käsitlemisel sisemiselt kindlaksmääratud protsessi?
☐ jah
kui jah, siis palun kirjeldage lühidalt protsessi:
☐ ei
4
kui ei, siis palun selgitage, miks:
2.2 Millisel organisatsiooni üksusel on juhtiv roll isikuandmete kustutamise taotluste menetlemisel Teie
organisatsioonis? (palun valige ainult üks)
☐ andmekaitseametnik
☐ õigus-/vastavusosakond
☐ kommunikatsiooniüksus
☐ andmekaitsekoordinaator
☐ klienditeenindus
☐ muu
Kui muu, siis palun täpsustage:
2.3 Kas Teie organisatsioon koolitab oma töötajaid seoses isikuandmete kustutamise taotlustega?
☐ jah
☐ ei
2.3.1
Kui jah, siis täpsustage kui sageli (mitu korda aastas) koolitusi korraldatakse:
2.3.2.
Kui jah, siis kirjeldage, kuidas te oma töötajaid koolitate:
2.4 Kirjeldage, kuidas teete kindlaks isikuandmed, mida isikuandmete kustutamise taotlus hõlmab?
2.5 Kirjeldage, kuidas menetlete isikuandmete kustutamise taotlust, mis on seotud isikuandmetega,
mida töödeldakse
a) ühiselt koos kaasvastutavate töötlejatega:
b) teie volitatud töötleja poolt:
2.6 Kas jälgite või kontrollite regulaarselt, et Teie organisatsioon menetleks isikuandmete kustutamise
taotlusi korrakohaselt?
☐ jah
kui jah, siis palun kirjeldage seda regulaarset kontrolliprotsessi:
☐ ei
kui ei, siis palun selgitage, miks:
5
2.7 Milline on keskmine aeg (nädalates), mis Teie organisatsioonil kulub isikuandmete kustutamise
taotluste menetlemiseks (alates kustutamise taotluse saamisest kuni andmesubjektile antava lõpliku
vastuseni)?
2.8 Kui sageli on Teie organisatsioon isikuandmete kustutamise taotluste puhul pikendanud
isikuandmete kaitse üldmääruse artikli 12 lõike 3 teises lauses sätestatud ühekuulist tähtaega?
☐ alati (100% saadud taotlustest)
☐ väga sageli (umbes 75% saadud taotlustest)
☐ sageli (umbes 50% saadud taotlustest)
☐ harva (umbes 15% saadud taotlustest)
☐ mitte kunagi (0% saadud taotlustest)
2.8.1. Kui pikendate tähtaega, siis kirjeldage, mis on peamised põhjused, miks Te seda teete:
2.9 Kas isikuandmete kaitse üldmääruse artikli 17 rakendamise korda vaadatakse korrapäraselt läbi ja
vajadusel kohandatakse?
☐ jah
Kui jah, siis kui sageli seda ajakohastatakse (aastas):
☐ ei
3. Juhtumi stsenaariumid
3.1 Kuidas hindab Teie organisatsioon, et isikuandmed (mille kohta on esitatud kustutamise taotlus) ei
ole enam vajalikud eesmärkidel, milleks neid koguti või muul viisil töödeldi vastavalt isikuandmete kaitse
üldmääruse artikli 17 lõike 1 punktile a?
3.2 Kuidas Teie organisatsioon toimib, kui andmesubjekt võtab nõusoleku tagasi vastavalt isikuandmete
kaitse üldmääruse artikli 17 lõike 1 punktile b?
3.3 Kuidas Teie organisatsioon toimib, kui andmesubjekt esitab isikuandmete kaitse üldmääruse artikli
21 lõike 1 või 2 alusel töötlemise suhtes vastuväite? (vt ka artikkel 17 lõige 1 punkt c)
3.4 Kas Teie organisatsioon on isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktil c põhineva
kustutamistaotluse korral kunagi keeldunud andmete kustutamisest, tuginedes oma „töötlemise
ülekaalukatele õiguspärastele põhjustele“? Kuidas mõistate mõistet „ülekaalukad õiguspärased
põhjused“ ja kuidas see on tasakaalus andmesubjektide huvide, õiguste ja vabadustega? Kirjeldage
üksikasjalikult esinenud juhtumeid ja esitage sel ajal tehtud analüüs.
3.5 Kuidas tagab Teie organisatsioon isikuandmete kaitse üldmääruse artikli 17 lõike 2 rakendamise,
kui isikuandmed avalikustatakse (st tehakse kõigile kättesaadavaks veebilehel, sotsiaalmeedias vms
kanalis)? Milliseid meetmeid võetakse, et tagada õigus olla unustatud?
6
3.6 Milliseid erandeid isikuandmete kaitse üldmääruse artikli 17 lõikest 3 või muudest isikuandmete
kaitse üldmääruse artikli 23 lõikel 1 põhinevatest siseriiklikest eranditest kohaldab teie organisatsioon
kõige sagedamini (valige kõik sobivad)?
☐ sõna- ja teabevabaduse õiguse kasutamine
☐ vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud töötlemist nõudva
juriidilise kohustuse täitmine
Kui seda alust kasutate, siis märkige palun kõige sagedamini kohaldatavad õiguslikud alused:
☐ avalikes huvides oleva ülesande täitmine või vastutava töötleja avaliku võimu teostamine
Kui seda alust kasutate, siis märkige palun kõige sagedamini kohaldatavad õiguslikud alused:
☐ rahvatervise valdkonna avaliku huviga seotud põhjustel
☐ avalikes huvides toimuv arhiveerimine, teadus- või ajaloouuringu või statistine eesmärk niivõrd,
kuivõrd õigus andmete kustutamisele tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise
võimatuks või häirib seda suurel määral
☐ õigusnõuete koostamine, esitamine või kaitsmine
☐ muu
Kui muu, siis palun täpsustage:
3.7 Kuidas Teie organisatsioon kontrollib, et artikli 17 lõikes 3 sätestatud eranditele tuginemise
tingimused on täidetud?
3.8 Kui Teie organisatsioon on kunagi keeldunud andmete kustutamisest sõna- ja teabevabaduse
õiguse alusel (isikuandmete kaitse üldmääruse artikli 17 lõike 3 punkt a), siis kirjeldage palun
üksikasjalikult neid juhtumeid ja esitage sel ajal tehtud keeldumise aluseks olnud analüüs.
3.9 Kui õigust andmete kustutamisele ei saa tagada taoltuse esitamise ajal, näiteks esinevad õiguslikud
või lepingulised kohustused andmete säilitamiseks, siis milliseid muid meetmeid te andmesubjektide
õiguste kaitseks võtate (nt isikuandmete kaitse üldmääruse artikli 18 kohane õigus isikuandmete
töötlemise piiramisele)?
3.10 Kuidas täidab Teie organisatsioon oma kohustust teavitada andmete vastuvõtjaid õigusest
andmete kustutamisele (isikuandmete kaitse üldmääruse artikli 19 esimene ja teine lause)?
3.11 Kuidas Teie organisatsioon toimib, kui andmesubjekt esitab taotluse, mis sisaldab nii taotlust
juurdepääsuks oma isikuandmetele (isikuandmete kaitse üldmäärus artikkel 15) kui ka isikuandmete
kustutamise taotlust?
7
4. Andmesubjektidega suhtlemine
4.1 Kas annate andmesubjektile juhiseid või kirjeldate isikuandmete kustutamise taotluse esitamise
protsessi? Kui jah, siis palun märkige, kust on võimalik leida andmete kustutamise taotluse esitamise
juhised või menetlusprotsessi kirjeldust.
4.2 Kas teie organisatsiooni andmekaitsetingimustes on kirjas (valige üks või mitu sobivat vastust):
☐ andmete konkreetne säilitamisperiood (aastates)
☐ kõnealuse perioodi kindlaksmääramiseks kasutatud kriteeriumid
☐ mitte kumbki eespool nimetatutest
Kui mitte kumbki, siis palun täpsustage:
4.3 Milliste sidekanalite kaudu saate andmesubjektidelt isikuandmete kustutamise taotlusi (valige kõik
sobivad)?
☐ e-posti aadress
☐ üldine veebivorm
☐ veebipõhine erivorm, mis on mõeldud andmete kustutamise taotluse esitamiseks
☐ postiaadress (paberkandjal taotluse esitamine)
☐ muu
Kui muu, siis palun täpsustage:
4.4 Kuidas vastab teie organisatsioon isikuandmete kustutamise taotlustele (valige kõik sobivad)?
☐ e-posti aadress
☐ veebipõhine kasutajakonto
☐ postiaadress (vastuse saatmine paberkandjal)
☐ muu
Kui muu, siis palun täpsustage:
4.5. Kas andmesubjektile saadetakse kinnitus isikuandmete kustutamise taotluse kättesaamise kohta?
☐ jah
☐ ei
4.5.1. Kui jah, siis kas kinnituses on kirjas teave menetlemise aja / eeldatava menetlemise aja kohta?
☐ jah
☐ ei
8
5. Tehnilised aspektid
5.1. Kas järgite isikuandmete kustutamisel tehnilisi standardeid (nt ISO/IEC)?
☐ jah
Kui jah, siis palun täpsustage:
☐ ei
5.2 Kirjeldage, kuidas kustutab Teie organisatsioon isikuandmeid tehniliselt sellisel viisil, et neid ei ole
hiljem võimalik enam taastada?
5.3 Kas teie organisatsioon kasutab tehnilisi vahendeid (nt tarkvara) isikuandmete kustutamise taotluste
menetlemiseks?
☐ jah
Kui jah, siis palun täpsustage:
☐ ei
5.4 Kas olete kaasanud isikuandmete kustutamiseks teenusepakkuja?
☐ jah
Kui jah, siis palun täpsustage:
☐ ei
5.5 Kas Teie asutus kustutab andmed nende anonüümseks muutmise teel (kustutades igasuguse teabe
tuvastatud või tuvastatava füüsilise isiku kohta)?
☐ jah
Kui jah, siis palun selgitage, miks kasutatakse kustutamise asemel anonüümimist ja kuidas seda
tehniliselt teostatakse:
☐ ei
5.6. Kas isikuandmed kustutatakse ka varukoopiatest ja erinevatest andmebaasidest?
☐ jah
☐ ei
5.6.1. Kui jah ning kustutate nii andmebaasidest kui ka varukoopiatest, siis kas rakendate varukoopiatele
samu kustutamise protsesse?
☐ jah
☐ ei
Kui ei, siis palun selgitage protsesside erinevusi:
9
6. Teie kogemused
6.1 Milliste õiguslike, tehniliste ja/või organisatsiooniliste probleemidega puutute kokku, kui rakendate
isikuandmete kaitse üldmääruse artiklis 17 sätestatud õigust andmete kustutamisele / õigust olla
unustatud?
6.2 Mis võiks Teid aidata isikuandmete kustutamise taotluste menetlemisel (näidised, tööriistad, midagi
muud)?
6.3 Kas Teil on märkusi või lisateavet seoses isikuandmete kustutamise taotlustega, mida sooviksite
esitada ja mis ei ole vastustega eelnevatele küsimustiku küsimustele kaetud?