| Dokumendiregister | Justiitsministeerium |
| Viit | 10-4/4625-5 |
| Registreeritud | 09.06.2025 |
| Sünkroonitud | 10.06.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 10 Õiguspoliitika alase tegevuse korraldamine |
| Sari | 10-4 Kirjavahetus asutuste ja isikutega |
| Toimik | 10-4/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Kristel Niidas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digiriigi valdkond, Digiriigi osakond, Andmekaitseõiguse talitus) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Kristi Värk Justiitsministeerium [email protected]
Teie 28.05.2025 nr 10-4/4625-1 Meie 06.06.2025 nr 2.3-4/25/1721-2
Arvamuse avaldamine isikuandmete kaitse üldmääruse muutmise ettepanekule Andmekaitse Inspektsioon (edaspidi Inspektsioon) esitab käesolevaga oma arvamuse seoses
Euroopa Komisjoni ettepanekuga muuta isikuandmete kaitse üldmäärust (Euroopa Parlamendi ja
nõukogu määrus (EL) 2016/679, edaspidi IKÜM).
Olulisimaks muudatuseks IKÜMis peab Inspektsioon muudatust artikli 30 lõikes 5, mille kohaselt
ettevõtjad ja organisatsioonid, kelle töötajate arv jääb alla 750, ei oleks kohustatud pidama
isikuandmete töötlemise toimingute registrit.
Samuti kitsendab ettepanek artikli 30 lõike 5 erandeid ning jätab andmetöötlustoimingute registri
pidamise kohustuse kehtima vaid kõigile sellistele andmetöötlejatele, kes töötlevad isikuandmeid
viisil, mis vastab IKÜM artikli 35 tähenduses suure ohuga töötlemistoimingutele.
Andmetöötlustoimingute registri pidamise kohustuse seostamine üksnes vähemalt 750 töötajaga
ettevõtetega tekitab põhjendatud küsimusi. Eesti kontekstis on tegemist väga suure
organisatsiooniga, mistõttu jääb ebaselgeks, millistele andmetele või põhjendustele Euroopa
Komisjon on sellise lävendi määramisel tuginenud.
Statistikaameti andmete kohaselt oli aastal 2024 Eesti ettevõtetes töötajaid järgmiselt1:
vähem kui 10 töötajat 150 612 ettevõttes;
10-49 töötajat 6 461 ettevõttes;
50-249 töötajat 1 118 ettevõttes;
rohkem kui 250 töötajat 187 ettevõttes.
250 ja rohkem töötajat on Eestis seega vaid umbes 0,1% ettevõtetes, kellel on hetkel kohustus
pidada töötlemise toimingute registrit. See tähendab, et tegelikkuses on registri pidamise kohustus
juba täna väga väikesel osal ettevõtetest ning suurem osa ei puutu vastava halduskoormusega üldse
kokku. IKÜMi lihtsustamine on osa Euroopa Komisjoni algatatud väikeste ja keskmise suurusega
ettevõtjate halduskoormuse vähendamise paketist (SME Relief Package), kuid 750 töötajaga
ettevõte ei ole Eesti mõistes ei väike ega keskmine ettevõte, vaid suur organisatsioon. Leiame, et
selline künnis ei arvesta liikmesriikide erinevat majanduslikku ja organisatsioonilist struktuuri
ning võib praktikas viia olukorrani, kus märkimisväärne hulk isikuandmete töötlejaid ei kuulu
enam registri pidamise kohustuse alla.
Inspektsioon juhib tähelepanu, et töötlemistoimingute register ei ole üksnes formaalne
dokumentatsiooninõue, vaid oluline tööriist vastutavale andmetöötlejale tema
1 Statistikaamet. Statistika andmebaas. Majandus. Majandusüksused. Ettevõtted. ER028: STATISTILISSE PROFIILI KUULUVAD ETTEVÕTTED TÖÖTAJATE ARVU JA MAAKONNA JÄRGI
2 (2)
töötlemisprotsesside adekvaatseks analüüsiks ja kavandamiseks, sealhulgas isikuandmete liikide,
töötlemise eesmärkide, kestuse ning meetodite selgitamiseks.
Olenemata sellest, kas vastutav andmetöötleja on registri pidamise kohustusest vabastatud või
mitte, lasub tal kohustus enne isikuandmete töötlemise algust põhjalikult läbi mõelda ja
dokumenteerida töötlemistoimingute olemus – selleta ei ole võimalik tõendada ega tagada IKÜMi
artiklites 5, 13 ja 14 sätestatud põhimõtete ning kohustuste nõuetekohast täitmist.
Näiteks juhul, kui andmetöötleja ei ole põhjalikult kaardistanud tema poolt töödeldavaid
isikuandmeid, ei ole tal võimalik tagada andmete minimaalsuse põhimõtte järgimist (IKÜM
artikkel 5 lõige 1 punkt c) ega tõendada vastavust muudele IKÜMi artiklis 5 sätestatud töötlemise
põhimõtetele. Samuti ei vabasta töötlemistoimingute registri mittepidamine vastutavat
andmetöötlejat kohustusest koostada ja andmesubjektidele kättesaadavaks teha
andmetöötlustingimused vastavalt IKÜMi artiklitele 13 ja 14.
Lisaks on töötlemistoimingute registri pidamine aluseks ka asjakohaste tehniliste ning
korralduslike turvameetmete rakendamisele, mida nõuab IKÜMi artikkel 32.
Inspektsioon ei näe käesoleva ettepaneku muudatustes selget õiguspärast eesmärki ega kasu,
arvestades, et nimetatud muudatused ei vabasta vastutavaid andmetöötlejaid nende kohustustest
ning võivad tekitada regulatiivset segadust ning halduskoormuse vähenemise näilise mõju arvelt
tõsisemaid järelevalvealaseid riske. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Kirsika Nigul
6828712
|
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Kristi Värk Justiitsministeerium [email protected]
Teie 28.05.2025 nr 10-4/4625-1 Meie 06.06.2025 nr 2.3-4/25/1721-2
Arvamuse avaldamine isikuandmete kaitse üldmääruse muutmise ettepanekule Andmekaitse Inspektsioon (edaspidi Inspektsioon) esitab käesolevaga oma arvamuse seoses
Euroopa Komisjoni ettepanekuga muuta isikuandmete kaitse üldmäärust (Euroopa Parlamendi ja
nõukogu määrus (EL) 2016/679, edaspidi IKÜM).
Olulisimaks muudatuseks IKÜMis peab Inspektsioon muudatust artikli 30 lõikes 5, mille kohaselt
ettevõtjad ja organisatsioonid, kelle töötajate arv jääb alla 750, ei oleks kohustatud pidama
isikuandmete töötlemise toimingute registrit.
Samuti kitsendab ettepanek artikli 30 lõike 5 erandeid ning jätab andmetöötlustoimingute registri
pidamise kohustuse kehtima vaid kõigile sellistele andmetöötlejatele, kes töötlevad isikuandmeid
viisil, mis vastab IKÜM artikli 35 tähenduses suure ohuga töötlemistoimingutele.
Andmetöötlustoimingute registri pidamise kohustuse seostamine üksnes vähemalt 750 töötajaga
ettevõtetega tekitab põhjendatud küsimusi. Eesti kontekstis on tegemist väga suure
organisatsiooniga, mistõttu jääb ebaselgeks, millistele andmetele või põhjendustele Euroopa
Komisjon on sellise lävendi määramisel tuginenud.
Statistikaameti andmete kohaselt oli aastal 2024 Eesti ettevõtetes töötajaid järgmiselt1:
vähem kui 10 töötajat 150 612 ettevõttes;
10-49 töötajat 6 461 ettevõttes;
50-249 töötajat 1 118 ettevõttes;
rohkem kui 250 töötajat 187 ettevõttes.
250 ja rohkem töötajat on Eestis seega vaid umbes 0,1% ettevõtetes, kellel on hetkel kohustus
pidada töötlemise toimingute registrit. See tähendab, et tegelikkuses on registri pidamise kohustus
juba täna väga väikesel osal ettevõtetest ning suurem osa ei puutu vastava halduskoormusega üldse
kokku. IKÜMi lihtsustamine on osa Euroopa Komisjoni algatatud väikeste ja keskmise suurusega
ettevõtjate halduskoormuse vähendamise paketist (SME Relief Package), kuid 750 töötajaga
ettevõte ei ole Eesti mõistes ei väike ega keskmine ettevõte, vaid suur organisatsioon. Leiame, et
selline künnis ei arvesta liikmesriikide erinevat majanduslikku ja organisatsioonilist struktuuri
ning võib praktikas viia olukorrani, kus märkimisväärne hulk isikuandmete töötlejaid ei kuulu
enam registri pidamise kohustuse alla.
Inspektsioon juhib tähelepanu, et töötlemistoimingute register ei ole üksnes formaalne
dokumentatsiooninõue, vaid oluline tööriist vastutavale andmetöötlejale tema
1 Statistikaamet. Statistika andmebaas. Majandus. Majandusüksused. Ettevõtted. ER028: STATISTILISSE PROFIILI KUULUVAD ETTEVÕTTED TÖÖTAJATE ARVU JA MAAKONNA JÄRGI
2 (2)
töötlemisprotsesside adekvaatseks analüüsiks ja kavandamiseks, sealhulgas isikuandmete liikide,
töötlemise eesmärkide, kestuse ning meetodite selgitamiseks.
Olenemata sellest, kas vastutav andmetöötleja on registri pidamise kohustusest vabastatud või
mitte, lasub tal kohustus enne isikuandmete töötlemise algust põhjalikult läbi mõelda ja
dokumenteerida töötlemistoimingute olemus – selleta ei ole võimalik tõendada ega tagada IKÜMi
artiklites 5, 13 ja 14 sätestatud põhimõtete ning kohustuste nõuetekohast täitmist.
Näiteks juhul, kui andmetöötleja ei ole põhjalikult kaardistanud tema poolt töödeldavaid
isikuandmeid, ei ole tal võimalik tagada andmete minimaalsuse põhimõtte järgimist (IKÜM
artikkel 5 lõige 1 punkt c) ega tõendada vastavust muudele IKÜMi artiklis 5 sätestatud töötlemise
põhimõtetele. Samuti ei vabasta töötlemistoimingute registri mittepidamine vastutavat
andmetöötlejat kohustusest koostada ja andmesubjektidele kättesaadavaks teha
andmetöötlustingimused vastavalt IKÜMi artiklitele 13 ja 14.
Lisaks on töötlemistoimingute registri pidamine aluseks ka asjakohaste tehniliste ning
korralduslike turvameetmete rakendamisele, mida nõuab IKÜMi artikkel 32.
Inspektsioon ei näe käesoleva ettepaneku muudatustes selget õiguspärast eesmärki ega kasu,
arvestades, et nimetatud muudatused ei vabasta vastutavaid andmetöötlejaid nende kohustustest
ning võivad tekitada regulatiivset segadust ning halduskoormuse vähenemise näilise mõju arvelt
tõsisemaid järelevalvealaseid riske. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor Kirsika Nigul
6828712
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|