| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/26/903-2 |
| Registreeritud | 27.03.2026 |
| Sünkroonitud | 30.03.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Erply |
| Saabumis/saatmisviis | Erply |
| Vastutaja | Hannamari Bachmann (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Erply
Teie 06.03.2026 Meie 27.03.2026 nr 2.2-9/26/903-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie selgitustaotluse, milles soovite teada, kas ISO ja/või
SOC standardite täitmine annab aluse teostada karistusregistri päringuid tööle kandideerijate
kohta.
Vabandame, et vastus on viibinud.
Esmalt selgitame, et inspektsioon ei saa selgitustaotlusele vastates anda konkreetsele juhtumile
siduvat õiguslikku hinnangut, see on võimalik ainult järelevalvemenetluses. Seetõttu anname Teile
järgnevalt üldised selgitused.
Isikuandmete töötlemise nõuded tulenevad eelkõige isikuandmete kaitse üldmäärusest (IKÜM),
mille kohaselt peab igasuguseks isikuandmete töötlemiseks (kogumiseks, säilitamiseks, registrisse
päringute tegemiseks jne) esinema IKÜM artiklis 6 nimetatud õiguslik alus (nõusolek, lepingu
täitmine, juriidiline kohustus, avalik ülesanne, õigustatud huvi). Töötlemise õiguslikest alustest
saate lugeda AKI kodulehelt rubriigist Töötlemise õiguslikud alused. Samuti tuleb igasugusel
andmetöötlusel järgida kõiki IKÜM artiklis 5 sätestatud põhimõtteid. Põhimõtteid on samuti AKI
kodulehel avatud Andmetöötluse põhimõtted. Seda, millisel õiguslikul alusel ja eesmärgil
andmetöötlust läbi viiakse, peab selgitama ja tõendama andmetöötleja. Kui alus
andmetöötluseks puudub, siis andmeid töödelda ei tohi.
Teatud juhtudel võib taustakontrolli tegemise kohustus tuleneda mõnest eriseadusest. Näiteks näeb
lastekaitseseadus ette piirangud inimestele, kes ei tohi lastega töötada. Sellisel juhul toimub
karistusregistri andmete kontrollimine juriidilise kohustuse alusel.1 See alus eeldab, et inimese
karistatuse andmetega tutvumine on seatud andmetöötlejale just nimelt kohustusena, mitte üksnes
soovituse või võimalusena, ning vastav kohustus peab tulenema seadusest või seaduse alusel antud
määrusest. Olete oma pöördumises viidanud punktile, mille kohaselt At a minimum, a criminal
background check should be performed for all new hires as a condition of employment; however,
this is not an explicit SOC 2 requirement to do so, but rather a best practice. See lause ütleb
üheselt, et tegemist on soovitusega, mitte kohustusega. Samuti ei ole Te viidanud, et see lause
oleks pärit mõnest Teie ettevõttele kohalduvast seadusest. Seetõttu ei nähtu esmapilgul, et
karistusregistripäringute tegemise õiguslikuks aluseks saaks olla juriidiline kohustus.
Üldjuhul ei sobi töösuhetes isikuandmete töötlemise õiguslikuks aluseks ka inimese nõusolek.
Seda seetõttu, et töösuhetes on tööandja töötajaga võrreldes jõupositsioonil. IKÜM näeb ette, et
1 IKÜM art 6 lg 1 p c.
2 (3)
selleks, et nõusolek oleks kehtiv, peab see olema antud mh vabatahtlikult.2 Kui taustakontrolli
teostamine seatakse aga töölepingu sõlmimise tingimuseks (st, et ilma taustakontrolli teostamiseta
inimesega töölepingut ei sõlmita), ei ole selline nõusolek vabatahtlik.
Isikuandmeid, sh kehtivaid3 karistatuse andmeid võib teatud juhtudel töödelda ka tööandja
õigustatud huvi alusel.4 Sellise huvi olemasolule võib mh viidata tööandja vabatahtlik soov vastata
sellistele turvastandarditele nagu ISO ja SOC. Juhul, kui tööandja soovib taustakontrolli
läbiviimisel tugineda õigustatud huvile, tuleb analüüsida õigustatud huvi olemasolu ning
kaaluda, kas tööandja vajadus ja huvi taustakontrolli teha kaalub ikka ülesse kandidaadi
õiguse privaatsusele. Vaidluse korral on õigustatud huvi tõendamise kohustus tööandjal.5
Selgitame, et mitte igasugune huvi töötaja või kandidaadi tausta vastu ei ole õigustatud. Teabe
saamiseks peab esinema reaalne vajadus. Eelduslikult ei esine tööandjal õigustatud huvi teabe
kohta, mis puudutab ebaproportsionaalselt kandideerija eraelu või mis ei ole seotud sobivusega
pakutavale töökohale.6 Seega tuleb õigustatud huvi hinnata lähtuvalt konkreetsest töösuhtest,
võttes arvesse vastava ametikoha nõudeid ning tööülesandeid. Teil kui andmetöötlejal tuleb
hinnata, kas tegemist on selliste töökohtadega, millel töötamise eelduseks on karistatuse
puudumine ning kas töökohal töötamise välistavad igasugused või ainult teatud liiki
karistusandmed.
Täpsustame, et ainuüksi õigustatud huvi olemasolu ei tähenda veel, et isikuandmete töötlemisel
saaks õigustatud huvi alusele tugineda. Tööandja õigustatud huvi olemasolu on vaid
lähtepunkt ehk üks elementidest, mida tuleb analüüsida ning see, kas õigustatud huvi alusele
saab tugineda, sõltub andmetöötleja ja andmesubjekti (ehk praegusel juhul töötaja või tööle
kandideerija) huvide tasakaalustamise tulemusest. Õigustatud huvi korral on isikuandmete
töötlemine seaduslik ainult juhul kui andmesubjekti huvid või põhiõigused ja –vabadused ei ole
tähtsamad kui andmetöötleja huvid.
Tähele tuleb panna seda, et IKÜM art 6 lg 1 p-s f sätestatud õigustatud huvi alusel on andmetöötlus
seaduslik vaid siis, kui korrektselt on läbi viidud poolte huvide põhjalik kaalumine (analüüs),
millest nähtub selgelt järeldus andmete töötlemise õigustatuse kohta ehk läbi on viidud ja
kirjalikult dokumenteeritud õigustatud huvi analüüs. IKÜM art 6 lg 1 p-s f on ette nähtud kolm
tingimust, mis kõik peavad täidetud olema, et isikuandmete töötlemine oleks lubatud:
1) andmetöötlejal on õigustatud huvi;
2) isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;
3) andmetöötleja huve ei kaalu üles kaitstava andmesubjekti põhiõigused ja –vabadused.
Seda, kuidas õigustatud huvi täpselt hinnata, on Andmekaitse Inspektsioon selgitanud eraldi
juhendis, mis on leitav siit.
Seega tuleb alustada huvide hindamise ja kaalumise analüüsist, kust peab selguma, mismoodi
tööandja huvid kaaluvad üles isiku õiguse privaatsusele ning kui see leiab tõestust, siis kuidas
andmetöötleja saab kontrollida isikut nii, et see riivaks võimalikult vähe isiku privaatsust.
Kokkuvõttes sõltub taustakontrolli, sealhulgas karistusregistrist väljavõtte, tegemise lubatavus
õiguslikust alusest. Kui õigusliku alusena soovitakse kasutada õigustatud huvi, siis tohib seda teha
ainult teatud tingimustel, sh peate põhjendama, miks on see just antud ametikohal konkreetselt
vajalik. Andmetöötleja ehk taustakontrolli teha sooviv ettevõte peab ise leidma ning põhjendama,
millist õiguslikku alust ning miks kasutatakse taustakontrolli tegemiseks.
2 IKÜM art 4 p 11 ja art 7. 3 Arhiveeritud karistuste kohta on õigus andmeid saada ainult karistusregistri seaduses sätestatud juhtudel. 4 IKÜM art 6 lg 1 p f. 5 IKÜM art 5 lg 2. 6 Töölepingu seadus § 11 lg 2.
3 (3)
Olete viidanud oma küsimuses ka AKI kodulehel olevale KKK küsimuse vastusele, mille kohaselt
ei ole tööandjal lubatud töötajalt nõuda karistusandmete esitamist. Selgitan, et tegemist on
karistusregistri seadusest tuleneva keeluga, mille kohaselt ei ole lubatud inimeselt nõuda, et ta ise
teeks enda kohta karistusregistrisse päringu ning edastaks tulemused tööandjale.7 Juhul, kui
tööandjal esineb õiguslik alus karistusregistri andmetega tutvuda, peab ta vastava päringu
registrisse ise tegema.
Taustakontrolli tegemise kohta töösuhetes saate täiendavalt lugeda AKI kodulehelt Isikuandmete
töötlemine töösuhtes | Andmekaitse Inspektsioon.
Loodame, et meie selgitustest on abi.
Lugupidamisega
Hannamari Bachmann
jurist
peadirektori volitusel
7 Karistusregistri seadus § 16 lg 1.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|