| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/25/3655-2 |
| Registreeritud | 24.11.2025 |
| Sünkroonitud | 25.11.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Teadium |
| Saabumis/saatmisviis | Teadium |
| Vastutaja | Grete-Liis Kalev (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Tiia Rohelsaar
Teadium OÜ
Teie 07.11.2025 Meie 24.11.2025 nr 2.2-9/25/3655-2
Vastus selgitustaotlusele
Pöördusite Andmekaitse Inspektsiooni poole mitme küsimusega, mis puudutavad isikuandmete
töötlemise kohta teabe andmist ja nende kustutamist.
Esmalt selgitan, et saan anda õigusalaseid selgitusi Andmekaitse Inspektsiooni (AKI) tegevuse
aluseks olevate õigusaktide ja asutuse pädevuse kohta. Õigusalaste selgituste andmine ei tähenda
õigusabi andmist. Õigusabiga on tegemist siis, kui antakse mingite konkreetsete eluliste asjaolude
osas õiguslik hinnang. Andmekaitse Inspektsioon ei osuta õigusabi.
Vastan Teie küsimustele nende esitamise järjekorras, kuid juhin tähelepanu, et teadmata täpseid
asjaolusid ja olukorda, saan anda üksnes üldisi selgitusi.
Taotlus saada teavet isikuandmete kohta
Esimese küsimusega soovite teada, kas füüsilisel või juriidilisel isikul on õigus teada, kas teine
isik hoiab tema kohta andmeid ning mida täpselt. Sellele ja ka järgnevatele küsimustele
vastamiseks on oluline rõhutada, et isikuandmete kaitse üldmäärusest (IKÜM) tulenevad nõuded
ei kohaldu, kui tegemist on juriidilise isikuga. Üldmäärus sätestab reeglid füüsiliste isikute
isikuandmete kaitseks (IKÜM art 1 lg 1). Kahe juriidilise isiku vaheline vaidlus, mis puudutab ühe
juriidilise isiku andmete hoidmist teise juriidilise isiku juures, ei kuulu Andmekaitse Inspektsiooni
pädevusse. Juriidilise isiku andmed on näiteks ettevõtte nimi, registrikood, õiguslik vorm jne.
Juriidilise isikuga võivad küll olla seotud ka füüsilise isiku andmed, kuid sellisel juhul tuleb
hinnata, kas tegemist on selliste isikuandmetega, mis on vajalikud juriidilise isiku äritegevuseks.
Näiteks avaldatakse E-Äriregistris juhatuse liikmete isikuandmeid. E-äriregistri avalikkuse on
vajalik, et tagada ärikeskkonna usaldusväärsus ja läbipaistvus. E-Äriregistris andmete
avalikustamise kohta saab täpsemalt lugeda E-Äriregistri abiinfo veebilehelt.
Füüsilisel isikul ehk inimesel on õigus esitada andmetöötlejale taotlus IKÜM artikli 15 alusel ja
küsida, teavet tema isikuandmete töötlemise kohta ja ka koopiat tema isikuandmetest. See
tähendab, et inimesel on õigus küsida andmed enda isikuandmete töötlemise kohta, mitte teiste
inimeste. Isikuandmed on andmed, mille põhjal on võimalik konkreetset füüsilist isikut otseselt
või kaudselt tuvastada. IKÜM artikkel 15 taotluse kohta täpsemalt lugeda AKI veebilehelt.
Andmetöötleja võib keelduda isikuandmete koopia väljastamisest, kui see kahjustab teiste isikute
õigusi või vabadusi (IKÜM art 15 lg 4). IKÜM artikkel 15 lõike 4 kohaselt ei tohi koopia saamise
2 (3)
õigus kahjustada teiste isikute õigusi ja vabadusi, kuid see ei anna ettevõttele õigust keelduda
koopia väljastamisest täielikult. Andmetöötleja peab hindama, kas ja kuidas teiste isikute õigused
võivad olla ohus ning peab vajadusel koopiat muutma või eemaldama need osad, mis võiksid teisi
kahjustada.
Oluline on ka meeles hoida, et andmetöötleja võib olla nii füüsiline kui ka juriidiline isik. Näiteks
võib füüsiline isik muutuda andmetöötlejaks, kui ta kogub teiste inimeste isikuandmeid
paigaldades videovalve kaamera selliselt, et see filmib lisaks tema kinnistule ka avaliku ala.
Filmides avalikku ala kogub inimene kolmandate isikute isikuandmeid, mistõttu peab selliseks
tegevuseks olema õiguslik alus ning järgitud andmekaitse põhimõtteid. Kui füüsiline isik töötleb
teiste inimeste isikuandmeid enda isiklike tegevuste käigus, näiteks peab isiklikku
telefoniraamatut oma kontaktidest, siis tegemist on isikliku kasutuse erandiga, millele IKÜM ei
kohaldu. Soovitan täpsemalt lugeda andmekaitse põhimõtete kohta AKI veebilehelt.
Õigus unustamiseks
Teine küsimus puudutab õigust nõuda andmete kustutamist. Nii nagu esimese küsimuse juures
märkisin, siis oluline on eristada füüsilise ja juriidilise isiku õigusi, sest IKÜM kaitseb füüsilisi
isikuid ja nende isikuandmeid, mitte juriidilisi isikuid. Füüsilisel isikul on õigus nõuda enda
andmete kustutamist tuginedes IKÜM artiklile 17. Samas on oluline meelde jätta, et andmetöötleja
võib keelduda isikuandmete kustutamisest, kui esineb mõni IKÜM artiklis 3 toodud asjaoludest.
Näiteks, võib andmetöötleja keelduda isikuandmete kustutamisest, kui isikuandmete töötlemine
on vajalik, et andmetöötleja saaks täita avalikes huvides olevat ülesannet või teostada avalikku
võimu. Samuti võib olla isikuandmete säilitamine vajalik õigusnõuete koostamiseks. Sellisel juhul
peab andmetöötleja selgitama, milliste isikuandmete säilitamine on vajalik ning millisele alusele
tuginedes ta seda teeb. Isikuandmete kustutamise taotluse kohta saab täpsemalt lugeda AKI
veebilehelt.
Mis puudutab juriidilise isiku õigust nõuda andmetöötlejalt tema andmete kustutamist, sõltub see
nii kustutatavate andmete iseloomust kui ka poolte rollidest. Kui tegemist on vastutava ja volitatud
töötleja suhtega ning üks juriidiline isik palub teisel kustutada isikuandmeid, mida volitatud
töötleja töötleb vastutava töötleja ülesandel, tuleb lähtuda eelnevalt kokkulepitud tingimustest,
sealhulgas andmetöötluslepingust. Volitatud ja vastutava töötleja kohta soovitan täpsemalt lugeda
AKI veebilehelt. Olukorras, kus üks juriidiline isik palub kustutada tema kui juriidilise isiku
andmeid, mitte füüsilise isiku isikuandmeid, ei kohaldu isikuandmete kaitse reeglid. Samas tuleb
arvestada, et selliseid olukordi võivad reguleerida teised õigusaktid.
Isikuandmete kustutamise ulatus
Kolmas küsimus puudutab kustutamise ulatust. Küsimuses ei ole täpsustatud, milliste või kelle
andmete kustutamisega on küsimus seotud, mistõttu saan anda üldisi selgitusi. Andmetöötleja peab
hindama, kas andmesubjekti ehk inimese taotlust isikuandmete kustutamiseks on võimalik täita
täielikult või esineb mõni isikuandmete kustutamise keeldumise alus, mis on toodud IKÜM artiklis
17 lõikes 3. Keeldumise põhjust peab inimesele selgitama. Teisisõnu, ettevõttel on kohustus
hinnata, kas inimese taotlus isikuandmete kustutamiseks on põhjendatud või esineb mõni
keeldumise alustest. Seejuures ei ole oluline, kas andmetöötleja on säilitanud isikuandmeid üks
päev, kaks kuud või viis aastat. Õigus esitada IKÜM artiklist 17 tulenev taotlus isikuandmete
kustutamiseks peab inimesele olema alati tagatud.
Samas soovin rõhutada, et kui inimene ei nõua enda isikuandmete kustutamist, siis see ei välista
andmetöötleja kohustust ise hinnata, kui kaua tal on vaja isikuandmeid säilitada konkreetse
3 (3)
eesmärgi saavutamiseks. Säilitamise piirangu põhimõtte kohaselt peab olema isikuandmete
säilitamiseks kindel põhjus. Kui eesmärk on saavutatud ja kui ei ole muid seadusest tulenevaid
õigustusi, miks neid säilitada, siis tuleb need hävitada.
Andmesubjekti taotlusele vastamise tähtaeg
Andmetöötleja peab inimesele vastama tarbetu viivituseta, kuid mitte hiljem kui 1 kuu jooksul
(IKÜM art 12 lg 3) seda nii isikuandmete kohta teabe ja koopia küsimisel, kui ka kustutamise
taotluse saamisel. Seda tähtaega võib vajadusel pikendada 2 kuu võrra, võttes arvesse taotluse
keerukust ja hulka. Kui andmetöötleja soovib inimesele vastamise tähtaega pikendada, peab ta
sellest ka teavitama.
Kui kiiresti andmetöötleja isikuandmed kustutab reaalselt, seda otsustab andmetöötleja ise
hinnates eelnevalt, kas tal on vaja mingi osa isikuandmeid siiski säilitada tuginedes IKÜM artiklile
17 lõikele 3. Oluline on meelde jätta, et andmetöötleja peab andma inimesele tagasisidet 1 kuu
jooksul ning kui ilmneb vajadus tähtaja pikendamiseks, tuleb ka sellest inimest teavitada.
Andmete kustutamise tõendamine
Isikuandmete kustutamise tõendamise vahendid peab andmetöötleja ise määrama. Teisisõnu, see
on andmetöötleja enda vastutus ja ülesanne tagada, et isikuandmete kustutamist oleks võimalik
tõendada. Üks võimalikke viise on näiteks isikuandmete töötlemisega seotud logide pidamine, mis
on ka üks andmeturbe meetmeid. Kui isikuandmetega seotud tegevused on logitud, siis peab
rakenduse või sellega seotud andmebaasi tegevuslogidest ilmnema, kas isikuandmed on
kustutatud. Soovitan lugeda täpsemalt andmeturbe kohta AKI veebilehelt andmeturbe artiklist.
Loodan, et vastusest on abi.
Lugupidamisega
Grete-Liis Kalev
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|