| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3497-3 |
| Registreeritud | 12.11.2025 |
| Sünkroonitud | 13.11.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tervise Arengu Instituut |
| Saabumis/saatmisviis | Tervise Arengu Instituut |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Kadri Vinni
Tervise Arengu Instituut
Teie 27.10.2025 Meie 12.11.2025 nr 2.2-9/25/3497-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles kirjutate:
Soovime täpsustada isikuandmete töötlemise nõudeid seoses persoonade uuringu tellimisega
koostööpartnerilt, kellega meil on sõlmitud töövõtuleping antud töö teostamiseks. Uuringu viib
kogu ulatuses läbi meie koostööpartner - värbamine paneeli kaudu, millele järgnevad
personaalintervjuud 18 inimesega, vestluste transkriptsioon ja andmete analüüs. Selle põhjal
koostab töövõtja 6 sihtrühma kujutavate isikute persoonad. Meie asutus ei kogu, ei töötle ega saa
juurdepääsu inimeste andmetele (ei saa intervjuude salvestusi, transkriptsioone jne), saame ainult
töö lõpptulemusena kujundlikud persoonad, mis ei võimalda tuvastada üksikisikuid. Palume infot,
kas sellises olukorras peab meie asutus koostama andmekaitsealase mõjuhinnangu või lasub
vastutus andmete töötlemise seaduslikkuse eest täielikult koostööpartneril, kes kogub ja töötleb
värbamisel ja intervjuude käigus kogutud isikuandmeid.
Olete lisaks kirjutanud, et saite oma küsimusele vastuse juba ka telefoni teel ja sellest tulenevalt
soovite kirjalikku kinnitust, et andmekaitsealane mõjuhinnang on Andmekaitse Inspektsiooni
reeglite järgi vajalik alates 5000 suurusest inimeste valimist.
Eelnevast tulenevalt ja teadmata kõiki asjas tähtsust omavaid asjaolusid (sh kes ja milliseid
andmeid plaanib töödelda) pean vajalikuks esmalt selgitada isikuandmete töötlemise üldiseid
põhimõtteid ning seejärel seda, kes peab hindama mõjuhinnangu tegemise vajadust.
AKI teostab järelevalvet isikuandmete kaitse seaduses ja selle alusel kehtestatud õigusaktides,
isikuandmete kaitse üldmääruses (IKÜM) sätestatud nõuete ning muudes seadustes isikuandmete
töötlemisele kehtestatud nõuete täitmise üle. 1 Isikuandmeteks on sellised andmed, mille kaudu on
võimalik konkreetset füüsilist isikut otseselt või kaudselt tuvastada. Seega on isikuandmete
määratlemisel oluline küsida: kas nende andmete põhjal on võimalik füüsilist isikut otseselt või
kaudselt tuvastada.
Isikuandmete töötleja on kohustatud järgima IKÜM artikkel 5 lõikes 1 sätestatud põhimõtteid.
Nende põhimõtete täitmise eest vastutab ja peab olema võimeline nende täitmist tõendama
vastutav töötleja2. Selles osas, mil andmetöötlus ei vasta täielikult IKÜM artikkel 5 lõikes 1
sätestatud põhimõtetele, on andmetöötlus keelatud. Oluline ongi selgeks teha, kuidas on
1 Isikuandmete kaitse seaduse § 56 lõige 1. 2 vt IKÜM artikkel 5 lõige 2.
2 (3)
andmetöötlejate vastutused ja kohustused jagunenud (vt infot siit).
Igasugune isikuandmete töötlemine peab olema õiglane ja seaduslik ehk täielikult kooskõlas
kõigi kehtivate õigusaktidega (sh IKÜM-iga). Samuti peab andmetöötlus olema läbipaistev,
koostatud peavad olema andmekaitsetingimused. Läbipaistvuse põhimõte eeldab, et kogu
isikuandmete töötlemisega seotud teave on inimesele lihtsalt kättesaadav, arusaadav ning selgelt
sõnastatud (sh kes on vastutav andmetöötleja kelle käest saab lisainformatsiooni küsida). See
puudutab eelkõige andmesubjektide teavitamist, et tagada õiglane ja läbipaistev töötlemine.
Inimeste teavitamist reguleerivad täpsemalt IKÜM artiklid 12 – 14. IKÜM artiklites 13 ja 14 on
välja toodud, mida peab inimesele antav teave minimaalselt sisaldama.
IKÜM artikkel 6 lõike 1 alusel peab igasuguseks isikuandmete töötlemiseks olema õiguslik alus
(nt seadus, isiku nõusolek jne). Isikuandmete eriliikide (sh terviseandmete) töötlemine on IKÜM
artikkel 9 lõike 1 kohaselt üldiselt keelatud, kui ei esine mõni lõikes 2 väljatoodud asjaoludest.
Igal andmetöötlejal tuleb hinnata, millisel õiguslikul alusel, ulatuses ja eesmärgil ta konkreetseid
andmeid töötleb.
Mis puudutab mõjuhinnangu koostamist lisaks muudele vajalikele dokumentidele
(andmekaitsetingimused, andmetöötluslepingud jne), siis AKI on isikuandmete töötlemise
üldjuhendis3 selgitanud, et iga mõistlik andmetöötleja hindab nii või teisiti vajadusel oma
tänaseid ja tulevasi ohte. Andmekaitsealase mõjuhinnangu eesmärk ongi kirjeldada
isikuandmete töötlemist, hinnata selle vajalikkust ja proportsionaalsust ning aidata
andmetöötlejal käsitleda selle tulemusena füüsiliste isikute õigustele ja vabadustele tekkivaid
ohte neid ohte hinnates ning määrates kindlaks meetmed, mille abil neid ohte käsitleda (sh
maandada). Ehk siis andmekaitselise mõjuhinnanguga hinnatakse mõju uuringus osalevatele
inimestele.
IKÜM artikkel 35 lõige 3 toob küll välja kolm näidet, millal on vaja teha andmekaitsealane
mõjuhinnang, kuid tegemist ei ole ammendavate näidetega, mistõttu võib vajada mõjuhinnangut
ka muu andmetöötlus. Samamoodi ei ole ammendavaks loeteluks inspektsiooni poolt välja
pakutud ulatuslikkuse kriteeriumi arvud. Andmekaitsealane mõjuhinnang peab hõlmama
vähemalt IKÜM artikkel 35 lõikes 7 kindlaks määratud miinimumsisu.
Oluline ongi see, et esmalt tuleb Teil endal teha kindlaks, milliseid andmeid uuringus täpselt
töödeldakse, sh milline on täpne andmete koosseis ning kust neid andmeid kogutakse. Valimi
suurus ei pruugi antud juhul olla kriteerium omaette. Tähele tulebki panna, et väga harva on
andmed anonüümsed, pigem on andmed pseudonümiseeritud ning sellisel juhul on tegemist ikkagi
isikuandmete töötlemisega. Olukorras, kus tegemist on suhteliselt väikesearvulise valimiga, siis
võib mõjuhinnangu koostamine olla muuhulgas lisakaitsemeede.
Lisaks märgin, teadmata millise uuringuga on tegu, et näiteks poliitikakujundamise eesmärgil
tehtava uuringu puhul on AKI roll sätestatud isikuandmete kaitse seaduses. Isikuandmete kaitse
seaduse (IKS) § 6 kohaselt on vajalik AKI kooskõlastus, kui uuringus töödeldakse eriliiki
isikuandmeid ja puudub valdkondlik eetikakomitee4 või kui tegemist on täidesaatva riigivõimu
uuringu või analüüsiga, mis viiakse läbi poliitika kujundamise eesmärgil5. Tavapäraste
3 Isikuandmete töötleja üldjuhend (https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdf) 4 IKS § 6 lg 4 5 IKS § 6 lg 5
3 (3)
isikuandmetega tehtavad uuringud ei vaja AKI kooskõlastust. AKI kooskõlastust ei vaja ka need
uuringud, kus isikuandmeid üldse ei töödelda.
Pöördumises välja toodud informatsiooni alusel ei saaks AKI öelda, kas konkreetselt antud
juhul on vajalik isikuandmete töötlemise kohta mõjuhinnangu koostamine või mitte.
Mõjuhinnangu koostamise vajadust saab hinnata andmetöötleja ise. Otsustamisel on
asutusel igal ajal võimalus pöörduda asutusele määratud andmekaitsespetsialisti (AKS)
poole6. Oluline on siinkohal kindlasti teadvustada, et uuringu tellimine koostööpartnerilt ei
võta tellijalt vastutust kohase andmetöötluse eest tema tellitud uuringus.
Rohkem informatsiooni andmekaitselise mõjuhinnangu kohta leiab AKI veebilehelt. Samuti on
mõjuhinnangu vajaduse üle arutletud AKI andmehäälingus. Asjakohane abimaterjal on kindlasti
ka mõjuhinnangu kontrollnimekiri, mis on leitav samuti AKI veebilehelt. Suunised, mis käsitlevad
andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise
tulemusena „tekib tõenäoliselt suur oht“ on samuti leitavad AKI veebilehelt.
Loodan, et selgitustest on abi. Kui analüüsi tulemusel on siiski midagi, mis vajaks AKI-ga üle
arutamist, siis palun edastada täiendav informatsioon vastavalt eelnevalt selgitatule.
Lugupidamisega
Liina Kroonberg
jurist
peadirektori volitusel
6 Kaasatud on huvitatud isikud ehk siis on nõu küsitud andmekaitsespetsialistilt, IKÜM artikkel 35 lg 2.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|