| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3200-2 |
| Registreeritud | 20.10.2025 |
| Sünkroonitud | 21.10.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | P.P. Ehitusjärelevalve OÜ |
| Saabumis/saatmisviis | P.P. Ehitusjärelevalve OÜ |
| Vastutaja | Mari-Liis Uprus (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Kalev Pikaru
P.P. Ehitusjärelevalve OÜ
Teie 03.10.2025 Meie 20.10.2025 nr 2.2-9/25/3200-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise. Küsite, kas lepingus tellija poolt esitatud
nõue, et teenuse osutamisega seotud objektil viibimine peab olema isikute kaupa reaalajas GPS-
positsioneeritav ja tellija poolt jälgitav, on õiguspärane. Olete esitanud AKI-le lepingupunkti,
mille osas soovite õiguslikku hinnangut ning vajate selget juhist, kuidas edasi toimida.
Esmalt selgitame, et AKI ei saa selgitustaotlusele vastates anda konkreetsele juhtumile siduvat
õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses. AKI kohustus on
märgukirjale ja selgitustaotlusele vastamise ning kollektiivse pöördumise esitamise seaduse
§-st 3 tulenevalt anda õigusalaseid selgitusi asutuse tegevuse aluseks olevate õigusaktide ning
asutuse pädevuse ja õigusloome tegevuse kohta. Seega ei saa me anda õigusnõu ega sekkuda
lepinguõiguslikesse vaidlustesse ning olete toiminud õigesti pöördudes selles osas õigusnõustaja
poole. Küll aga saame anda selgitusi isikuandmete töötlemise nõuete kohta, juhul kui otsustate
töötajate positsioneerimist kasutada ning selgitame veelkord isikuandmete töötlemise nõudeid
lähtuvalt Teie kirjeldatud olukorrast.
Antud juhul on oluline välja selgitada, milline on ettevõtete roll isikuandmete töötlemisel.
Isikuandmete kaitse üldmääruse (IKÜM) kohaselt1 on mõistetel „vastutav töötleja“,
„kaasvastutav töötleja“ ja „volitatud töötleja“ keskne tähendus, kuna nende kaudu määratakse
kindlaks, kes vastutab andmekaitsenõuete täitmise eest ning millised on töötaja praktilised
võimalused oma õigusi kasutada. Vastutav töötleja on kohustatud rakendama asjakohaseid
tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemise vastavus IKÜM-le ning
suuta seda vajadusel tõendada2. Kui andmeid töödeldakse osapoolte koostöös, tuleb
kaasvastutavate töötlejate puhul selgelt kokku leppida, kes mille eest vastutab ja kuidas
täidetakse IKÜM-st tulenevaid kohustusi.3 Vastutav töötleja peab sõlmima volitatud töötlejaga
siduva lepingu, mis määratleb täpselt, milliseid nõudeid volitatud töötleja peab täitma.4
Andmetöötlusleping peab olema põhjalik, vastama artikli 28 nõuetele ning selgelt määratlema
poolte rollid ja vastutuse isikuandmete töötlemisel. Ebapiisavad või ebatäpsed lepingud võivad
jätta olulised küsimused vastuseta ning põhjustada raskusi andmekaitsenõuete täitmisel. Seetõttu
on oluline tagada, et kõik andmete töötlemisega seotud üksikasjad oleksid lepingus õigesti
määratletud, volitatud töötleja järgiks vastutava töötleja antud juhiseid isikute õiguste kaitse ja
andmete turvalisuse tagamiseks.
1 Vt Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta
(isikuandmete kaitse üldmäärus) artikkel 4 p-d 7-8. 2 IKÜM art 24; 3 IKÜM art 26; 4 IKÜM art 28.
2 (2)
Tööandja vastutava andmetöötlejana saab GPS-seadmetega töötajate andmete töötlemisel
tugineda õigustatud huvi õiguslikule alusele, nii nagu eelnevas selgitustaotluse vastuses juba ka
selgitatud. Tulenevalt IKÜM artikli 6 lg 1 punktist f tulenevalt on isikuandmete töötlemine
seaduslik juhul kui see on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral.
Seega saab olla õigustatud huvi ka kolmandal isikul (nt antud juhul tellijal). Seda õiguslikku alust
saab kasutada aga üksnes siis, kui vastutav andmetöötleja on teostanud andmetöötleja ja töötajate
vastandlike huvide kaalumise ning jõudnud järelduseni, et seadme kasutamine ei riiva
ülemääraselt töötajate huvisid. Olukorras, kus andmetöötluseks konkreetne õiguslik alus puudub,
ei tohi ka andmeid sellisel viisil töödelda.
Sõltumata õiguslikust alusest, on andmetöötlejal kohustus järgida muuhulgas ka järgnevaid
põhimõtteid5:
- töötlemine on seaduslik, õiglane ja isikule läbipaistev;
- eesmärgi piirang – isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning
õiguspärastel eesmärkidel;
- võimalikult väheste andmete kogumine – isikuandmed on asjakohased, olulised ja piiratud
sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt. Isikuandmeid võib koguda vaid
ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks. Isikuandmete töötleja peab
andmete töötlemisel alati eelnevalt ka hindama, kas andmetöötlus on ikka tõesti eesmärgi
täitmiseks vajalik ning kas just sellises ulatuses.
Igasuguse andmetöötluse puhul peab tagama isikuandmete turvalisuse, kasutades asjakohaseid
tehnilisi või korralduslikke meetmeid6. Isikuandmeid tohib infosüsteemides kasutada ainult
selleks otstarbeks, milleks need on kogutud, ning neile ei tohi ligi pääseda omakasu,
pahatahtlikkuse või uudishimu ajel. Väärkasutuse vältimiseks tuleb elektroonilise andmetöötluse
puhul pidada logikirjeid, mis võimaldavad hiljem tuvastada, kes, millal ja miks andmeid kasutas.
Tuleks eelistada süsteeme, mis koguvad vaid eesmärgipäraseid andmeid ning ei võimalda
reaalajas jälgimist.
Lisaks eeldab läbipaistvuse põhimõte, et kogu isikuandmete töötlemisega (sh GPS-seadmete
kasutamisega) seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt
sõnastatud.7 On äärmiselt oluline, et GPS-seadmete kasutamise kord on asutuse
juhendites/kordades reguleeritud ning töötajad on sellega kurssi viidud.
Seega kokkuvõttes, kui otsustate GPS-seadmetega isikuandmeid töödelda, tuleb pooltel selgeks
teha, millises rollis isikuandmete töötlemisel ollakse ning isikuandmete vastutaval töötlejal
tagada isikuandmete töötlemise nõuetele vastavus juhindudes IKÜM-ist. Lisaks soovitame
tutvuda ka AKI kodulehelt leitavate materjalidega8.
Loodame, et vastusest on abi.
Lugupidamisega
Mari-Liis Uprus
jurist
peadirektori volitusel
5 IKÜM artiklis 5 sätestatud põhimõtteid, sh lg 1 punktis a, b ja c sätestatut; 6 IKÜM art 5 lg 1 punkt f; 7 Andmekaitsetingimusi reguleerivad täpsemalt IKÜM artiklid 12–13. Andmekaitsetingimuste koostamisest saab
lugeda AKI kodulehelt Andmekaitsetingimuste koostamine | Andmekaitse Inspektsioon; 8 Isikuandmete töötleja üldjuhend võtab kokku kõige olulisema, mida isikuandmete töötleja peab teadma, vastutava
ja volitatud töötleja kohta saab täpsemalt lugeda siit, õigustatud huvi hindamise kohta saab täpsemat infot õigustatud
huvi juhendist.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|