| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.3-8/26/487-3 |
| Registreeritud | 04.03.2026 |
| Sünkroonitud | 05.03.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.3 Õigusalane korraldamine |
| Sari | 2.3-8 Teiste asutuste juriidiline nõustamine |
| Toimik | 2.3-8/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tartu Ülikool |
| Saabumis/saatmisviis | Tartu Ülikool |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Koostöö valdkond, Koolitus- ja ennetustiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Krista Lepik-Verliin
Tartu Ülikool
Teie 05.02.2026 Meie 04.03.2026 nr 2.3-8/26/487-3
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise seoses teenuse osutamise käigus
isikuandmete töötlemisega.
Siinkohal pean koheselt selgitama, et AKI ei saa anda konkreetsetele juhtumitele siduvat
õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses. AKI-l on kohustus anda
õigusalaseid selgitusi.1 Õigusalaste selgituste andmine ei tähenda õigusabi andmist. Õigusalaste
selgituste andmisega on tegemist siis, kui selgitatakse mingi konkreetse seaduse, konkreetse
paragrahvi, konkreetse lõike, konkreetse punkti sisu ja tähendust. Õigusabiga on tegemist siis, kui
antakse mingite konkreetsete eluliste asjaolude osas õiguslik hinnang. AKI ei osuta õigusabi.
Eelnev tähendab, et AKI ei saa anda hetkel hinnangut, kas teenuse osutamise erinevad mudelid
töötlevad seaduspäraselt andmeid. Viitan, et kui tegemist on ülikooli osalusel andmetöötlusega,
siis on igal juhul mõistlik ülikooli andmekaitsespetsialistiga (AKS) nõu pidada. AKS saab anda
nõu isikuandmete töötlemise kohta oma asutuses.
Järgnevalt selgitan üldiselt reegleid, mis puudutavad isikuandmete töötlemist.
Selgitan, et isikuandmed on kõik andmed üksikuna või kogumis, mille kaudu inimene on otseselt
või kaudselt äratuntav, näiteks nimi, isikukood, asukohateave, võrguidentifikaatorid, samuti
füüsilised, geneetilised, vaimsed, majanduslikud, kultuurilised ja mistahes muud tuvastamist
võimaldavad tunnused ja nende kombinatsioonid2. Ehk siis kui inimene on tuvastatav läbi
mingite parameetrite, siis saab neid andmeid lugeda isikuandmeteks.
Isikuandmete kaitse reeglid ei kehti kui teave ei võimalda isikut mõistlike pingutustega tuvastada3.
Tuleb arvestada, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub eraelu ning
seega ka isikuandmed, seetõttu ei kohaldu ka andmekaitsereeglid.
Isikuandmete kaitse üldmääruse (IKÜM)4 kohaselt ei kohaldata üldmääruse nõudeid, kui
isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus. See tähendab,
et IKÜM ei kohaldu olukordadele, kus isikuandmeid kasutatakse isiklikul eesmärgil. Isiklikuks
eesmärgiks on eelkõige andmete jagamine pereringis, sõpruskonnas või muus väikeses grupis.
1 Märgukirjale ja selgitustaotlusele vastamise ning kollektiivse pöördumise esitamise seaduse § 3. 2 Vt üldmääruse art. 4 p.1; direktiivi art. 3 p. 1. 3 Vt üldmääruse põhjenduspunkt 26 ja 57 ning art. 11; direktiivi pp. 21. 4 IKÜM artikli 2 lõike 2 punkti c kohaselt
2 (3)
Oluline on teada, et isikuandmete kaitse nõuded Eestis ongi sätestatud peamiselt IKÜM-s ning
isikuandmete kaitse seaduses aga kohustusi võib ka muudest seadustest tulla. See olenebki juba
sellest, millega ettevõte täpselt tegeleb ning milliseid andmeid reaalselt praktikas töötleb.
IKÜM5 sätestab, et isikuandmete töötlemine peab olema seaduslik ja andmesubjektile
läbipaistev; samuti tohib isikuandmeid töödelda (sh koguda, säilitada jne) üksnes
kindlaksmääratud õiguspärastel eesmärkidel6 ning koguda tuleb eesmärgi seisukohalt
võimalikult vähe andmeid7. Isikuandmete töötlemise õiguslike aluste loetelu on sätestatud IKÜM
artiklis 6. Seda, millisel õiguslikul alusel ja eesmärgil andmetöötlust läbi viiakse, peab
IKÜM-i8 kohaselt selgitama ja tõendama iga andmetöötleja ise vastavalt töödeldavatele
andmetele.
Kui õiguslik alus isikuandmete töötlemiseks puudub, siis andmeid töödelda (sh koguda, edastada,
salvestada vms) ei tohi. Niisama igaks juhuks andmeid töödelda eesmärgiga, et ehk hiljem on
tarvis, ei ole samuti lubatud.
Lisaks selgitan andmete säilitamise tähtaja olulisust. Andmete säilitamise tähtaja määramisel peab
järgima nii minimaalsuse kui eesmärgipärasuse nõudeid, kuid ka erinevatest seadustest tulenevaid
reegleid olenevalt kogutavatest andmetest. Säilitamiseks peab olema konkreetne põhjus ja ükski
isikuandmete hulk ei tohi olla igavene. Üldise printsiibi järgi peaks andmete säilitamine olema
minimaalne ehk andmed kustutatakse kohe kui eesmärk on täidetud. Kui osutub vajalikuks
andmeid säilitada kauem, siis tuleb seda põhjendada ja tuua välja konkreetne põhjendatud aeg,
kaua andmeid säilitatakse (näiteks raamatupidamisest tulenev säilitustähtaeg). Andmete
säilitamise tähtajale on oluline mõelda enne isikuandmete kogumist muuhulgas turvalisuse
kaalutlustel.
Mis puudutab surnud isiku isikuandmete töötlemist, siis IKÜM-i ei kohaldata surnuid puudutavate
isikuandmete suhtes9. Küll aga reguleerib isikuandmete töötlemist peale andmesubjekti surma
isikuandmete kaitse seadus (IKS), mille kohaselt saab surnud isiku andmete töötlemise lõpetamist
nõuda pärija10. Pärijaks oleku usaldusväärne kinnitus on notarilt saadud pärimistunnistus. Pärijale
lähevad üle pärandajaga seotud õigused ja kohustused, sh surnud inimese isikuandmete üle
otsustamise õigus, st mitte ainult vara.
Andmesubjektil ehk inimesel, kelle andmeid töödeldakse, on õigus andmetöötleja poole pöörduda
järgmiste taotlustega:
- nõuda võimalust oma andmetega tutvuda ehk siis saada teada, kuidas ja milliseid pöörduja
isikuandmeid töödeldakse, sh kellele tema isikuandmeid edastatakse (ettevõttevälised isikud, nt
maksu- ja tolliamet, tervisekassa vms) ning kes neid andmeid veel töötleb (ettevõttesisesed isikud
ning ettevõttega seotud isikud, nt raamatupidamisteenuse osutaja), mistõttu tasub eeskirjadesse
kirja panna ning andmesubjektidele tutvustada enne nende isikuandmete töötlemist.
- nõuda oma isikuandmete parandamist.
- nõuda oma isikuandmete kustutamist.
- nõuda oma isikuandmete töötlemise piiramist.
- nõuda oma isikuandmete ülekandmist.
Andmetöötlejal tuleb pöördumisele vastata 30 päeva jooksul ning anda vastus, kas isiku nõue
täidetakse või mitte. Keeldumist peab põhjendama ehk siis Teil tuleb selgitada, miks ja millisel
alusel Te mingeid isikuandmeid töötlete. Kui selgitusi ei anta või need ei ole selged ning piisavad,
siis saab andmesubjekt vajadusel pöörduda Andmekaitse Inspektsiooni. Ehk siis oluline ongi, et
5 IKÜM art 5 lg 1 p a 6 IKÜM art 5 lg 1 p b 7 IKÜM art 5 lg 1 p c 8 IKÜM art 5 lg 2 9 IKÜM põhjenduspunkt 27 10 IKS § 9 lg 2
3 (3)
iga andmetöötleja oleks avaldanud kohased andmekaitsetingimused, kust inimesed saaksid kätte
kogu vajaliku info oma isikuandmete töötlemise kohta (sh kes neid kogub, kaua, kuidas oma
õiguseid kaitsta jne).
Lisainformatsiooni saamiseks palumegi tutvuda Andmekaitse Inspektsiooni veebilehel
avaldatud materjalidega, mis toetavad andmetöötlejat:
- Andmetöötluse põhimõtted, sh millest alustada, leiab siit: Andmetöötluse põhimõtted |
Andmekaitse Inspektsioon;
- Korduma kippuvad küsimused (KKK);
- isikuandmete töötlemise üldjuhend, kus on kirjas kõige olulisem, mida isikuandmete
töötleja peab teadma.
- Andmetöötleja vastutusest ning kohustustest isikuandmete töötlemisel leiab informatsiooni
siit.
- Andmekaitsetingimuste koostamisest: Andmekaitsetingimuste koostamine | Andmekaitse
Inspektsioon;
- Abimaterjalide alt on leitavad: vastavus isikuandmete kaitse üldmäärusega,
andmekaitsetingimused ja nõusolek.
- Andmekaitse Inspektsioonil on ka kasutuses Bürokratt, mis asub veebilehel all paremas
nurgas ning mis abistab erinevate küsimuste korral.
- Mida tähendab isikliku otstarbe erand, leiab rohkem informatsiooni siit: Mõisted |
Andmekaitse Inspektsioon.
Kordan, et kui ettevõttel on vaja õiguslikku abi ja seisukohta lähtuvalt konkreetsetest asjaoludest
ning töödeldavatest andmetest, siis soovitame pöörduda oma asutuse andmekaitsespetsialisti või
õigusnõustajate (advokaadid, juristid) poole, kes saavad juba abistada konkreetseid asjaolusid
arvestades, sh korrektse dokumentatsiooni (nt andmekaitsetingimuste, konfidentsiaalsuse
sõnastamisel lepingusse jne) koostamisel.
Samuti on andmetöötlejal võimalus tellida Andmekaitse Inspektsiooni uudiskiri, et olla kursis
andmetöötluse aktuaalsete uudistega. Uudiskirjaga saab liituda siit:
https://www.aki.ee/meist/teadlikkus/uudiskiri
Kokkuvõtteks saabki nentida, et kui andmed on läbimõeldult töödeldud (kogutud,
salvestatud jne), siis puuduvad üldjuhul takistused nende töötlemiseks. Oluline on
teadvustada, et teenuse osutaja peab tagama, et andmed hoitakse kättesaamatult kolmandate isikute
eest, et ei oleks volitamata ligipääse, juhuslikku kaotamist, hävimist või kahjustumist.
Isikuandmete töötleja vastutab alati tema käsutuses olevate isikuandmetega tehtud toimingute eest
ning peab olema valmis nõuetekohast töötlemist ka tõendama, mistõttu tuleb oma tegemised enne
teenuse osutamist paika panna kirjalikku taasesitamist võimaldavas vormis.
Loodan, et minu selgitustest on abi ja kui Teil tekib eelneva pinnalt lisaküsimusi, siis võtke julgelt
ühendust.
Lugupidamisega
Liina Kroonberg
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|