| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/25/3280-2 |
| Registreeritud | 20.10.2025 |
| Sünkroonitud | 21.10.2025 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kirsika Lääts (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp juhatuse liige
Õhuloss OÜ
20.10.2025 nr 2.2-10/25/3280-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja, mille kohaselt kogutakse Õhuloss OÜ
veebilehel https://tanelveenre.com/ tooteid pakiautomaati tellides kohustuslikus korras ostja
aadress.
Kontrollisime veebilehte https://tanelveenre.com/ ja tuvastasime, et toote pakiautomaati tellides
kogutakse kohustuslikus korras ostja ees- ja perekonnanimi, riik, tänav ja majanumber,
sihtnumber, linn, telefon, e-posti aadress. Samas on veebilehelt nähtav, et toote saab tellida ise
eelnevalt valitud pakiautomaati ning valida saab ka kulleri.
Isikuandmete töötlemisel (sh andmete kogumine, edastamine, säilitamine jne) tuleb alati järgida
isikuandmete kaitse üldmääruses1 (IKÜM) ettenähtud andmekaitse põhimõtteid2. See tähendab,
et isikuandmete töötlemiseks peab esinema õiguslik alus (nõusolek, leping vms) ja konkreetne
õiguspärane eesmärk ning arvestada tuleb muu hulgas minimaalsusega (nii vähe kui võimalik, nii
palju kui vajalik).
E-poes võib andmete kogumine toimuda erinevatel eesmärkidel – nt kauba kohaletoimetamiseks,
tellimuse haldamiseks, makse sooritamiseks, kliendikonto loomiseks, otseturustuspakkumiste
saatmiseks jne. Isikuandmeid võib koguda vaid ulatuses, mis on vajalik määratletud õiguspäraste
eesmärkide saavutamiseks ning seejuures peab tagama selle, et andmete kogumise eesmärk
tagatakse isiku põhiõigusi võimalikult vähe riivavatel meetmetel. Selleks peab andmetöötleja
alati eelnevalt hindama, kas andmete kogumine (sh näiteks aadressi andmete kogumine) on
eesmärgi täitmiseks vältimatult vajalik või on võimalik piirduda vähemate andmetega. Näiteks
kui e-poel on andmete kogumise õiguslikuks aluseks lepingu täitmine, siis on õigustatud küsida
kliendilt andmeid, mis on hädavajalikud lepingu täitmiseks. Kaupa ei ole võimalik kliendile
kohale toimetada, kui puuduvad tema kontaktandmed. Seda, milliseid kontaktandmeid täpsemalt
esitada on vaja, sõltub konkreetsest kohaletoimetamise viisist. Kui e-poes on võimalus tellida
kaup pakiautomaati, ei tohiks pood ostu vormistamiseks ostjalt kohustuslikus korras küsida
elukohaandmeid nagu linn, tänav, majanumber. Samas on tarneaadress vajalik juhul, kui
kasutatakse kullerteenust.
Eelnevat arvestades ei ole IKÜM-ga kooskõlas Õhuloss OÜ e-poes inimese aadressi küsimine,
kui toode tellitakse pakiautomaati.
Kontrollisime ka veebilehe https://tanelveenre.com/ küpsiste kasutamist ja tuvastasime, et sellel
kasutatakse lisaks veebilehe toimimiseks vältimatult vajalikele küpsistele ka täiendavaid
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679. 2 Isikuandmete töötlemise põhimõtted on toodud IKÜM artiklis 5.
2 (2)
küpsiseid. Hädavajalikud küpsised on näiteks kasutaja sessiooni- või keele-eelistuse küpsised.
Sellised küpsised otseselt ei mõõda midagi, vaid toetavad veebilehe põhifunktsioone. Täiendavad
küpsised on analüütilised või reklaamküpsised küpsised, mis võimaldavad inimest kas otseselt
või kaudselt tuvastada – seda tüüpi küpsiste paigaldamiseks peab olema kasutaja eelnev
vabatahtlik nõusolek.
Selline nõue tuleb e-privaatsusdirektiivi3 artikkel 5 lõikest 3, mida täpsustab artikkel 2 punkt f.
Euroopa Kohus on lahendis C-673/17 sedastanud, et küpsiste kasutamise nõusolek peab vastama
IKÜM artikkel 4 punkti 11 ja artikkel 7 tingimustele. Inimese nõusolek küpsiste lubamiseks peab
olema antud kõiki asjaolusid teades, mh peab veebilehe külastajal teada olema küpsiste
kasutamise kestus kui ka asjaolu, kas kolmandatel isikutel on võimalus neile andmetele juurde
pääseda. Selline info tuleks esitada veebilehe andmekaitsetingimustes või küpsiste poliitikas.
Ühtlasi peab inimesel olema võimalik antud nõusolekut tagasi võtta sama lihtsal viisil, kui
toimus selle andmine veebilehel.
Õhuloss OÜ veebilehel https://tanelveenre.com/ kasutatakse veebilehe toimimiseks vältimatult
vajalike küpsistele lisaks ka küpsiseid, mis eeldavad veebilehe külastaja vabatahtlikku
nõusolekut. Tuvastasime, et veebilehel on kasutusel analüütilised ja reklaamküpsised (muuhulgas
sbjs_*, _fbp, tk_*). Veebilehe inspekteerimisel selgus, et puudub teavitus küpsiste kasutamise
kohta ning külastajatelt ei küsita aktiivset nõusolekut täiendavate küpsiste kasutamise osas.
Andmetöötlejal on kohustus esitada inimesele isikuandmete töötlemise kohta teavet, sh küpsiste
osas. Teie lehelt ei leidnud me teavet küpsiste abil isikuandmete töötlemise kohta. See kohustus
tuleb IKÜM-i artiklitest 12–14.
Inspektsioon juhib Õhuloss OÜ tähelepanu isikuandmete töötlemise nõuete täitmise
vajadusele. Palume läbi mõelda, milliseid isikuandmeid on e-poest tellimisel päriselt vajalik
koguda, lähtudes seejuures eesmärgi piirangu ja minimaalsuse põhimõttest, ning loobuda
n-ö igaks juhuks andmete kogumisest. Samuti palume vaadata üle veebilehel küpsiste
kasutamine ja viia see vastavusse e-privaatsusdirektiivi ja IKÜM-i sätetega.
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota. Siiski võib inspektsioon
tulevikus kontrollida veebilehte uuesti ja otsustada seejärel täiendava sekkumisvajaduse üle.
Lugupidamisega
Kirsika Lääts
jurist
peadirektori volitusel
3 Euroopa Parlamendi ja Nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, mida on muudetud direktiiviga
2009/136/EÜ.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|