| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/26/310-3 |
| Registreeritud | 11.02.2026 |
| Sünkroonitud | 12.02.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | x-ion GmbH |
| Saabumis/saatmisviis | x-ion GmbH |
| Vastutaja | Eleri Karu (Andmekaitse Inspektsioon, Tehnoloogia valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Florian Wagner
x-ion GmbH
Teie 25.01.2026 Meie 11.02.2026 nr 2.2-9/26/310-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, kus küsite õiguslikke selgitusi seoses
isikuandmete säilitamise ja väljastamise protseduuriga.
Esmalt selgitame, et AKI ei saa selgitustaotlusele vastates anda konkreetsele juhtumile siduvat
õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses. Seetõttu saame anda Teile
üksnes üldisi selgitusi isikuandmete töötlemise osas.
Isikuandmete töötlemise peamised nõuded tulenevad Euroopa Parlamendi ja Nõukogu määrusest
(EL) 2016/679 (isikuandmete kaitse üldmäärus ehk IKÜM), isikuandmete kaitse seadusest ning
vastavatest eriseadustest.
1. Vastutav ja volitatud töötleja
Isikuandmete töötlemise kontekstis tuleb silmas pidada, et kui vastutav töötleja kasutab enda nimel
isikuandmete töötlemiseks volitatud töötlejat, siis toimub isikuandmete töötlemine vastutava
töötleja nimel ja tema seatud eesmärkidel (IKÜM art 28). Volitatud töötleja peab IKÜM art 28 lg
3 punkti a järgi juhinduma vastutava töötleja dokumenteeritud juhistest, sh ka töötlemisele
kohalduvast õiguslikust alusest. Selle aluseks on vastutava ja volitatud andmetöötleja vahel
sõlmitud andmetöötlusleping, mis peab detailselt reguleerima andmete töötlemise tingimused,
turvameetmed, andmete asukoha ja salvestamise korra.1
2. Isikuandmete säilitamine
IKÜM-i kohaselt ei reguleeri andmete asukohta füüsilised piirid, vaid neile antav õiguskaitse tase.
Euroopa Liidu siseselt isikuandmete edastamisel peab andmetöötleja olema veendunud, et
isikuandmete edastamiseks on olemas õiguslik alus. Täiendavalt kohalduvad ka sellisele
andmetöötlusele kõik muud IKÜM artiklis 5 loetletud andmetöötluse põhimõtted nagu
minimaalsus, säilitamise piirang ning usaldusväärsus ja konfidentsiaalsus.2
3. Andmetega seotud taotluste menetlemine
IKÜM art 15 lg 1 alusel on andmesubjektil õigus saada andmetöötlejalt kinnitus, kas tema
isikuandmeid töödeldakse ja kui töödeldakse, siis sellisel juhul on tal õigus tutvuda oma
isikuandmete ja IKÜM art 15 lg-s 1 loetletud teabega. Euroopa Andmekaitsenõukogu suuniste3
1 Andmetöötleja vastutus ja kohustused | Andmekaitse Inspektsioon 2 Andmetöötluse põhimõtted | Andmekaitse Inspektsioon 3 Suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega | European Data Protection Board
2 (2)
kohaselt tähendab isikuandmetega tutvumine tutvumist tegelike isikuandmetega, mitte seda, et
andmetöötleja esitab inimesele ainult andmete üldise kirjelduse või et andmetöötleja viitab pelgalt
töödeldavate isikuandmete kategooriatele.
Kui isikuandmete vastutav töötleja saab andmesubjekti taotluse töödeldavate isikuandmete teabe
ja/või koopia saamiseks, peab andmetöötleja IKÜM art 12 lg-st 3 tulenevalt vastama
andmesubjekti päringule tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul. Eeltoodule
lisaks tuleb arvestada, et kui vastutav töötleja keeldub täielikult või osaliselt rahuldamast
andmesubjekti andmetega tutvumise õigust käsitlevat taotlust, peab ta teavitama andmesubjekti
viivitamata ja hiljemalt ühe kuu jooksul selle põhjustest (IKÜM art 12 lg 4). See tähendab, et
andmesubjekti taotluste täitmise kohustus on lõppastmes vastutaval töötlejal.
Loodan, et minu selgitustest oli abi.
Lugupidamisega
Eleri Karu
andmeturbe ekspert
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|