| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/25/3911-2 |
| Registreeritud | 11.12.2025 |
| Sünkroonitud | 12.12.2025 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | ANK Technology OÜ |
| Saabumis/saatmisviis | ANK Technology OÜ |
| Vastutaja | Mari-Liis Uprus (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Pavel Sõrotšev
ANK Technology OÜ
Meie 11.12.2025 nr 2.2-10/25/3911-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja, mille kohaselt ettevõtte ANK Technology OÜ
tööruumi seinal on avaldatud töötajate ja endiste töötajate isikuandmeid (nimi, isikukood, isiklik
telefoninumber ja e-posti aadress). Andmed on sinna pandud töötajate teadmata ja nõusolekut
küsimata. Antud infole omavad juurdepääsu lisaks kõigile töötajatele ka kolmandad isikud, kes
ettevõtet külastavad.
Võttes arvesse märgukirjas esitatud selgitusi ja tõendid juhime ettevõtte tähelepanu töötajate
isikuandmete töötlemise nõuetele.
Isikuandmete töötlemisel peab andmetöötleja (sh tööandja) alati järgima isikuandmete kaitse
üldmääruse1 (IKÜM) artiklis 5 toodud isikuandmete töötlemise põhimõtteid, milleks muu hulgas
on seaduslikkuse, eesmärgipärasuse ja minimaalsuse põhimõtted. Nende kolme põhimõtte järgi
peab igasugune isikuandmete töötlemine olema alati seaduslik, toimuma kindlaksmääratud
eesmärgil ning ainult ulatuses, mis on selle konkreetse eesmärgi täitmiseks vajalik. Isikuandmete
töötlemise seaduslikkuse alused on toodud IKÜM artiklis 6. Kui alus andmetöötluseks puudub,
siis andmeid töödelda ei tohi.
Töötajate (sh endiste) isiklike kontaktandmete avaldamine tööruumi seinal on võimalik üldjuhul
töötaja nõusolekul2. Nõusolek peab olema vabatahtlik, teadlik ja tagasivõetav – töötajal peab
olema reaalne võimalus otsustada, kas ta soovib nõusoleku anda, ning ta võib selle igal ajal
kahjulike tagajärgedeta tagasi võtta3. Nõusolekut ei saa pidada vabatahtlikuks, kui isikul puudub
tõeline valikuvõimalus või ta ei saa keelduda ilma negatiivsete tagajärgedeta4. Töösuhetes on
töötaja ja tööandja ebavõrdses olukorras, mistõttu on nõusolekule tuginemine pigem erandlik ja
kasutatav vaid juhul, kui on tagatud nõusoleku vabatahtlikkuse kriteerium. Ühtlasi peab isikul
olema võimalik igal ajal nõusolek tagasi võtta ning sellest peab teda olema ka eelnevalt teavitatud5.
Seetõttu peab nõusoleku vormil olema täpselt kirjas, mis eesmärgil isikuandmeid töödeldakse ning
ka viide, et nõusolek on võimalik igal ajal tagasi võtta.
Lisaks õigusliku aluse olemasolule on isikuandmete töötlejal kohustus järgida muuhulgas ka
IKÜM artiklis 5 sätestatud põhimõtteid. Töötlemine peab olema seaduslik, õiglane ja isikule
läbipaistev; isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel
1 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete
töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete
kaitse üldmäärus). 2 IKÜM art 6 lg 1 p a 3 IKÜM art 4 p 11 4 IKÜM põhjenduspunkt 42 5 IKÜM art 7 lg 3
2 (2)
eesmärkidel; isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende
töötlemise eesmärgi seisukohalt.
Seega isikuandmete töötleja peab andmete töötlemisel alati eelnevalt hindama, kas andmetöötlus
on ikka tõesti eesmärgi täitmiseks vajalik ning kas just sellises ulatuses (või on muid vähem
riivavamaid meetmeid selle eesmärgi täitmiseks). Valikuvõimaluse korral tuleb eelistada isiku
põhiõigusi vähem riivavaid meetmeid. Kui ruumis, kus isikuandmed on avaldatud, liiguvad ka
kolmandad isikud (st külastajad, kliendid jm), kellel on juurdepääs töötajate isikuandmetele, ei ole
see eespool väljatoodud andmekaitse põhimõtetega kooskõlas. Seega tuleks ettevõttel esmalt
kaaluda, kas töötajate andmete avaldamine kontori seinal on üldse vajalik, milliseid andmeid on
avaldada vaja, kas on olemas töötajate õigusi vähem riivavaid meetodeid andmete avaldamiseks
ning kas avaldamiseks on olemas töötaja nõusolek. AKI hinnangul saab ettevõtte siseselt töötajate
kontakte vajadusel avaldada turvalisemates kanalites, nt ettevõtte siseveebis vm kohas, kus
ligipääs andmetele on piiratud isikute ringil. Samuti tuleb hinnata, kas kontaktandmete jagamise
eesmärgil on vajalik avaldada ka töötaja isikukood. Endiste töötajate isikuandmete avaldamine ei
ole eesmärgipärane, sest töösuhe on lõppenud ja tööandjal puudub õigustatud vajadus nende
andmete jagamiseks. Selline avaldamine rikub privaatsust, ei täida ühtegi tööalast eesmärki ning
ületab andmekaitse põhimõtteid, mis nõuavad andmete töötlemist vaid vajaliku ulatuses.
Tuleb arvestada ka läbipaistvuse põhimõttega, mis eeldab seda, et isikuandmete töötlemisega
seotud teave ja sõnumid peaksid olema lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt
sõnastatud. Töötajate teavitamiskohustuse täitmise lihtsaim viis on integreerida vastav teave
töökorralduse reeglitesse või muusse sisekorra dokumentatsiooni, mis on töötajatele igal ajal
kättesaadav. Andmetöötluse õiguslik alus ja eesmärk peab olema töötajatele selge ja arusaadav.
Nõusoleku võtmiseks võiks olla loodud vastav kirjalik vorm, kus on selgelt kirjas, milliste andmete
avaldamiseks ja millises keskkonnas töötaja nõusoleku annab ning kuidas saab nõusolekut tagasi
võtta. Tuleb arvestada, et andmekaitsenõuete täitmise tõendamise kohustus lasub andmetöötlejal
ehk käesoleval juhul tööandjal.
Kokkuvõttes palume Teil hinnata, kas Teie tegevus isikuandmete töötlemisel vastab
isikuandmete kaitse üldmääruse nõuetele ja viia vajadusel vastavusse, sh:
kas on olemas õiguslik alus andmete avaldamiseks, st töötaja vabatahtlik ja tagasivõetav
(kirjalik) nõusolek;
kas töötajate andmete avaldamine tööruumi seinal vastab eesmärgipärasuse ja
minimaalsuse põhimõtetele (eelkõige vaadata üle avaldatud andmete koosseis ja koht, kus
andmeid avaldatakse ning lõpetada endiste töötajate andmete avaldamine).
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota, kuid selgitame, et inspektsioon
võib igal ajal kontrollida ettevõtte andmete töötlemise nõuetele vastavust ning rikkumise korral
algatada järelevalvemenetluse.
Lugupidamisega
(allkirjastatud digitaalselt)
Mari-Liis Uprus
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|