Selgitustaotlus
| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/26/894-1 |
| Registreeritud | 06.03.2026 |
| Sünkroonitud | 09.03.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Privacy Rights |
| Saabumis/saatmisviis | Privacy Rights |
| Vastutaja | Urmo Parm (Andmekaitse Inspektsioon, Tehnoloogia valdkond) |
| Originaal | Ava uues aknas |
Failid
Saatja: Privacy4Cars B.V., Schiphol, Rijik Het Poortgebouw, Beech Avenue 54-62 Schiphol, 1119 PW Saaja: Andmekaitse Inspektsioon (Estonian Data Protection Inspectorate)
Tatari 39, 10134 Tallinn, Estonia
Teie mugavuse huvides automaatselt tõlgitud versioon. Originaaltekst inglise keeles on lõpus. Teema: AKI selgitus ICO juhiste kohta sõidukite isikuandmete kustutamise kohta enne edasimüüki Austatud Andmekaitse Inspektsioon, Hiljuti avaldas Andmekaitseamet (ICO) juhised selle kohta, kuidas GDPR kehtib isikuandmete suhtes, mis on salvestatud sõidukites, mis vahetavad omanikku (nt müük, tagasivõtmine, jagamine, täielik kahju), märkides, et: 1. Vastutavad töötlejad (st sõiduki seaduslikud omanikud) peavad sõidukis salvestatud andmesubjektide isikuandmed kustutama, kui nad saavad vara tagasi oma valdusse. Selle tegemata jätmine on teatamiskohustuslik isikuandmete rikkumine. 2. Tuleb rakendada asjakohaseid tehnilisi ja organisatsioonilisi meetmeid. Vaja on objektiivset, korratavat ja kontrollitavat andmete kustutamise protsessi. Isikuandmete kustutamine üksikute töötajate subjektiivse otsuse alusel ei ole GDPR-iga kooskõlas. Nende teade (välja arvatud isikuandmed) on täielikult esitatud käesoleva e-kirja lõpus. ICO rõhutas, et sõidukites salvestatud isikuandmed kuuluvad selgelt GDPR-i reguleerimisalasse ja et sõidukitel ei ole erandit artiklites 5 ja 32 sätestatud andmete turvalisuse põhireeglite (sh andmete hävitamine) järgimisest, mis on tavapärased kasutatud/remonditud elektroonikaseadmete hulgimüüjate ja jaemüüjate seas. Vähem kui kaks kuud pärast ICO juhiste avaldamist on mitmed tööstusliidud koostöös õigus-, tehnika- ja tööstusekspertidega hakanud välja andma juhiseid ja standardeid, mis tõstavad andmekaitse nõudeid märkimisväärselt. Seevastu mitmed organisatsioonid, kes tegelevad teie jurisdiktsioonis suure hulga sõidukitega (nt autopargid, autopargi liisinguettevõtjad, laenuandjad, kindlustusandjad, rendiettevõtjad, autode müüjad jne), väidavad, et kui teie asutus ei avalda konkreetseid juhiseid, nagu tegi ICO, ei näe nad kohustust järgida GDPR-i eeskirju ja jätkavad seega teie riigis miljonite sõidukikasutajate krüpteerimata andmete rikkumist ja avalikustamist.
Palume teil lugeda läbi Ühendkuningriigi ICO avaldus (lisatud allpool) ja jagada oma asutuse seisukoht selles küsimuses. Täpsemalt: kas olete nõus, et vastutavad töötlejad on kohustatud kustutama sõidukites salvestatud eelmiste kasutajate isikuandmed objektiivsete, korratavate ja kontrollitavate meetoditega, kui nad saavad sõiduki tagasi oma valdusse ja enne selle edasimüüki? Arvestades sõidukite kiiret digitaliseerimist ja nende kogutavate ja salvestatavate isikuandmete mahu suurenemist, kui neid ei kustutata, on vaja teie asutuse selget seisukohta, et tagada nõuete täitmine ja andmesubjektide õiguste kaitse. Täname teid tähelepanu eest ja ootame teie juhiseid. PS: allpool on toodud ICO e-kiri, mille teie asutus saab üksikasjalikult läbi vaadata.
From: icocasework <[email protected]>
Date: Mon, Dec 22, 2025 at 9:49 AM
Subject: Your email to the ICO - Case Reference IC-XXXXXXXXXXX
22 December 2025 Our reference: IC-XXXXXXXXXXX Dear XXXXXXXX Thank you for your enquiry of 16 December 2025. Does the ICO agree that data controllers must delete personal data from vehicles upon return? Under UK GDPR, any organisation that determines the purposes and means of processing personal data becomes a data controller. When a rental, leasing, or fleet company regains possession of a vehicle, it assumes control over any personal data stored in that vehicle’s systems. Continuing to store or disclose that data without identifying a lawful basis would breach: Article 5(1)(a) (lawfulness, fairness, transparency) Article 5(1)(c) (data minimisation) Article 5(1)(f) and Article 32 (security of processing)
We indicated in our previous response that the entity owning or lawfully repossessing the vehicle is the data controller and must ensure deletion before onward use. Passing the vehicle to another user without erasure of the personal data held on its systems could amount to unlawful processing and a personal data breach. Does the ICO agree that relying on staff knowledge alone is insufficient for compliance? UK GDPR requires data controllers to demonstrate compliance Article 5(2) (accountability).
Our guidance stresses that ‘appropriate technical and organisational measures’ must be in place. Relying solely on employees’ subjective judgment or ‘best endeavours’ is unlikely to meet this standard because: It is not objective, repeatable, or auditable. It cannot reliably prevent unauthorised disclosure. It fails to provide evidence of compliance if challenged. Documented procedures and/or automated tools that deliver consistent, verifiable results are strongly recommended to meet accountability and security obligations. If you would like to discuss this further, please contact me on my direct number 0330 XXX XXXX. If you need advice on a new issue you can contact us via our Helpline on 0303 123 1113 or through our live chat service. In addition, more information about the Information Commissioner’s Office and the legislation we oversee is available on our website at www.ico.org.uk. Yours sincerely XXXXXXXXXXXXX Case Officer Information Commissioner’s Office Information Commissioner’s Office, Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF T. 0330 414 6016 ico.org.uk twitter.com/iconews Please consider the environment before printing this email
Respectfully,
The team at Privacy4Cars
https://privacy4cars.com
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
AustatudAndmekaitse Inspektsioon,
Hiljuti avaldas Andmekaitseamet (ICO) juhised selle kohta, kuidas GDPR kehtib isikuandmete suhtes, mis on salvestatud sõidukites, mis vahetavad omanikku (nt müük, tagasivõtmine, jagamine, täielik kahju), märkides, et:
1. Vastutavad töötlejad (st sõiduki seaduslikud omanikud) peavad sõidukis salvestatud andmesubjektide isikuandmed kustutama, kui nad saavad vara tagasi oma valdusse. Selle tegemata jätmine on teatamiskohustuslik isikuandmete rikkumine.
2. Tuleb rakendada asjakohaseid tehnilisi ja organisatsioonilisi meetmeid. Vaja on objektiivset, korratavat ja kontrollitavat andmete kustutamise protsessi. Isikuandmete kustutamine üksikute töötajate subjektiivse otsuse alusel ei ole GDPR-iga kooskõlas.
Nende teade (välja arvatud isikuandmed) on täielikult esitatud käesoleva e-kirja lõpus.
ICO rõhutas, et sõidukites salvestatud isikuandmed kuuluvad selgelt GDPR-i reguleerimisalasse ja et sõidukitel ei ole erandit artiklites 5 ja 32 sätestatud andmete turvalisuse põhireeglite (sh andmete hävitamine) järgimisest, mis on tavapärased kasutatud/remonditud elektroonikaseadmete hulgimüüjate ja jaemüüjate seas. Vähem kui kaks kuud pärast ICO juhiste avaldamist on mitmed tööstusliidud koostöös õigus-, tehnika- ja tööstusekspertidega hakanud välja andma juhiseid ja standardeid, mis tõstavad andmekaitse nõudeid märkimisväärselt.
Seevastu mitmed organisatsioonid, kes tegelevad teie jurisdiktsioonis suure hulga sõidukitega (nt autopargid, autopargi liisinguettevõtjad, laenuandjad, kindlustusandjad, rendiettevõtjad, autode müüjad jne), väidavad, et kui teie asutus ei avalda konkreetseid juhiseid, nagu tegi ICO, ei näe nad kohustust järgida GDPR-i eeskirju ja jätkavad seega teie riigis miljonite sõidukikasutajate krüpteerimata andmete rikkumist ja avalikustamist.
Palume teil lugeda läbi Ühendkuningriigi ICO avaldus (lisatud allpool) ja jagada oma asutuse seisukoht selles küsimuses. Täpsemalt: kas olete nõus, et vastutavad töötlejad on kohustatud kustutama sõidukites salvestatud eelmiste kasutajate isikuandmed objektiivsete, korratavate ja kontrollitavate meetoditega, kui nad saavad sõiduki tagasi oma valdusse ja enne selle edasimüüki?
Arvestades sõidukite kiiret digitaliseerimist ja nende kogutavate ja salvestatavate isikuandmete mahu suurenemist, kui neid ei kustutata, on vaja teie asutuse selget seisukohta, et tagada nõuete täitmine ja andmesubjektide õiguste kaitse.
Täname teid tähelepanu eest ja ootame teie juhiseid.
PS: allpool on toodud ICO e-kiri, mille teie asutus saab üksikasjalikult läbi vaadata.
From: icocasework <[email protected]>
Date: Mon, Dec 22, 2025 at 9:49 AM
Subject: Your email to the ICO - Case Reference IC-XXXXXXXXXXX
22 December 2025
Our reference: IC-XXXXXXXXXXX
Dear XXXXXXXX
Thank you for your enquiry of 16 December 2025.
Does the ICO agree that data controllers must delete personal data from vehicles upon return?
Under UK GDPR, any organisation that determines the purposes and means of processing personal data becomes a data controller. When a rental, leasing, or fleet company regains possession of a vehicle, it assumes control over any personal data stored in that vehicle’s systems.
Continuing to store or disclose that data without identifying a lawful basis would breach:
Article 5(1)(a) (lawfulness, fairness, transparency)
Article 5(1)(c) (data minimisation)
Article 5(1)(f) and Article 32 (security of processing)
We indicated in our previous response that the entity owning or lawfully repossessing the vehicle is the data controller and must ensure deletion before onward use. Passing the vehicle to another user without erasure of the personal data held on its systems could amount to unlawful processing and a personal data breach.
Does the ICO agree that relying on staff knowledge alone is insufficient for compliance?
UK GDPR requires data controllers to demonstrate compliance Article 5(2) (accountability).
Our guidance stresses that ‘appropriate technical and organisational measures’ must be in place. Relying solely on employees’ subjective judgment or ‘best endeavours’ is unlikely to meet this standard because:
It is not objective, repeatable, or auditable.
It cannot reliably prevent unauthorised disclosure.
It fails to provide evidence of compliance if challenged.
Documented procedures and/or automated tools that deliver consistent, verifiable results are strongly recommended to meet accountability and security obligations.
If you would like to discuss this further, please contact me on my direct number 0330 XXX XXXX. If you need advice on a new issue you can contact us via our Helpline on 0303 123 1113 or through our live chat service. In addition, more information about the Information Commissioner’s Office and the legislation we oversee is available on our website at www.ico.org.uk.
Yours sincerely
XXXXXXXXXXXXX
Case Officer
Information Commissioner’s Office
Information Commissioner’s Office, Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF
T. 0330 414 6016 ico.org.uk twitter.com/iconews
Please consider the environment before printing this email
Saatja: Privacy4Cars B.V., Schiphol, Rijik Het Poortgebouw, Beech Avenue 54-62 Schiphol, 1119 PW Saaja: Andmekaitse Inspektsioon (Estonian Data Protection Inspectorate)
Tatari 39, 10134 Tallinn, Estonia
Teie mugavuse huvides automaatselt tõlgitud versioon. Originaaltekst inglise keeles on lõpus. Teema: AKI selgitus ICO juhiste kohta sõidukite isikuandmete kustutamise kohta enne edasimüüki Austatud Andmekaitse Inspektsioon, Hiljuti avaldas Andmekaitseamet (ICO) juhised selle kohta, kuidas GDPR kehtib isikuandmete suhtes, mis on salvestatud sõidukites, mis vahetavad omanikku (nt müük, tagasivõtmine, jagamine, täielik kahju), märkides, et: 1. Vastutavad töötlejad (st sõiduki seaduslikud omanikud) peavad sõidukis salvestatud andmesubjektide isikuandmed kustutama, kui nad saavad vara tagasi oma valdusse. Selle tegemata jätmine on teatamiskohustuslik isikuandmete rikkumine. 2. Tuleb rakendada asjakohaseid tehnilisi ja organisatsioonilisi meetmeid. Vaja on objektiivset, korratavat ja kontrollitavat andmete kustutamise protsessi. Isikuandmete kustutamine üksikute töötajate subjektiivse otsuse alusel ei ole GDPR-iga kooskõlas. Nende teade (välja arvatud isikuandmed) on täielikult esitatud käesoleva e-kirja lõpus. ICO rõhutas, et sõidukites salvestatud isikuandmed kuuluvad selgelt GDPR-i reguleerimisalasse ja et sõidukitel ei ole erandit artiklites 5 ja 32 sätestatud andmete turvalisuse põhireeglite (sh andmete hävitamine) järgimisest, mis on tavapärased kasutatud/remonditud elektroonikaseadmete hulgimüüjate ja jaemüüjate seas. Vähem kui kaks kuud pärast ICO juhiste avaldamist on mitmed tööstusliidud koostöös õigus-, tehnika- ja tööstusekspertidega hakanud välja andma juhiseid ja standardeid, mis tõstavad andmekaitse nõudeid märkimisväärselt. Seevastu mitmed organisatsioonid, kes tegelevad teie jurisdiktsioonis suure hulga sõidukitega (nt autopargid, autopargi liisinguettevõtjad, laenuandjad, kindlustusandjad, rendiettevõtjad, autode müüjad jne), väidavad, et kui teie asutus ei avalda konkreetseid juhiseid, nagu tegi ICO, ei näe nad kohustust järgida GDPR-i eeskirju ja jätkavad seega teie riigis miljonite sõidukikasutajate krüpteerimata andmete rikkumist ja avalikustamist.
Palume teil lugeda läbi Ühendkuningriigi ICO avaldus (lisatud allpool) ja jagada oma asutuse seisukoht selles küsimuses. Täpsemalt: kas olete nõus, et vastutavad töötlejad on kohustatud kustutama sõidukites salvestatud eelmiste kasutajate isikuandmed objektiivsete, korratavate ja kontrollitavate meetoditega, kui nad saavad sõiduki tagasi oma valdusse ja enne selle edasimüüki? Arvestades sõidukite kiiret digitaliseerimist ja nende kogutavate ja salvestatavate isikuandmete mahu suurenemist, kui neid ei kustutata, on vaja teie asutuse selget seisukohta, et tagada nõuete täitmine ja andmesubjektide õiguste kaitse. Täname teid tähelepanu eest ja ootame teie juhiseid. PS: allpool on toodud ICO e-kiri, mille teie asutus saab üksikasjalikult läbi vaadata.
From: icocasework <[email protected]>
Date: Mon, Dec 22, 2025 at 9:49 AM
Subject: Your email to the ICO - Case Reference IC-XXXXXXXXXXX
22 December 2025 Our reference: IC-XXXXXXXXXXX Dear XXXXXXXX Thank you for your enquiry of 16 December 2025. Does the ICO agree that data controllers must delete personal data from vehicles upon return? Under UK GDPR, any organisation that determines the purposes and means of processing personal data becomes a data controller. When a rental, leasing, or fleet company regains possession of a vehicle, it assumes control over any personal data stored in that vehicle’s systems. Continuing to store or disclose that data without identifying a lawful basis would breach: Article 5(1)(a) (lawfulness, fairness, transparency) Article 5(1)(c) (data minimisation) Article 5(1)(f) and Article 32 (security of processing)
We indicated in our previous response that the entity owning or lawfully repossessing the vehicle is the data controller and must ensure deletion before onward use. Passing the vehicle to another user without erasure of the personal data held on its systems could amount to unlawful processing and a personal data breach. Does the ICO agree that relying on staff knowledge alone is insufficient for compliance? UK GDPR requires data controllers to demonstrate compliance Article 5(2) (accountability).
Our guidance stresses that ‘appropriate technical and organisational measures’ must be in place. Relying solely on employees’ subjective judgment or ‘best endeavours’ is unlikely to meet this standard because: It is not objective, repeatable, or auditable. It cannot reliably prevent unauthorised disclosure. It fails to provide evidence of compliance if challenged. Documented procedures and/or automated tools that deliver consistent, verifiable results are strongly recommended to meet accountability and security obligations. If you would like to discuss this further, please contact me on my direct number 0330 XXX XXXX. If you need advice on a new issue you can contact us via our Helpline on 0303 123 1113 or through our live chat service. In addition, more information about the Information Commissioner’s Office and the legislation we oversee is available on our website at www.ico.org.uk. Yours sincerely XXXXXXXXXXXXX Case Officer Information Commissioner’s Office Information Commissioner’s Office, Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF T. 0330 414 6016 ico.org.uk twitter.com/iconews Please consider the environment before printing this email
Respectfully,
The team at Privacy4Cars
https://privacy4cars.com