Vastus selgitustaotlusele

1

Geili Keppi - AKI

Adressaat: Geili Keppi - AKI Teema: RE: Palun abi/ käisin 27.01.2026 Tartus AKI koolitusel/nüüd tegelen...

From: Geili Keppi - AKI Sent: Thursday, February 26, 2026 4:56 PM To: 'Diana Tuul' <[email protected]> Subject: RE: Palun abi/ käisin 27.01.2026 Tartus AKI koolitusel/nüüd tegelen... Tere, Diana! Mul on heameel, et pöördud ja oled enda asutuses tähelepanu pööramas andmekaitse küsimustele. Pean esmalt vajalikuks selgitada, et Andmekaitse Inspektsioon järelevalveasutusena ei saa osutada õigusabi. Õigusabiga on tegemist siis, kui antakse mingite konkreetsete eluliste asjaolude osas õiguslik hinnang. Seadusest tulenevalt on meil kohustus anda õigusalaseid selgitusi inspektsiooni tegevuse aluseks olevate õigusaktide ja asutuse pädevuse kohta. Õigusalaste selgituste andmine ei tähenda aga õigusabi andmist. Kuna konkreetse privaatsuspoliitika hindamine nõuaks just õiguslikku hinnangut, ei saa ma selles osas Teid nõustada. Küll aga saan jagada üldiseid selgitusi. Andmekaitsetingimused tuleb koostada eelkõige kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt. Tuleb tagada, et kirjeldused kajastaksid reaalselt toimuvat andmetöötlust ning ei piirduks pelgalt õigusnormide tekstilise kopeerimisega. Täpsemalt leiate andmekaitsetingimuste koostamise kohta ka AKI välisveebist Andmekaitsetingimuste koostamine | Andmekaitse Inspektsioon, kus on ka selgitatud mida need tingimused sisaldama peavad. Lisaks on meil sel teemal koostatud abimaterjal ja nö kontrollnimekiri: Andmekaitsetingimused ja nõusolek | Andmekaitse Inspektsioon. Isikuandmete kaitse üldmäärusest tulenev läbipaistvuse põhimõte eeldab, et kogu isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt sõnastatud. Teisisõnu, andmekaitsetingimustes toodud teave, sh töödeldavate isikuandmete loetelu ning töötlemise eesmärk ja õiguslik alus peab olema isikule selge ja arusaadav. Tingimused ei tohi piirduda üldsõnaliste lausetega, vaid peab olema arusaadav, milliseid andmeid, milleks ja millisel õiguslikul alusel töödeldakse. Veebiküpsiste kasutamise osas selgitan, et küpsiste kasutamiseks peab olema isiku eelnev nõusolek, v.a juhul kui andmete tehnilise salvestamise ja juurdepääsu ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik infoühiskonna teenuse osutamiseks. Hädavajalikud küpsised on näiteks kasutaja sessiooni-, keele-eelistuse- või autentimise küpsised. Juhul, kui veebilehel on kasutusel analüütilised küpsised, reklaamküpsised või küpsised, millega edastatakse andmeid kolmandatele osapooltele ning edastatav teave võimaldab inimest kas otseselt või kaudselt tuvastada, tuleb lähtuda isikuandmete kaitse üldmäärusest ning seda tüüpi küpsiste paigaldamiseks peabki olema kasutaja eelnev nõusolek. Inimene peab aru saama, milliseid

2

küpsiseid veebileht kogub ja tal peab olema võimalik iga küpsiseliigi kohta anda eraldi nõusolek (v.a võrgulehe toimimiseks hädavajalikud küpsised). Nõuetele vastav teade küpsiste kasutamisest sisaldab selgitust, mis eesmärgil küpsiseid kasutatakse, kui kaua ja kes on need erinevad osapooled, kellega on kavas neid jagada (kui on asjakohane). Teade peaks sisaldama viidet andmekaitsetingimustele, kus on selgitatud ka küpsiste kasutamise tingimusi. Soovitame selgitustes viidata ka konkreetsete küpsiste nimetustele. Kindlasti tuleb jälgida, et kui teatud küpsised eeldavad kasutaja nõusolekut, tohib sellised küpsised laadida alles peale kasutaja tahteavaldust. Meie praktika on paraku näidanud, et vaatamata nõusoleku bännerile laetakse küpsised kasutaja arvutisse kohe veebilehe avamisel. See ei ole aga korrektne. Nõusoleku bänner peaks sisaldama kolme võimalust - (1) kasutaja saab korraga nõustuda kõigi küpsistega (st nii vajalikud kui mittevajalikud), (2) kasutaja saab keelduda küpsistest (st rakenduvad ainult vajalikud küpsised) ning (3) kasutaja saab täiendavalt hallata, millised mittevajalikud küpsised ta lubab. Näiteks ei soovi kasutaja reklaamküpsiseid, kuid statistika (analüütika) küpsistega on nõus. Lisaks ei ole sobiv kasutada eeltäidetud lahtreid või muud sellist, sest tegemist on tumedate või petlike mustritega. Petlik disain kasutajaliideses manipuleerib kasutajaid tegema teatavaid valikuid või sooritama konkreetseid tegevusi, mida nad ei teeks, kui neil oleks tegelik valikuvõimalus või kui nad sellest aru saaksid. AKI on lühidalt puudutanud veebiküpsiste temaatikat ka korduma kippuvate küsimuste rubriigis. Lisaks oleme aastaraamatus toonud välja ka levinumad vead veebiküpsiste kogumisel. Loodan, et minu vastusest on siiski abi. Lugupidamisega Geili Keppi jurist [email protected] 627 4141 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn | YouTube