| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/642-3 |
| Registreeritud | 25.03.2024 |
| Sünkroonitud | 25.03.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | AS Jetoil |
| Saabumis/saatmisviis | AS Jetoil |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39, 10134 Tallinn Telefon 627 4135
Registrikood 70004235 E-post [email protected] www.aki.ee
Lp Ann Kraak
AS Jetoil
Teie 08.03.2024 nr Meie 25.03.2024 nr 2.2-9/24/642-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles kirjutate: Kirjutan seoses klientide andmete ja isikukoodiga.Meil on automaattanklad, kus üheks maksevõimaluseks
on ka sularaha. Kuna sularaha automaattankla ei tagasta, siis teeme sellised tagastused
pangaülekandega. Selleks, et meie raamatupidaja saaks tagastust teha, on vajalikud andmed tankimise
kuupäev, kellaaeg, tankla asukoht, kütusemark, sisestatud sularaha summa, pangakontonumber ja selle
omaniku täisnimi. Et vältida segadust isiku tuvastamisel juhul kui mitmel kliendil on sama nii ees- kui ka
perekonnanimi, oleks hea küsida ka isikukoodi. Kas meil on õigus inimestelt lisaks nimele ka isikukoodi
küsida?
Kui olete seisukohal, et klientide selline andmetöötlus on õigustatud, sh isikukoodi küsimine, siis
ükski õigusakt otsesõnu isikukoodi küsimist ei keela. Küll aga tuleb Teil läbi mõelda, kas küsite
siiski minimaalselt vajalikku andmekoosseisu eesmärgi täitmiseks ja kas kliendid on sellisest
andmetöötlusest enne teenuse kasutama asumist informeeritud.
Selgitame, et isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a sätestab, et isikuandmete
töötlemine peab olema seaduslik ja andmesubjektile läbipaistev; samuti tohib isikuandmeid
koguda üksnes kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb
eesmärgi seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Seda, millisel õiguslikul alusel
ja eesmärgil andmetöötlust läbi viiakse, peab IKÜM art 5 lg 2 kohaselt selgitama ja
tõendama andmetöötleja ise, mitte Andmekaitse Inspektsioon. Kui õiguslik alus puudub, siis
andmeid töödelda ei tohi.
Oluline on, et enne andmete kogumist tuleb ettevõttel koostada andmekaitsetingimused või
viidata juba koostatud andmekaitsetingimustele, kus selgitatakse, milliseid andmeid, millisel
eesmärgil ning õiguslikul alusel kogutakse. Andmekaitsetingimused on kirjeldus, mis aitab
inimesel omada ülevaadet, mida tema andmetega tehakse. Seetõttu on oluline, et
andmekaitsetingimused oleksid sõnastatud lihtsalt ja inimesele arusaadavalt ning need peavad
olema kättesaadavad tasuta ja inimesele hõlpsasti leitavad (nt võrgulehel). Soovitame, et see
teave oleks isikule kättesaadav näiteks ka tankimise automaadi juures (vähemalt viide, kus isik
saab tutvuda kõigi tingimustega).
Ettevõte saab andmekaitsetingimustele tuginedes paremini kontrollida oma andmetöötluse
protsesse. Mida läbipaistvam on ettevõtte või asutuse andmetöötlus, seda enam peegeldub see
andmekaitsetingimustest.
2 (2)
Ettevõtte või asutuse andmekaitsetingimuste dokument peaks vastama vähemalt neljale „milline
on“ küsimusele.
1. Milline on andmete kogumise õiguslik alus?
2. Milline on andmete elutsükkel ehk kui kaua andmeid erinevates andmetöötlusprotsessides
kasutatakse?
3. Milline on ettevõtte või asutuse roll erinevate andmete töötlemisel, s.t kas tegemist on
vastutava, kaasvastutava või volitatud töötlejaga?
4. Milline on inimese võimalus saada teavet enda andmete kohta?
Olulised on ka vastused kolmele „kas“ küsimusele.
1. Kas toimub andmete automaattöötlus?
2. Kas annate andmeid edasi kolmandatele osapooltele ja kui, siis millisel õiguslikul alusel?
3. Kas on esitatud andmetöötleja enda kontaktandmed?
Eelpool loetletud on baasküsimused, tegelik küsimuste arv sõltub andmetöötluse ulatuslikkusest
ning sellest, kui palju see haarab töötlustoiminguid ja milliseid inimeste gruppe (nt kliendid,
töötajad vms). Nt peaks olema andmete säilitamine minimaalne ehk kustutatud kohe kui eesmärk
on täidetud (kui osutub vajalikuks andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua
välja konkreetne põhjendatud aeg, millal andmed kustutatakse).
Kokkuvõtvalt, Te peate andmesubjekte teavitama andmete töötlemise tingimustest. Isikuandmete
kogumiseks peab olema õiguslik alus ning Teil peavad olema koostatud andmekaitsetingimused,
kus siis märgite ära, milliseid andmeid kogute, millisel eesmärgil, kaua säilitate ning muu oluline
informatsioon, lähtudes seejuures nii minimaalsuse kui eesmärgipärasuse nõuetest.
Läbipaistvuse põhimõttest ja andmekaitsetingimuste nõuetest saab lugeda Isikuandmete töötleja
üldjuhendi peatükist 10. Andmekaitsetingimuste koostamisest leiab informatsiooni ka siit.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Korduv pöördumine | 12.03.2024 | 13 | 2.2-9/24/642-2 | Sissetulev kiri | aki | AS Jetoil |
| Selgitustaotlus | 08.03.2024 | 17 | 2.2-9/24/642-1 | Sissetulev kiri | aki | AS Jetoil |