| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/25/2298-2 |
| Registreeritud | 25.07.2025 |
| Sünkroonitud | 28.07.2025 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Helen Laane (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp juhatus
NordicOne OÜ
25.07.2025 nr 2.2-10/25/2298-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) on saanud mitmeid pöördumisi, mille kohaselt saatis restoran
Salt (NordicOne OÜ) 15.07.2025 turundusliku sisuga e-kirja paljude isikute e-posti aadressidele,
mis olid kõik adressaatide nimekirjas saajatele nähtavad.
AKI selgitab, et isikuandmeteks peetakse andmeid, mille kaudu on inimest võimalik otseselt või
kaudselt tuvastada, näiteks inimese nimi, kontaktandmed jmt. Isikuandmete töötlemine on
igasugune nendega tehtav toiming, näiteks nende kogumine, kasutamine, edastamine vms.1
Isikuandmete töötlemist reguleerib isikuandmete kaitse üldmäärus (IKÜM).
Eraisiku e-posti aadress kuulub isikuandmete hulka. Kuivõrd e-posti aadressid on tavapäraselt
loodud isikute nimede alusel, võivad konkreetsed inimesed olla tuvastavad. Isikuandmete
töötlemise hulka kuulub mh e-posti aadressi kasutamine, säilitamine, edastamine, levitamine jne.
Isikuandmete seaduslikuks töötlemiseks peab olema õiguslik alus (nt inimese nõusolek, lepingu
täitmine, õigustatud huvi vms).2 Lisaks sellele peab täitma isikuandmete töötlemise põhimõtteid,
muuhulgas peab andmetöötlus olema läbipaistev, kooskõlas selleks ettenähtud eesmärgiga,
piirduma minimaalselt vajalikuga jne.3
E-posti aadressi üldreeglina ilma inimese nõusolekuta avaldada ega jagada ei tohi. Nii ei ole
isikuandmete kaitse nõuetega kooskõlas olukord, kus ilma eelnevalt küsitud nõusolekuta
saadetakse e-kiri viisil, kus selle adressaadid koos e-posti aadressidega on kõikidele kirja saajatele
näha. Kusjuures problemaatiline ja küsitav on seegi, kui e-kirja saatja on saanud kunagi varem
kellegi e-posti aadressid, siis kas ja mis tingimustel võiks neid nüüd uuesti teistel eesmärkidel
kasutada. Kui andmetöötlejale (ettevõttele) on antud nõusolek kasutada e-posti aadressi mingitel
kindlatel eesmärkidel, siis ei ole lubatud seda hiljem muul eesmärgil kasutada nt otseturustuse
saatmiseks.
Ühtlasi tuleb arvestada sedagi, et iga e-kiri, mis välja saadetakse, võib jõuda isikuteni, kellele see
konkreetne kiri ei ole adresseeritud – seda ennekõike siis, kui eksitakse e-posti aadresside
kirjutamisel. Selle tulemusena võivad kõrvalised isikud teada saada informatsiooni, mis ei ole neile
mõeldud – olgu selleks nii kirja adressaadid koos e-posti aadressidega kui ka kirja enda sisu. Kõige
mustema stsenaariumi tulemusena võidakse selle kirja sisu (koos e-posti aadressidega) edastada
veel suuremale isikute ringile või laiemale avalikkusele. Sellepärast tulebki eraisikute e-posti
1 Isikuandmete kaitse üldmäärus (IKÜM) artikkel 4 p 1 ja p 2. 2 IKÜM artikkel 6. Rohkem infot leiab AKI kodulehelt. 3 IKÜM artikkel 5. Rohkem infot leiab AKI kodulehelt.
2 (2)
aadresside kasutamisel kindlasti arvestada isikuandmete töötlemise reeglitega, sh tuleb eelistada
neid meetmeid, mis kohe alguses tagavad suurema privaatsuse. E-kirjade saatmisel võiks seega
taolistel puhkudel eelistada varianti, kus e-posti aadressid on pimekoopias.
Otseturustuspakkumiste saatmist reguleerib elektroonilise side seadus (ESS). Füüsilisest isikust
kliendi elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud üksnes kliendi
eelneval nõusolekul.4 Nõusolek peab vastama IKÜM-s toodud nõuetele, eelkõige olema
vabatahtlik, teadlik ja selge, ning selle olemasolu tõendamise kohustus on vastutaval töötlejal.5
Samuti peab olema isikule tagatud õigus igal ajal keelata teda käsitlevate andmete töötlemine
otseturustuseks. Kui isik on selgelt väljendanud soovi pakkumisi mitte saada, siis ei ole edasine
pakkumiste saatmine lubatud.
Lisaks tuleb isikule anda iga kord, kui tema elektroonilisi kontaktandmeid kasutatakse
otseturustuseks, selge ja arusaadav võimalus tasuta ning lihtsal viisil keelata oma kontaktandmete
selline kasutamine ning isikul peab olema võimalus nimetatud õigust realiseerida elektroonilise
side võrgu kaudu.6 Näiteks on võimalik e-kirja lõppu lisada vastav loobumislink.
Eeltoodust tulenevalt juhib inspektsioon NordicOne OÜ tähelepanu sellele, et e-posti
aadresside ja muude isikuandmete töötlemiseks peab olema õiguslik alus ja eesmärk. E-
kirjade saatmisel paljudele e-posti aadressidele tuleb e-posti aadressid panna pimekoopiasse, et
isikuandmed ei oleks kõigile kirja adressaatidele näha.
Kliendi kontaktandmete (sealhulgas e-posti aadressi) kasutamine otseturustuspakkumiste
saatmiseks ilma, et kliendilt oleks andmete kogumisel sellekohast nõusolekut küsitud, rikub
ESS-st tulenevaid nõudeid. Samuti peab otseturustuspakkumistes olema selgelt ja arusaadavalt
välja toodud teave, mismoodi pakkumistest loobuda.
NordicOne OÜ-l tuleb edaspidi viia isikuandmete töötlemine (sealhulgas
otseturustuspakkumiste saatmine) kooskõlla ESS-st ja IKÜM-ist tulenevate nõuetega.
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota.
Lugupidamisega
Helen Laane
jurist
peadirektori volitusel
4 ESS § 1031 lg 1. 5 IKÜM art 4 punkt 11 ja art 7. 6 ESS § 1031 lg 4.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastus pöördumisele | 25.07.2025 | 3 | 2.1-1/25/1080-2294-2 🔒 | Väljaminev kiri | aki | T.L |
| Menetluse lõpetamine isikuandmete kaitse asjas | 25.07.2025 | 3 | 2.1-1/25/1081-2295-2 🔒 | Otsus | aki |