| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/1807-2 |
| Registreeritud | 18.06.2025 |
| Sünkroonitud | 19.06.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Paavli Kaltsukas OÜ |
| Saabumis/saatmisviis | Paavli Kaltsukas OÜ |
| Vastutaja | Grete-Liis Kalev (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Toomas Erendi
Paavli Kaltsukas OÜ
Teie 03.06.2025 nr Meie 18.06.2025 nr 2.2-9/25/1807-2
Vastus selgitustaotlusele
Pöördusite Andmekaitse Inspektsiooni (AKI) poole küsimusega, mis puudutab andmesubjekti
(inimese) taotlusi. Selgitustaotlusele vastates ei saa AKI anda konkreetset siduvat õiguslikku
hinnangut, see on võimalik ainult järelevalvemenetluses. AKI-l on kohustus anda õigusalaseid
selgitusi asutuse tegevuse aluseks olevate õigusaktide ning asutuse pädevuse ja õigusloome
tegevuse kohta.1 Seetõttu selgitan järgnevalt üldiselt isikuandmete kaitse üldmäärusest (IKÜM)2
tulenevaid nõudeid.
Esmalt, isikuandmed on andmed, mille kaudu on võimalik konkreetset füüsilist isikut otseselt või
kaudselt tuvastada, näiteks tema nime, isikukoodi või e-posti aadressi kaudu. Andmetöötlejana
peate tagama, et isikuandmete töötlemiseks (sh avalikustamiseks) on olemas õiguslik alus, kindel
ja selge eesmärk. Oluline on meelde jätta, et isikuandmete töötlemisel peab lähtuma isikuandmete
töötlemise põhimõtetest, sh turvalisuse ja konfidentsiaalsuse põhimõttest.3
Isikuandmete konfidentsiaalsuse tagamine on andmekaitse üks peamisi põhimõtteid, millega
andmetöötleja nii konteksti kui laiemalt ohupilti silmas pidades peab alati arvestama. Kui teenus
paljastab lihtsal moel, et konkreetne e-posti aadress on juba kasutusel ning kurjategijal peaks
mingil põhjusel olema selle aadressi suhtes kõrgendatud huvi või kurjategija käsutuses on näiteks
ka sama e-posti aadressiga seotud võimalikud erinevad salasõnad, on tõenäosus inimese konto
ülevõtmiseks suur. Seega peate antud olukorras hindama, kas olemasolevad tehnilised lahendused
ja sõnastused on piisavad, et kolmandad isikud ei saaks tuvastada inimese ja tema andmete seotust
konkreetse e-teenusega. Soovitan tutvuda AKI juhendiga, mis sisaldab andmeturbe soovitusi e-
poodidele.
Selgitan ka täpsemalt erinevate taotluste olemust. Kui inimene esitab isikuandmete töötlemisega
seotud taotluse, näiteks IKÜM artikkel 15 alusel, siis sellele taotlusele tuleb vastata tarbetu
viivituseta, kuid mitte hiljem kui 1 kuu pärast taotluse saamist.4 Keeruliste ja mahukate taotluste
korral võib ühekuulist tähtaega pikendada kuni kahe kuu võrra, kuid sellisel juhul peate
pikendamist inimesele põhjendama. Juhul, kui Te ei vasta isikule 1 kuu jooksul pärast taotluse
saamist või vastus ei ole rahuldav, siis tal on õigus esitada meile kaebus.
1 Märgukirjale ja selgitustaotlusele vastamise ning kollektiivse pöördumise esitamise seadus § 3. 2 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016. Veebis: https://eur-lex.europa.eu/legal-
content/ET/TXT/HTML/?uri=CELEX:32016R0679 3 Vaata lähemalt AKI isikuandmete töötleja üldjuhendist, mis on andmetöötleja kohustused. Veebis:
https://www.aki.ee/isikuandmed/juhendid-ja-materjalid/isikuandmete-tootleja-uldjuhend 4 IKÜM artikkel 12 lõige 3.
2 (2)
IKÜM artikkel 15 taotlus tähendab seda, et inimesel on õigus küsida teavet, kuidas ja millisel
tutvuda eesmärgil tema isikuandmeid töödeldakse. Sellele taotlusele vastates peate arvestama, et
inimesel õigus teada, millisel õiguslikul alusel tema isikuandmeid töötlete ehk IKÜM artiklist 15
tulenev õigus on seotud laiemalt ka läbipaistvuse põhimõttega. Õiguslikud alused on nimetatud
IKÜM artiklis 6 lõikes 1. IKÜM artikli 15 taotluse kohta saate täpsemalt lugeda siit: Andmetega
tutvumine | Andmekaitse Inspektsioon
IKÜM artiklist 18 annab inimesele õiguse nõuda isikuandmete töötlemise piiramist. Piiramise
erinevad olukorrad on toodud IKÜM artiklis 18 lõikes 1 punktides a – d. Isikuandmete töötlemise
piiramise taotluse kohta saate täpsemalt lugeda siit: Isikuandmete töötlemise piiramine |
Andmekaitse Inspektsioon.
IKÜM artikkel 21 annab inimesele õiguse esitada vastuväide enda isikuandmete töötlemisele, kui
töötlete isikuandmeid õigustatud huvi või alusel. Õigustatud huvi kohta saate täpsemalt lugeda siit:
Õigustatud huvi | Andmekaitse Inspektsioon. Artikli 21 vastuväite saamisel peate isikuandmete
töötlemise lõpetama, va kui tõendate, et töötlete isikuandmeid mõjuval õiguspärasel põhjusel, mis
kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise
või kaitsmise eesmärgil. Vastuväidete esitamise kohta saate täpsemalt lugeda siit: Vastuväidete
esitamine | Andmekaitse Inspektsioon.
Kokkuvõtlikult, hiljemalt 1 kuu jooksul pärast taotluse saamist peate vastama isikule, mis
eesmärgil ja õiguslikul alusel tema isikuandmeid töötlete ja kas täidate tema isikuandmete
piiramise taotluse. Kui töötlete isikuandmeid õigustatud huvi alusel, siis peate hindama ka IKÜM
artikli 21 alusel esitatud vastuväidet ja tõendama, kas edasine andmetöötlus on õiguspärane.
Loodan, et vastusest on abi.
Lugupidamisega
Grete-Liis Kalev
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|