| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3617-2 |
| Registreeritud | 14.11.2025 |
| Sünkroonitud | 17.11.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Saare Kalur AS |
| Saabumis/saatmisviis | Saare Kalur AS |
| Vastutaja | Irina Meldjuk (Andmekaitse Inspektsioon, Euroopa koostöö ja õiguse valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Tiit Sarapuu
Teie 05.11.2025 Meie 14.11.2025 nr 2.2-9/25/3617-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seoses andmetöötluse rollide ja vastutuse
jaotusega laenuvahenduse kontekstis.
Kirjeldate, et laenuvahendusplatvorm kogub laenutaotlusi koos isikuandmetega ning edastab
need koostöölepingute alusel laenuandjatele vastavalt viimaste poolt seatud filtritele.
Laenuandjalt saab laenuvahendusplatvorm tagasisidena vaid info selle kohta, kas edastatud
taotlus on rahuldatud ehk kas laenutaotlejaga on laenuleping sõlmitud. Soovite tagada, et
andmetöötlus vastaks GDPR (isikuandmete kaitse üldmäärus, IKÜM) nõuetele ning et rollid ja
vastutus oleksid õigesti määratletud. Palute, et AKI vastaks järgmistele küsimustele:
1. Kes on sellises olukorras vastutav ja kes volitatud andmetöötleja? Kas laenuplatvorm, kes
kogub andmeid oma süsteemis ja edastab need laenuandjale, saab olla volitatud töötleja,
kui laenuandja ei määra töötlemise eesmärki ega vahendeid?
2. Kui laenuandja allkirjastab lepingu, kus teda määratletakse vastutava töötlejana ja
platvormi volitatud töötlejana, siis milline on piisav kontrollikohustus volitatud töötleja
üle? Kas piisab üksikasjalikust lepingust, mis sätestab volitatud töötleja kohustused? Või
peab kontroll hõlmama ka regulaarseid auditeid, turvameetmete hindamist või muid
järelevalvemeetmeid?
Esmalt selgitan, et AKI ei saa selgitustaotlusele vastates anda konkreetsele juhtumile siduvat
õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses. Märgukirjale ja
selgitustaotlusele vastamise ning kollektiivse pöördumise esitamise seaduse §-st 3 tulenevalt on
AKI-l kohustus anda õigusalaseid selgitusi asutuse tegevuse aluseks olevate õigusaktide ning
asutuse pädevuse kohta. Seejuures ei tähenda õigusalaste selgituste andmine õigusabi osutamist.
Õigusalaste selgituste andmisega on tegemist siis, kui selgitatakse mingi konkreetse seaduse,
paragrahvi, lõike, punkti sisu ja tähendust. Õigusabiga on aga tegemist siis, kui antakse mingite
konkreetsete asjaolude osas õiguslik hinnang. AKI ei osuta õigusabi, mistõttu piirdub allolev
vastus üldiste selgitustega isikuandmete kaitse nõuete ja põhimõtete osas.
Isikuandmete vastutava töötleja, kaasvastutava töötleja ja volitatud töötleja mõisted on
funktsionaalsed mõisted, sest nende eesmärk on jaotada vastutus kooskõlas poolte tegeliku
rolliga. See tähendab, et töötleja õiguslik staatus kas vastutava või volitatud töötlejana tuleb
põhimõtteliselt määrata selle alusel, milline on tema tegelik tegevus konkreetses olukorras, mitte
ametliku määramise teel (näiteks lepinguga)1.
1 Vt ka kohtujuristi Mengozzi arvamus, Jehoova tunnistajad, C-25/17, ECLI: EU:C:2018: 57, punkt 68.
2 (2)
Vastutav töötleja on see ettevõte, kes määrab kindlaks isikuandmete töötluse eesmärgid ja
vahendid, st miks ja kuidas. Teatud töötlemistoiminguid võib juba nende loomust tulenevalt
pidada seotuks ettevõtte rolliga (nt laenulepingu täitmisega seotud andmetöötluse osas on ilmselt
vastutavaks töötlejaks laenuandja). Paljudel juhtudel võivad lepingutingimused aidata vastutavat
töötlejat tuvastada, kuid need ei ole igas olukorras otsustavad. Oluline on märkida, et selleks et
vastutav töötleja kvalifitseeruks vastutavaks töötlejaks, ei ole tal tegelikult vaja juurdepääsu
töödeldavatele andmetele.
Kui töötlemises osaleb rohkem kui üks töötleja, siis võib kõne alla tulla kaasvastutus.
Kaasvastutuse üldine kriteerium on kahe või enama töötleja ühine osalemine töötlemistoimingu
eesmärkide ja vahendite kindlaksmääramisel. Ühine osalemine võib tähendada ühist otsust või
üksteist täiendavaid otsuseid – otsused täiendavad üksteist ja on vajalikud töötlemiseks viisil,
mis tagab neile tegeliku mõju töötlemise eesmärkide ja vahendite kindlaksmääramise üle.
Oluline kriteerium on see, et töötlemine ei ole võimalik ilma mõlema poole osaluseta selles
mõttes, et mõlema poole teostatav töötlemine on lahutamatu, st lahutamatult seotud.
Kaasvastutus peab hõlmama ühelt poolt eesmärkide ja teiselt poolt vahendite kindlaksmääramist.
Volitatud töötleja on see, kes vastutava töötleja nimel ja ülesandel isikuandmeid töötleb. Volitatud
töötleja ei tohi andmeid töödelda muul viisil kui vastutava töötleja juhiste kohaselt. Vastutava
töötleja juhised võivad siiski jätta teatava otsustusvabaduse, kuidas vastutava töötleja huve kõige
paremini järgida, võimaldades volitatud töötlejal valida sobivaimad tehnilised ja
organisatsioonilised vahendid.
Vastutav töötleja võib kasutada üksnes volitatud töötlejaid, kes annavad piisavad tagatised
asjakohaste tehniliste ja korralduslike meetmete rakendamiseks, et töötlemine vastaks IKÜMi
nõuetele. IKÜM-is on loetletud elemendid, mis tuleb töötlemislepingus sätestada.
Töötlemislepingus ei tohiks siiski lihtsalt korrata IKÜM-i sätteid; pigem peaks see sisaldama
täpsemat ja konkreetset teavet selle kohta, kuidas nõudeid täidetakse ja millist turvalisuse taset
nõutakse isikuandmete töötlemiseks, mh mis on töötlemislepingu ese.
Täpsemalt vastutava töötleja ja volitatud töötleja rollide ning nende vahel vastutuse ja
kohustustuste jagamise kohta saab lugeda AKI kodulehelt ning EDPB suunistest 07/2020.
Konkreetsetele küsimustele õigusliku hinnangu saamiseks soovitame pöörduda õigusnõustaja
poole.
Loodan, et selgitustest on abi.
Lugupidamisega
Irina Meldjuk
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|