| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/26/523-2 |
| Registreeritud | 25.02.2026 |
| Sünkroonitud | 26.02.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Fondia Eesti OÜ |
| Saabumis/saatmisviis | Fondia Eesti OÜ |
| Vastutaja | Gunnar Gabriel Einlo (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Elis Vija
Fondia Eesti OÜ
Teie 09.02.2026 Meie 25.02.2026 nr 2.2-9/26/523-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seisukoha saamiseks töötajate
positsioneerimisseadmete kasutamise andmekaitsealase kvalifikatsiooni kohta.
Vastan tekkinud küsimustele info pinnalt, mille olete esitanud ja vastavalt küsimuste esitamise
järjekorras.
a) Kas kirjeldatud tehnilise lahenduse korral, kus tag’i unikaalset ID-d ei seostata konkreetse
töötajaga ning süsteem ei võimalda füüsilisi isikuid tuvastada, on tegemist isikuandmetega
GDPR artikli 4 punkti 1 tähenduses ning sellest tulenevalt ka isikuandmete töötlemisega GDPR
artikli 4 punkti 2 ja isikuandmete kaitse seaduse tähenduses, või on tegemist anonüümsete
andmetega, mis jäävad andmekaitse regulatsioonide kohaldamisalast välja?
Kirjeldatud tehnilise lahenduse puhul näib, et tegu võib olla pseudonümiseeritud andmetega, mis
loetakse isikuandmeteks, kui teatud eeldused on täidetud. Isikuandmete kaitse üldmääruse
(IKÜM) järgi on pseudonümiseerimine isikuandmete töötlemine sellisel viisil, et isikuandmeid
ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et
sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga
seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid.
Euroopa Andmekaitsenõukogu suuniste kohaselt pseudonüümitud andmeid, mida saab täiendava
teabe abil seostada füüsilise isikuga, tuleb pidada tuvastatava füüsilise isiku kohta käivaks
teabeks ning seega isikuandmeteks. See väide kehtib ka juhul, kui pseudonüümitud andmed ja
täiendav teave ei ole sama isiku valduses. Kui pseudonüümitud andmeid ja täiendavat teavet on
võimalik omavahel kombineerida, arvestades vahendeid, mida vastutav töötleja või muu isik võib
mõistlikult kasutada, siis on pseudonüümitud andmed isikuandmed. Isegi kui kogu
pseudonüümimise teostanud vastutava töötleja säilitatud täiendav teave on kustutatud, muutuvad
pseudonüümitud andmed anonüümseks üksnes juhul, kui anonüümsuse tingimused on täidetud
(vt. Euroopa Andmekaitsenõukogu suunised punkt 22).
Täiendav teave hõlmab teavet, mida säilitatakse pseudonüümiseerimise protsessi osana, et tagada
sama andmesubjekti eri isikuandmete järjepidev pseudonüümiseerimine, ning teavet, mida
hoitakse pseudonüümiseerimise hilisemaks tagasipööramiseks. Selline täiendav teave võib
koosneda tabelitest, mis seostavad pseudonüüme neid asendavate tuvastamist võimaldavate
tunnustega. See võib hõlmata ka krüptograafilisi võtmeid (vt Euroopa Andmekaitsenõukogu
suunised punkt 20).
2 (2)
b) Milliseid tehnilisi ja organisatsioonilisi meetmeid peaks täiendavalt rakendama, et tagada
andmete anonüümsus ja vältida isikuandmete töötlemisega seotud riske?
Praeguse AKI praktika kohaselt, mis põhineb Euroopa Andmekaitsenõukogu suunistel,
käsitletakse pseudonümiseeritud andmeid isikuandmetena seni, kuni taasidentifitseerimine on
võimalik. Seega, meetmed peaksid aitama kaasa tagada anonüümsus viisil, et
taasidentifitseerimine/tagasipööramine ei ole võimalik.
Juhul, kui tegemist on pseudonümiseeritud isikuandmetega, siis selliste andmete töötlemine peab
vastama IKÜM-le, sealhulgas artikli 5 kohastele seaduslikkuse, läbipaistvuse ja
konfidentsiaalsuse põhimõtetele ning artikli 6 nõuetele. Vastutavad töötlejad peavad tagama
asjakohase turvalisuse taseme, rakendades täiendavaid tehnilisi ja korralduslikke meetmeid.
Samuti peavad vastutavad töötlejad tagama läbipaistvuse ning võimaldama andmesubjektidel
kasutada IKÜM-i III peatükis sätestatud õigusi, välja arvatud juhul, kui kohaldub artikli 11 lõikes
2 ja artikli 12 lõikes 2 sätestatud erand.
Täpsemalt on võimalik isikuandmete definitsiooni kohta lugeda ka AKI korduma kippuvate
küsimuste rubriigist.
Loodan, et selgitustest on abi.
Lugupidamisega
Gunnar Gabriel Einlo
Jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|