Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

Lp Taavi Siru

Tarbijakaitse ja Tehnilise Järelevalve Amet

[email protected]

Teie 14.01.2026 Meie 29.01.2026 nr 2.3-8/26/158-2

Vastus selgitustaotlusele

Pöördusite Andmekaitse Inspektsiooni poole küsimusega, mis puudutab taustakontrolli tegemist

hooldus- ja remonditöid teostavate kolmandate ettevõtete töötajatele. Teadmata täpseid asjaolusid,

sh milliseid andmeid ning millises ulatuses sooviksite taustakontrolli käigus töödelda, selgitan

üldiselt taustakontrolliga seotud isikuandmete kaitse nõudeid.

Isikuandmete kaitse üldmääruse (IKÜM) kohaselt peab igasuguseks isikuandmete töötlemiseks

olema õiguslik alus ning töötlemine peab olema kooskõlas IKÜM artiklis 5 sätestatud

isikuandmete töötlemise põhimõtetega. Taustakontrolli tegemine on isikuandmete töötlemine, mis

eeldab õigusliku aluse olemasolu vastavalt IKÜM artiklile 5 lõikele 1 punktile a ja artiklile 6

lõikele 1.

Tarbijakaitse ja Tehnilise Järelevalve Amet (TTJA) on Majandus- ja

Kommunikatsiooniministeeriumi valitsemisalas tegutsev valitsusasutus ehk tegemist on avaliku

sektori asutusega, kelle põhiülesanded ja pädevus on sätestatud seaduse tasandil. Asutus võib

isikuandmete töötlemisel oma põhiülesannete täitmisel tugineda IKÜM artikli 6 lõike 1 punktile

e, kuid selleks peab lisaks olema kehtestatud konkreetne volitusnorm siseriiklikus õiguses.

Reeglina ei kuulu taustakontrollide tegemine hooldus- ja remonditöid teostavate kolmandate

ettevõtete töötajate osas avaliku sektori asutuse põhiülesannete hulka. Seetõttu ei saa TTJA

taustakontrolli tehes tugineda IKÜM artiklile 6 lõikele 1 punktile e.

Selgitan järgnevalt ka teisi IKÜM artiklis 6 lõikes 1 toodud õiguslikke aluseid. IKÜM artikli 6

lõike 1 punkti a kohaselt võib isikuandmete töötlemine tugineda inimese nõusolekule. Siiski ei ole

töösuhete kontekstis tegemist sobiva alusega. Nimelt on nõusoleku üks põhilisi tingimusi, et see

on antud vabatahtlikult, sh inimene peab saama nõusoleku andmisest keelduda või seda tagasi

võtta selliselt, et sellega ei kaasne talle kahjulikke tagajärgi. Töösuhetes on tööandja ja töötaja

reeglina erinevatel võimupositsioonidel, mistõttu on nõusoleku vabatahtlikkus küsitav.1

Tööandjad saavad töötaja nõusolekule tugineda üksnes erandlikel juhtudel. Seejuures rõhutan, et

nõusoleku saab anda üksnes inimene ise, mitte tema tööandja töötaja eest.

IKÜM artikli 6 lõike 1 punkti b alusel võib isikuandmeid töödelda, kui see on vajalik sõlmitud

lepingu täitmiseks. Lepingu täitmine õigusliku alusena eeldab, et leping on sõlmitud

andmesubjekti ehk inimese ja andmetöötleja vahel. Teisisõnu, ettevõte ehk tööandja töötleb töötaja

isikuandmeid töölepingu täitmise eesmärgil. Eelduslikult sõlmib TTJA lepingu teise juriidilise

isikuga, mistõttu ei saa lepingu täitmine olla kolmanda ettevõtte töötajate isikuandmete töötlemise

õiguslikuks aluseks, kuna lepingu teiseks pooleks ei ole andmesubjekt (töötaja). Arvestades

1 IKÜM-i põhjenduspunkt 43 ja Euroopa Andmekaitse Nõukogu suunised 05/2020 nõusoleku kohta vastavalt

määrusele 2016/679, lk 8-9.

2 (2)

eelnevat ei ole IKÜM artikkel 6 lõige 1 punkt b sobiv õiguslik alus teenusepakkuja töötajate

isikuandmete töötlemiseks taustakontrollide läbiviimise eesmärgil.

IKÜM artikkel 6 lõige 1 punkt f sätestab õigusliku alusena õigustatud huvi. Õigustatud huvi puhul

on oluline meelde jätta, et avalik sektor saab sellele tugineda üksnes juhul, kui see ei ole seotud

tema põhiülesannete täitmisega. See tähendab, et TTJA saaks teoreetiliselt tugineda enda töötajate

taustakontrolli tegemisel õigustatud huvile, kui eelnevalt on viidud läbi õigustatud huvi analüüs2

ning tegemist on töötajatega, kes ei täida TTJA põhiülesandeid. Pöördumise kohaselt sooviks

TTJA siiski teostada taustakontrolli kolmandate ettevõtete töötajate osas. TTJA ei saa ise tugineda

õigustatud huvile ja teostada kolmanda ettevõtte töötajate üle taustakontrolli. Sarnast seisukohta

oleme väljendanud ka varasemalt.3

Seega, kuna nii nõusolek, lepingu täitmine, õigustatud huvi kui ka avaliku võimu täitmise

õiguslikud alused ei ole hetkel sobivad, peaks teil olema taustakontrollide tegemiseks seadusest

tulenev kohustus,4 millele tuginedes on lubatud töödelda kolmandate ettevõtete töötajate

isikuandmeid taustakontrolli eesmärgil. Antud juhul ei ole selge, millises ulatuses ja mis andmeid

TTJA soovib töödelda. Seega ei ole võimalik ka täpselt öelda, kas taustakontrolli teostamiseks

sobiv õiguslik alus on olemas. Lisaks on sobiva õigusliku aluse ja eesmärgi kindlaks määramine

TTJA kui vastutava töötleja ülesanne.5

Kokkuvõtlikult, taustakontrolli hooldus- ja remonditöid teostavatele kolmanda ettevõtte

töötajatele saab teha ettevõtte ise, kui tal on selleks õiguslik alus. Seda, millisel konkreetsel

õiguslikul alusel ja mis ulatuses ettevõtte taustakontrolli teeb, peab kindlaks määrama ettevõtte

kui andmetöötleja (sh tööandja) ise. Kui TTJA soovib ise teostada taustakontrolli kolmanda

ettevõtte töötajate osas peab olema selleks konkreetne õiguslik alus, näiteks seadusest tulenev

kohustus.

Loodan, et vastusest on abi.

Lugupidamisega

Grete-Liis Kalev

jurist

peadirektori volitusel

2 Andmekaitse Inspektsiooni õigustatud huvi juhend. Veebilink:

https://www.aki.ee/isikuandmed/juhendid/oigustatud-huvi 3 Andmekaitse Inspektsiooni seisukohta taustakontrollide teostamise osas 08.12.2021 nr 2.1.- 5/21/3847. Avalikus

dokumendiregistris: https://adr.rik.ee/aki/dokument/11505034 4 IKÜM artikkel 6 lõige 1 punkt c. 5 IKÜM artikkel 5 lõike 2 kohaselt peab isikuandmete vastutav töötleja vastutama ja tagama isikuandmete

töötlemise õiguspärasuse ning järgima isikuandmete töötlemise põhimõtteid, sh määrama kindlaks õigusliku aluse.