| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/25/2587-2 |
| Registreeritud | 26.08.2025 |
| Sünkroonitud | 27.08.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | SA Tallinna Lastehaigla |
| Saabumis/saatmisviis | SA Tallinna Lastehaigla |
| Vastutaja | Mari-Liis Uprus (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Piret Leevald
SA Tallinna Lastehaigla
Teie 07.08.2025 Meie 26.08.2025 nr 2.3-8/25/2587-2
Vastus nõudekirjale
Andmekaitse Inspektsioon (AKI) sai SA Tallinna Lastehaigla pöördumise, milles soovite selgitusi
saada töötajate e-kirjade ja sellega seonduva andmetöötluse kohta.
Soovite vastuseid küsimustele kas töötaja poolt konkreetsele töötajale suunatud e-kirju võib kirja
saaja hiljem edasi kolleegidele saata ning kas töötaja peab kirjutama tööl kirju viisil ja teadmisega,
et sisuliselt kõik töötajad võivad olla võimalikeks e-kirjade saajateks. Lisaks soovite teada, kas
peaks võtma sellisel juhul kirja koostajalt eelneva nõusoleku või töötajat teavitama. Soovite ka
teada, kas kirja märkimine konfidentsiaalseks omab mingit õiguslikku mõju ning kas e-kirja saaja
peab mõistma ja aru saama, et tegemist on vaid temale suunatud e-kirjaga ja mitte kolmandatele
osapooltele seda kirja edastama. Küsite, kas sellisel juhul on töötajal õigus pöörduda Andmekaitse
Inspektsiooni poole, kui tema õigusi on rikutud ja kas ettevõttele või töötajale võib kaasneda
vastutus andmetöötlusnõuete rikkumise eest.
Esmalt selgitame, et isikuandmed on andmed, mille põhjal on võimalik otseselt või kaudselt
tuvastada konkreetne füüsiline isik vastavalt isikuandmete kaitse üldmääruse1 (IKÜM) art 4
punktile 1. Isikuandmeteks on ka nimeline e-postkast ja seal sisalduvad kirjad, mis sisaldavad
töötaja ja teiste isikute andmeid. Isegi kui töötaja e-postkastis olevad andmed võivad olla seotud
tööalaste ülesannete täitmisega, siis juhul, kui nende andmete kaudu on tuvastatav konkreetne
füüsiline isik (ja juba ainuüksi nimelise e-posti aadressi järgi on), on tegemist töötaja isikuandmete
töötlemisega IKÜM art 4 p 2 tähenduses.
Isikuandmete töötlemiseks peab olema õiguslik alus ja andmetöötlus peab vastama isikuandmete
töötlemise põhimõtetele2. Töösuhtest ja tööalasest teadmisvajadusest tulenevalt on teatud töötaja
isikuandmete töötlemiseks tööandjal olemas õiguslik alus (tulenevalt töölepingust3), samas on
töötaja eraelu sfääri jäävate isikuandmete (e-postkastis olevate isiklike e-kirjade) töötlemiseks
õigusliku aluse leidmine keerulisem. Alternatiivselt võib töötaja e-postkasti sisu töötlemise
õigusliku alusena tulla kõne alla eelkõige IKÜM art 6 lg 1 punkt f (andmetöötleja õigustatud huvi,
mis ei kaalu üles andmesubjekti õiguseid ja huve), teatud juhtudel ka IKÜM art 6 lg 1 punkt c
(seadusest tuleneva kohustuse täitmine). Esimene on seotud olukordadega, kus tööandjal on tõesti
selline huvi töötaja e-postkasti sisuga tutvuda, et see ei kaalu töötaja huve ega õigusi üles. IKÜM-
i art 6 lg 1 p-le f tuginemine eeldab, et tööandja on eelnevalt läbi viinud õigustatud huvi analüüsi4.
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679,27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) 2 Vt IKÜM art 5. 3 IKÜM art 6 lg 1 p b. 4 Loe õigustatud huvi kohta AKI veebilehelt ja juhendist.
2 (3)
Teine on aga seotud olukordadega, kus tööandja peab täitma mõne talle seadusega ette nähtud
kohustuse (puudub valikuvõimalus, kas täita seadusega pandud kohustust või mitte) ja selle
täitmiseks on möödapääsmatu töötaja e-postkastis olevaid e-kirju lugeda.
Tööandjal on õigus ja kohustus kehtestada töökorralduse reeglid.5 Töötaja peab tööandja loodud
e-posti aadressi kasutamisel lähtuma töökorralduse reeglitest. Tööandja peab arvestama
võimalusega, – kuni ta ise ei ole kehtestanud teistsuguseid reegleid, et töötaja võib tööalast e-posti
aadressi näiteks ka isiklikuks suhtluseks kasutada. Isegi kui tööandja kehtestab töökorralduse
reegli, mille kohaselt on töötajal keelatud tööalast e-posti aadressi isiklikuks suhtluseks kasutada,
peab tööandja arvestama siiski võimalusega, et töötaja e-postkastis võib olla tema eraelu
puudutavaid isikuandmeid. Nii peab tööandja selgelt läbi mõtlema, miks ja mida ta soovib seoses
töötaja e-postis sisalduva teabega teha, kuna see võib endaga kaasa tuua nõuetele mittevastava
andmetöötluse. Töökorralduse reeglid e-posti kasutamisel on vajalikud ühest küljest töötajate endi
õiguste kaitseks, teisalt aga e-kirjades sisalduvate kolmandate isikute isikuandmete kaitseks. Kui
on üheselt selge, kas ja mis tingimustel võib töötaja tööalast e-posti aadressi kasutada, on ka
tööandjal võimalik vähendada isikuandmetega seotud võimalikke riske, mh näiteks isikuandmete
kadu andmelekke tagajärjel. Lisaks reeglitele, kuidas töötaja e-posti aadressi kasutab, tuleks
reguleerida ka töötajale eraldatud e-postkastiga seotud tööandja enda õigused, ning lisada
konfidentsiaalsuskohustus nii infosüsteemi administraatorite kui ka teiste isikute töölepingusse,
kellel on töötaja e-postile juurdepääs. Tähele tuleb panna, et töökorralduse reeglitega ei saa
tööandja kehtestada selliseid piiranguid ega luua endale õigusi, mis on vastuolus põhiseaduse või
teiste õigusaktidega, nt IKÜM-iga. Näiteks ei saa tööandja kehtestada õigust rikkuda töötaja
erakirjade sõnumisaladust.
Sõltuvalt töö iseloomust võib e-posti teel liikuda väga suur hulk tööalast informatsiooni, mida alati
muul viisil ei salvestatagi. Töötaja e-postkastist info otsimise või edastamise vältimiseks tasub
tööandjal kehtestada nõue, et kogu vajalik info salvestatakse ka tööandjale (või teistele töötajatele)
juurdepääsetavale andmekandjale, võrgukettale vms keskkonda. Lisaks soovitame võimalusel
isikute nimeliste aadresside asemel kasutada ametikohast tulenevaid e-posti aadresse. Juhul, kui
asutuses on mõned ametikohad, mille puhul e-postkasti sulgemine võib segada töökorraldust,
soovitame kaaluda isikute nimeliste aadresside asemel kasutada ametikohast tulenevat e-posti
aadressi (nt [email protected]). Kui aga on siiski vajadus töötajate nimelistelt e-posti
aadressidelt e-kirju edastada, siis tuleks arvestada, et kirja edasisaatmine peab olema
vajaduspõhine ja eesmärgiga täita tööülesannet. Kui kiri sisaldab puhtalt tööinfot (nt protsess,
tehniline juhis vms) ja ei sisalda rohkem isikuandmeid, kui e-posti aadressis sisalduv isiku nimi,
ei ole probleemi selle edastamisega kolleegidele, kellel on teave töökohustuste täitmiseks vajalik.
Lähtuda tuleks igal juhul ka eesmärgipärasusest ja minimaalsusest6 (võimalusel katta üleliigsed
read, valida kitsas adressaatide ring jms). Nõusoleku küsimisega seonduvalt selgitame, et kui
edasisaatmise vajadus töökohustuse täitmiseks on selge ja seega tööandjal on isikuandmete
töötlemiseks olemas muu õiguslik alus, ei ole sellisel juhul nõusoleku küsimine asjakohane. Lisaks
märgime, et teemareal kirja märkimine „privaatne ja konfidentsiaalne“ ei loo mingit õiguslikku
keeldu isikuandmete töötlemiseks, kuid on selge signaal saatja ootustest käsitleda kirja
mitteavaliku infona. Kui märgistusega kiri sisaldab eraviisilist suhtlust, ei tohiks seda
kolmandatele isikutele ilma saatja nõusolekuta avaldada, küll aga ei takista selline märge tööalase
info edastamist, kui isikuandmete töötlemiseks on olemas õiguslik alus (nt IKÜM art 6 lg 1 p b, f
või c), samas tuleks juhul, kui kiri sisaldab ka isiklikku teavet, see võimalusel kinni katta või leida
muu viis tööalase info vahetamiseks.
Eeskirjade kehtestamine ei vabasta tööandjat kohustuste täitmisest ega võimalikust vastutusest
ebaseadusliku tegevuse eest. Alati eksisteerib ka oht, et töötaja eraelu puutumatust või
5 TLS § 5 lg 1 p 11: Töölepingu kirjalikus dokumendis peavad sisalduma muuhulgas ka tööandja kehtestatud reeglid töökorraldusele. Samamoodi näeb TLS § 28 lg 2 p7 ette tööandjale kohustuse tutvustada töötajale tööandja kehtestatud töökorralduse reegleid. 6 IKÜM art 5.
3 (3)
sõnumisaladust rikutakse tahtmatult. Mida vähem on tööandja rakendanud preventiivseid
meetmeid (reguleerinud e-posti kasutamist, koolitanud töötajaid jms) seda suurem on tööandja risk
töötaja ja töötajaga kirjavahetuses olevate kolmandate isikute isikuandmete töötlemiseks ja nende
sõnumisaladuse või eraelu puutumatuse rikkumiseks. Igal andmesubjektil on IKÜM art 77 tulenev
õigus esitada kaebus järelevalveasutusele, kui ta leiab, et tema isikuandmeid on töödeldud
õigusvastaselt ning isikuandmete nõuetekohase töötlemise eest vastutab isikuandmete vastutav
töötleja.7
Loodame, et vastusest on abi.
Lugupidamisega
Mari-Liis Uprus
jurist
peadirektori volitusel
7 Vt IKÜM art 5 lg 2, art 4 p 7, art 24 lg 1.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|