Vastus selgitustaotlusele

1

Geili Keppi - AKI

Teema: RE: Viru-Nigula vald-pöördumine nõu saamiseks

From: Geili Keppi - AKI Sent: Tuesday, October 28, 2025 4:00 PM To: '[email protected]' <[email protected]> Subject: RE: Viru-Nigula vald-pöördumine nõu saamiseks Tere, Tiina! Proovin vastata esitatud küsimustele, kuid rõhutan, et inspektsioon ei saa väljaspool järelevalvemenetlust anda õiguslikku hinnangut. Samuti ei saa inspektsioon anda õigusabi. Kuidas täpselt inimese taotlust täita on valla kaalutlusotsus. Kindlasti soovitan tutvuda Euroopa Andmekaitsenõukogu põhjaliku suunisega samas teemas: edpb_guidelines_202201_data_subject_rights_access_v2_et.pdf. Isikuandmete kaitse üldmäärus (IKÜM) artiklist 15 tulenev õigus tutvuda tema kohta kogutud isikuandmetega ja saada selgitusi töötlemise asjaolude kohta (kui need andmed on olemas). See säte annab kaebajale õiguse nõuda koopiat enda kohta käivatest andmetest, aga ei tähenda automaatset õigust saada koopiat konkreetsest dokumendist (või dokumentidest). IKÜM artikkel 15 annab õiguse saada koopia ainult taotleja enda (või enda lapse) kohta käivatest isikuandmetest, st mitte teiste inimeste andmeid. Samas peab sellist keeldumist põhjendama ning ei saa teha vaid üldsõnalist viidet teiste inimeste õiguste kahjustamisele. Kuna inimestel on õigus nõuda üksnes enda isikuandmetest koopiat, siis tuleb andmete väljastamisel kolmandate isikute isikandmed kinni katta (kui nende edastamiseks puudub muu õiguslik alus). IKÜM artikkel 12 lõike 3 kohaselt tuleb taotlusele vasta tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluse keerukust ja hulka. Pikendamisest tuleb teavitada ühe kuu jooksul alates taotluse saamisest. IKÜM artikkel 12 lõige 5 sätestab, et kui taotlus on selgelt põhjendamatu või ülemäärane, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja küsida mõistlikku tasu või keelduda taotluse täimisest. Täpsemalt soovitan selles osas lugeda viidatud juhendi 6.3.2. peatükist, kus on toodud mitmeid näiteid. Juhin tähelepanu veel, et enne isikuandmete edastamist peab andmetöötleja veenduma ka taotleja isiku identiteedis, et ei toimuks ebaseaduslikku andmeedastust. Iseenda andmete küsimine, andmete väljastamine ja kolmandate isikute õigustega arvestamine. IKÜM artikkel 15 lõike 1 kohaselt on inimesel õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse. IKÜM artikkel 15 lõige 1 sisaldab loetelu, milliste andmetega on inimesel õigus tutvuda juhul, kui ta on saanud kinnituse, et tema isikuandmeid töödeldakse. IKÜM artikli 15 lõike 1 punkti g kohaselt on inimesel õigus saada teavet ka kogutud isikuandmete allika kohta. Inspektsiooni hinnangul ei pruugi selline IKÜM artikkel 15 lõikes 1 punktis g sätestatud õigus tähendada, et küsitud teave isikuandmete töötlemise kohta peaks alati sisaldama ka isikuandmete kogumise allikana nt füüsiliste isikute nimesid. Nii võib teave allika kohta piirduda ka üksnes sellega, et allikaks oli teine füüsiline isik/eraisik. Nimelt peab isikuandmete töötlemist

2

puudutava teabe väljastamisel silmas pidama ka teiste isikute õigusi ja vabadusi ning isikuandmete töötlemise põhimõtteid, kui nende isikuandmeid kolmandale isikule väljastades töödeldakse. Sellise piirangu näeb ette ka IKÜM artikkel 15 lõige 4. Euroopa Andmekaitsenõukogu on öelnud, et andmetega tutvumise õiguse kasutamist tuleb tasakaalustada teiste põhiõigustega kooskõlas proportsionaalsuse põhimõttega. Kui isikuandmete kaitse üldmääruse artikli 15 lõike 4 kohase hindamise käigus selgub, et taotluse täitmisel on ebasoodne (negatiivne) mõju teiste isikute õigustele ja vabadustele, tuleb kaaluda kõigi inimeste huve, võttes arvesse juhtumi konkreetseid asjaolusid ning eelkõige andmete edastamisega kaasnevate riskide tõenäosust ja tõsidust. Vald peaks püüdma vastanduvaid õigusi tasakaalustada, näiteks rakendades asjakohaseid meetmeid, mis maandavad teiste isikute õigustele ja vabadustele tekitatavat riski.[1] Lapse andmete küsimine ja nende edastamine. Selgitan, et lapsevanemal on üldiselt IKÜM artiklist 15 tulenev õigus tutvuda oma lapse kohta kogutud isikuandmetega ja saada selgitusi töötlemise asjaolude kohta. Kuigi IKÜM artikkel 15 annab küll vanemale õiguse nõuda koopiat enda lapse kohta käivatest andmetest, ei tähenda see automaatset õigust saada koopiat taotletud ulatuses. Piirangud IKÜM artikkel 15 aluselt tehtud taotluse täimise osas on välja toodud IKÜM artiklis 23. Kui vallal on õigus piirata taotleja õigusi enda/lapse kohta andmete küsimisel, siis peab esitama kaebajale põhjendused ja selge viite õigusnormile, mis lubab IKÜM artikkel 23 alusel isiku õigusi piirata. Samuti peab vald jälgima, et andmete väljastamine ei kahjustaks kellegi õigusi ja vabadusi. Märgin lisaks, et laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega.[2] Seega alaealise lapse õigusi teostab üldjuhul tema nimel hooldusõiguslik lapsevanem. Samas ei ole lapsevanemal piiramatu juurdepääs lapse isikuandmetele – andmete väljastamine tuleb tasakaalustada lapse õiguste ja huvide kaitsega. Kui teabe avaldamine võiks kahjustada lapse õigusi, heaolu või huve, võib lapsevanema ligipääsu andmetele piirata. Logid, osaliste nimekirjad jms. Euroopa Kohus on selgitanud, et logifailid, mis sisaldavad teavet selle kohta, mis kuupäevadel ja eesmärgil inimese andmetega tutvuti ning kes olid isikud, kes nende andmetega tutvusid, on käsitatavad töötlemistoimingute registritena IKÜM artikkel 30 tähenduses. Logifailides sisalduvatest andmetest koopia edastamine võib osutuda vajalikuks selleks, et oleks täidetud kohustus võimaldada inimesel tutvuda kogu IKÜM artikkel 15 lõikes 1 nimetatud teabega ning tagada õiglane ja läbipaistev kohtlemine, võimaldades tal nii täielikult kasutada oma õigusi. Kuid nagu ka varasemalt selgitatud, siis õigus isikuandmete kaitsele, sh tutvumisõigus, ei ole siiski absoluutsed. Artiklis 15 sätestatud õigus andmetega tutvuda ei tohiks kahjustada teiste isikute õigusi ega vabadusi. Teiste isikutena on käsitatavad ka vastutava töötleja ehk asutuse töötajad ning tutvumisviisi valikul tuleks leida kohane tasakaal vastanduvate õiguste vahel. Seega tulebki logiandmetele juurdepääsu taotlemisel kaaluda vastandlikke õigusi ja eesmärke silmas pidades, kas konkreetsel juhul on suurem isiku õigus saada logiandmeid isikustatud kujul või teenistujate õigus oma andmete kaitsele ja privaatsusele. Kuna logid sisaldavad ka teenistujate isikuandmeid, siis igasugusel isikuandmete töötlemisel tuleb lähtuda eesmärgipärasuse ja minimaalsuse põhimõttest. Nii nagu õigus isikuandmete kaitsele ei ole absoluutne, ei ole ka õigus saada avaliku sektori töötajate andmeid absoluutne. Kuigi isiku nimi iseenesest ei ole piiranguga teave avaliku teabe seaduse tähenduses, tuleb isiku nime alati vaadata koos muu teabega, mida see isiku kohta annab.

3

Lisaks selgitan, et igasugusel isikuandmete töötlemisel (sh kogumisel, väljastamisel, avalikustamine jne) tuleb lähtuda ka isikuandmete töötlemise põhimõtetest, mh ka eesmärgipärasuse põhimõttest. Nimelt sätestab IKÜM artikkel 5 lõige 1 punkt b, et isikuandmeid kogutakse täpselt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus. Logiandmete puhul on tegemist infosüsteemi tehniliste andmetega, mida tuleb eristada dokumentidest ning mille salvestamise kogumise eesmärgiks on, et rikkumiste ja intsidentide korral oleks võimalik tagantjärgi tuvastada, kes mingite dokumentide/andmetega mingeid toiminguid on teinud. Sellist kontrolli saab teostada eelkõige asutus, mitte kolmandad isikud. Ehk siis avalikkus ei saa kontrollida asutuse töötajate tööülesannete täimist. Avalikkus saab kontrollida asutuse poolt avalike ülesannete täitmist. Muuhulgas tuleb andmete väljastamisel ning IKÜM artikkel 15 lõike 4 asjaolude esinemise hindamisel ka hinnata, kas tegemist võib olla juurdepääsupiiranguga teabega ning kas seda on võimalik väljastada. Kuigi vastus sai üsna pikk, siis loodan, et vastusest on abi isiku taotlusele vastamisel. Lugupidamisega Geili Keppi Jurist (tiimijuht) [email protected] 627 4141 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn | YouTube

[1] Euroopa andmekaitsenõukogu suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega. Versioon 2.1. Vastu võetud 28. märtsil 2023. Leitav https://www.edpb.europa.eu/system/files/2024- 04/edpb_guidelines_202201_data_subject_rights_access_v2_et.pdf. [2] IKÜM põhjenduspunkt 38.