PRESSITEADE: Andmekaitse Inspektsioon avaldas 2025. aasta aastaraamatu

20 25 AASTARAAMAT

Sisukord

1 Peadirektor Pille Lehise eessõna 2

2 Ennetustöö tegevustes: koolitused, juhised ja proaktiivne lähenemine 4

3 Andmekaitsevõrgustike loomine ja teadlikkuse tõstmine 5

4 Kohalike omavalitsuste andmekaitsevõrgustik 6

5 Andmekaitse ennetus ja järelevalve koolides 8

6 Töötajate joobe kontrollimisest – kas on tulemas oodatud lahendus? 12

7 Töötajate jälgimine töökeskkonnas 14

8 Patsiendisaladusega kaitstud andmete väljastamine – kas võib ja kellele? 16

9 Kui avalik info muutub isiklikuks: andmekaitse piiridest infoportaalide näitel 18

10 Äriregistri läbipaistvus ja privaatsus: kus jookseb piir? 20

11 Apotheka andmeleke: kui turvameetmed jäävad ajale jalgu 22

12 Politsei andmekogu järelevalve 24

13 SMS vahendusteenuse pakkujate seire 26

14 Kohalike omavalitsuste dokumendiregistrite seire 30

15 Euroopa andmekaitseasutuste ühisseire: andmesubjekti õigus olla unustatud 36

16 Rikkumisteated 38

17 Olulised kohtuasjad 40

18 Õigusloome tähelepanekud ja soovitused õigusloojatele 2026. aastaks 44

19 Privaatsust austava turvalise Euroopa andmemajanduse kujundamine 48

20 Digiteenuste määruse nõuete ja isikuandmete kaitse koosmõju 50

21 Euroopa Liidu digiandmeid reguleerivate õigusaktide ja isikuandmete kaitse koosmõju 52

22 Andmekaitse ja konkurentsiõiguse põimumine digimaastikul: Isikuandmete kaitse

üldmääruse ja Digiturgude määruse koosmõju suunised 56

23 Tegevusnäitajad 58

2

Inspektsioonil on ümber saanud üks strateegia­ periood ja algamas teine.

Teadlikkus, pädevus, kompetentsus, koostöö ja avatus on jätkuvalt need väärtused, millele meie töö toetub, ja seetõttu järgneval perioodil suuri kanna pöördeid oodata ei ole. 2025. aasta on aga väga selgeks teinud, et neid põhimõtteid tuleb rakendada oluliselt keerukamas ja tihedamas õiguslikus ning ühiskondlikus raamistikus kui seni.

Euroopa Liidu digiregulatsioonide laine, mis meid viimasel ajal tabanud on, ei ole lihtne Läänemere loksumine, vaid avamere tohutut jõudu koondav ookeanilaine, kui mitte lausa tsunami. Tulnud on tehisintellekti määrus, andmehalduse määrus, andmemäärus, poliitreklaami määrus, digiturgude määrus. Kõik need toovad Andmekaitse Inspekt­ siooni töösse uusi rolle, uusi ootusi ja uusi vastu­ tusi. Samas tegutseme kärpetingimustes ja riigi sõnum on kõigile selge. Kuidas sellises vastu­ olulises olukorras hakkama saada, seda näitab aeg. Sellest tuleb kindlasti üks järgmiste aastate suurimaid väljakutseid.

2025. aastal tundsime selgelt ka ühiskondliku ootuse kasvu. Oodati, et järelevalve oleks jõuli­ sem. Oodati, et reegleid rakendataks ühtemoodi nii avalikus kui ka erasektoris. Oodati, et riik tegut­ seks läbipaistvalt, selgete seadusest tulenevate

normide alusel. Samas ei liigu õigusloome tihti nii kiirelt, kui oodatakse, ja see tekitab pahameelt. On siiski õigustatud ootus, et just riik peab oma tegevuses eeskuju näitama. Alles siis saab teistelt sama nõuda.

2025. aastal oli kaebuste arv rekordkõrge. Iga kae­ bus on kellegi mure ja kellegi ootus, et riik reagee­ rib. Samal ajal on avalikkuse ootus, et avalik sektor tervikuna oleks väiksem, kiirem ja efektiivsem. Kui­ das lahendada seda võrrandit, kus muutujaid on rohkem kui esmapilgul hoomatav? Aus vastus on: see ei ole lihtne.

Just seetõttu tuleb uue strateegia keskmesse paratamatult panna valikute tegemine ja prioritee­ tide seadmine. Kõiki asju ei saa ega tohi teha kor­ raga. Peame organisatsioonina otsustama, kus on riskid kõige suuremad ja kus on kaalul rohkem kui üksik vaidlus või erimeelsus. See on ka laiem ühis­ kondlik mõttekoht.

Näeme oma töös üha enam vaidlusi, mis saavad alguse mitte niivõrd andmekaitse rikkumisest, vaid inimeste omavahelistest pingetest: naab­ rite kaameravaidlused, korteriühistute sisemised konfliktid, peresisesed arusaamatused, sotsiaal­ meediapostitused. Sageli on andmekaitse neis lugudes vaid pealispind, mille all on lahendamata inimsuhted.

Peadirektori Pille Lehise eessõna01

3

See ei tähenda, et inimesed ei tohiks oma õigusi kaitsta või ei peaks seda tegema. Vastupidi. Ehk on see aga koht, kus igaüks meist võiks küsida, enne kui riigilt abi otsib: kas olen proovinud ise prob­ leemi lahendada? Kas olen rääkinud, selgitanud, kompromissi otsinud? Kas olen üldse pöördunud küsimustega selle isiku poole, kes minu arvates mu õigusi rikub? Kas olen kasutanud elementaar­ seid eneseabivõimalusi: otsinud infot, miks mitte ka guugeldanud, küsinud küsimusi tehisintellektilt, nõu juristilt või muult õigusnõustajalt? Vahel näib, et peetakse lihtsamaks riigiasutusel seda enda eest teha lasta. Kas see on aga kõige mõistlikum ressursikasutus? Iga kirjarida, e­kiri sinna ja tänna, kõne või arutelu on kellegi töötund, mille jooksul jääb midagi muud ootele. See muu võib olla näi­ teks hoopis suurema mõjuga ja meid kõiki ohus­ tava rikkumise uurimine.

Valikute tegemisega on tihedalt seotud ka küsi­ mus, mis juba pikka aega Eesti andmekaitsemaas­ tikul õhus ripub: kas ja kuidas on Eestis võimalik tõhusalt trahvida? Sel aastal võeti vastu andme­ kaitseasutuste koostöö määrus. Selle eesmärk on ambitsioonikas ja vajalik: viia riikidevaheline koos­ töö piiriülestes menetlustes uuele tasemele. Prak­ tikas tähendab see aga Eesti jaoks uusi, väga huvi­ tavaid väljakutseid. Teame, kui keeruline on Eestis juba praegu olnud väärteomenetluse raames and­ mekaitsetrahvide rakendamine. Mitu küsimust,

mis meid praktikutena vaevavad, ei ole veel vastust saanud. Nüüd aga toob koostöö määrus piiri ülestes menetlustes meile uusi ootusi ja seega ka väljakutseid. Et neile küsimustele vastuseid saada ja õigusselgust tuua, tuleb sihi kindlalt tegutseda ja julgeid otsuseid teha. Seegi eeldab aga selgete valikute tegemist.

Meie missioon on kasvatada Eestis igal tasandil andmekaitsekultuuri: arusaamist, et andmekaitse ei ole pelgalt reeglid ja takistused. See on usalduse, vastutuse ja üksteisega arvestamise küsimus maailmas, mis muutub kiiremini kui kunagi varem. Meie ülesanne on aidata seda tasakaalu hoida – kui vaja, siis jõuliselt, kuid alati läbimõeldult ja kaalutletult.

4

02 Andmekaitse Inspektsioon on iga aasta tähtsaks pida nud ja rõhutanud ennetus­ ning koostöö täht­ sust. Erandlik ei ole ka möödunud aasta – vastupidi, see kinnitas, et ennetus ei ole ainult riskide vähenda­ mine, vaid strateegiline investeering turvalisusesse, usaldusse ja tulevikku. Järjest rohkem ettevõtteid ja asutusi on hakanud teadvustama andmekaitse vajalikkust ning seda soovitakse integreerida juba protsesside kavandamise ja teenuste disaini alg­ faasis. On ülimalt positiivne, et sellise teadlikkuse kasvuga kaasneb ka üha sagedasem pöördumine inspektsiooni poole – soovitakse saada nõuandeid, juhiseid ja koolitusi. Kohtumised ja individuaalsed nõustamised on meie jaoks väga olulised, sest need aitavad konkreetseid küsimusi kiiremini lahen­ dada ja tugevdavad koostööd.

Samas on inspektsioon ilmselt üks väiksemaid järelevalveasutusi Eestis, mistõttu ei ole võima­ lik iga ettevõtet ja asutust alati eraldi koolitada ja nõustada. Selle asemel oleme valinud tegevused, millel on laiem mõju ja mis jõuavad korraga palju­ deni – näiteks 2025. aastal käivitatud regionaal­ sete koolituste sari, ringkirjad, juhendmaterjalid, uudiskirjad ning taskuhäälingu episoodid. Kuigi järelevalveasutusena ei saa me anda õigusabi,

siis soovime jätkuvalt pakkuda selgeid juhiseid ja tuge just ennetuse tasandil.

Möödunud aastal külastasid inspektsiooni tee­ nistujad 9 kuu jooksul kaheksat suuremat Eesti linna ja viisid seal läbi tasuta koolitusi väikestele ja keskmiste suurustega ettevõtetele. 2026. aas­ ta alguses toimus veel kaks koolitust Tallinnas ja Tartus. Muu hulgas avaldasime kümnel eri teemal tasku häälingu „Andmehääling“ saateid, millesse kaasasime ka majaväliseid valdkonna eksperte, et pakkuda kuulajatele mitmekülgset ja praktilist vaa­ det andme kaitse küsimustele. Kuigi koolitusi kor­ raldada ja taskuhäälingut salvestada aitas Euroopa Liidu CERV­programm (Citizens, Equality, Rights and Values Programme), siis soovib inspektsioon ka tulevikus nende tegevustega jätkata.

Järjest enam soovime reageerida ka proaktiivselt: märgates mõnes valdkonnas või sektoris võimalu­ si protsesside täiustamiseks ja parimate praktikate juurutamiseks, saadame inspektsioonis ka märgu­ ja ringkirju ning uudiskirju – möödunud aastal saat­ sime neid neljal korral ning adressaate oli kokku ümardatult 450. Samamoodi kajastame aktuaal­ seid teemasid ka inspektsiooni kvartaalselt ilmuvas uudiskirjas, millel on tellijaid juba umbkaudu 500 isiku ringis.

Kõik need tegevused – koolitused (sh regionaal­ sed), ringkirjad, taskuhäälingud ja uudiskirjad – on osa meie strateegiast, mille eesmärk on muuta andmekaitse loomulikuks osaks organisatsioonide igapäevatöös. Tulevikku vaadates soovime jätkata laia mõjuga tegevustega, arendada uusi formaate, laiendada koostööd ning reageerida proaktiivselt.

Ennetustöö tegevustes: koolitused, juhised ja proaktiivne lähenemine

5

03Ennetustöö tegevustes: koolitused, juhised ja proaktiivne lähenemine

Isikuandmete kaitse üldmääruse artikli 57 koha­ selt on ennetus ja teadlikkuse tõstmine üks and­ mekaitse järelevalveasutuse põhiülesannetest. Selle paremaks täitmiseks on loodud koostöö valdkonda eraldi tiim: koolitus­ ja ennetustiim. Koolitus­ ja ennetustiimi eesmärk on luua eri ju­ hendmaterjale, koolitada ja tõsta üldist andme­ kaitseteadlikkust nii ettevõtete, avaliku sektori kui ka eraisikute seas. Tiimi eesmärgiks on luua kanaleid, mis aitavad andmekaitsekultuuri kujun­ dada ja tugevdada.

Oluliseks sammuks andmekaitsekultuuri eden­ damisel on 2024. aastal alustatud andmekaitse­ võrgustike loomine, et ühtlustada andmekaitse­ praktikaid üle Eesti ning pakkuda spetsialistidele võimalusi oma teadmiste täiendamiseks. Esimese­ na käivitasime haiglate ja kiirabide andmekaitses­ petsialistide võrgustiku, millele järgnes andmekait­ se võrgustik kohalikele omavalitsustele. Kohalike omavalitsuste võrgustiku tegevustest saab täpse­ malt lugeda käesolevast aastaraamatust.

Haiglate ja kiirabide võrgustiku raames oleme ala­ tes 2024. aastast korraldanud kokku 6 eri teabe­ päeva. Haiglate ja kiirabide andmekaitsespetsialis­ tide teabepäevadel on teinud ettekandeid nii meie ise kui ka mitu teist riigiasutust, näiteks Riigi Info­ süsteemi Amet, Tervise ja Heaolu Infosüsteemide Keskus, Terviseamet ja Tööinspektsioon. 2025. aasta kevadel kaasasime teabepäevale Tervise Arengu Instituudi inimuuringute eetikakomitee, mille esimees tegi ettekande teadusuuringutest ja patsiendiregistrist, tuues praktilisi näiteid nende erinevustest. Samuti tegi ettekande Terviseamet, kes avas dokumenteerimiskohustuse mõistet ning

selgitas, kuidas see erineb terviseandmete edasta­ mistest tervise infosüsteemi.

Haiglate ja kiirabide andmekaitsespetsialistide võr­ gustiku teabepäevad on andnud parema ülevaate tervishoiusektori probleemkohtadest ja praktilistest muredest nii spetsialistidele endile kui ka järele­ valveasutustele. Oleme arutanud koos andmekait­ sespetsialistidega, mis tingimused peavad olema täidetud kaamerate paigaldamiseks, kuidas toimida surnu isikuandmetega, millist infot võib edastada lähedastele ning ka seda, kas ja kuidas tohib organi­ satsioon kui tööandja enda töötaja kohta andmeid koguda ja teda kontrollida.

Teabepäevadest on saanud tervishoiuvaldkonna andmekaitsespetsialistidele järjepidev kohtumis­ paik, kus enda kogemusi ja väljakutseid jagada. Samas on kinnitust saanud ütlus, et kordamine on tarkuse ema. Näiteks oleme teabepäevadel kesken­ dunud kaameratele ja salvestamisele, kuid siiani kerkib haiglates seoses kaamerate paigaldamisega esile praktilisi probleeme.

Andmekaitsevõrgustike loomine on kujunenud olu­ liseks osaks ennetustegevusest ning andmekaitse­ kultuuri tugevdamisest. Andmekaitsevõrgustikke toetavad ka liikmetele loodud meililistid, mille abil saab omavahel mõtteid põrgatada ja vajadusel meilt varasema praktika kohta küsida. Seetõttu plaanime lisaks haiglate ja kiirabide andmekaitsespetsialis­ tide ning kohalike omavalitsuste võrgustikele luua 2026. aastal eraldi võrgustiku ka haridusvaldkonna töötajatele. Tugev ennetus ja teadlikkuse tõstmine on nii organisatsiooni kui laiemalt ühiskonna turvali­ suse ja privaatsuse nurgakiviks.

Andmekaitsevõrgustike loomine ja teadlikkuse tõstmine

6

Andmekaitse Inspektsiooni kohalike omavalitsus­ te (KOV­ide) andmekaitsevõrgustik on kujunenud oluliseks koostöö ja ennetustöö platvormiks, mille eesmärk on tugevdada omavalitsuste võimekust isikuandmete turvalisel ja õiguspärasel töötlemisel. Soovime, et asutused teadvustaksid veelgi enam, et andmekaitse ei ole pelgalt formaalne nõue, vaid osa avaliku sektori institutsionaalsest vastutusest ja seda olenemata omavalitsuse suurusest. Käesole­ va aasta võrgustiku kohtumistel toodigi muu hulgas esile, et andmekaitseriskid on igapäevased, sageli märkamatud ning võivad kiirelt realiseeruda, kui en­ netustöö ei ole süsteemselt kavandatud.

Andmekaitsespetsialisti (AKS) määramine KOV- is ei ole formaalsus, vaid seadusest tulenev ko- hustus¹. Põhiseadus tagab kohaliku omavalitsuse õiguse otsustada ja korraldada kohaliku elu küsi­ musi. Mõistagi peavad KOV­id oma tegevuses sea­ duste raamesse jääma. Kohalikel omavalitsustel on kohustus austada inimeste põhiõigusi ja ­vabadusi ning tegutseda ausalt, sh isikuandmete töötlemisel. Tuletame järjepidevalt meelde, et omavalitsusel peab olema määratud pädev andmekaitsespetsia­ list (AKS)², kelle kontakt on nii elanikele kui ka riikli­

kule järelevalvele ehk inspektsioonile teada. AKS­ile on määrusega antud eri ülesanded³, sh asutusete personali koolitamine ja nõustamine võimalike rikkumiste ärahoidmiseks. Just AKS on see, kelle erialased teadmised aitavad tõlkida isikuandmete töötlemist puudutavad õigusnormid praktilisteks juhisteks, tagab järjepideva teadlikkuse tõstmise ning hoiab organisatsioonis üleval seadusi ja ini­ mesi arvestavat andmekaitsekultuuri. AKS on oma tegevuses sõltumatu ja tegutseb oma parimate teadmiste alusel. Lõpliku otsuse, kas andmekaitse­ lisi suuniseid järgida või mitte, teeb KOV­i juhtkond, kellel lasub ka vastutus korraldada ja tagada koha­ ne andmetöötlus asutuses.

AKS-i mittemääramine või rolli formaalne täitmi- ne on omavalitsustes endiselt probleem. Kui oma­ valitsuses puudub inimene, kes tagab süsteemse andmekaitse järelevalve, ennetuse ja ametnike nõustamise, suureneb risk andmeleketeks ja isi­ kuandmete väärkasutuseks, mille tagajärjeks võib olla nii õiguslikud vaidlused kui ka mainekahju. See muudab asutuse haavatavaks ja vähendab usaldus­ väärsust. Ja kui usaldus on kord kaotatud, siis on seda väga keeruline taastada. Seda näitab praktika.

Kohalike omavalitsuste andmekaitsevõrgustik 04

¹ IKÜM artikkel 37 lg 1 p a ² IKÜM artikkel 37, põhenduspunkt 97 ³ IKÜM artikkel 39 4 Seired | Andmekaitse Inspektsioon

7

04 Ka inspektsiooni 2025. aasta dokumendiregistri- te seire4 toob välja, miks pädev AKS hädavajalik on. Mitmes omavalitsuse dokumendiregistris olid avalikud näiteks sotsiaalvaldkonna alla kuuluvad dokumendid, mille pealkirjades sisaldusid tundli­ kud isikuandmed. Sellised rikkumised ei ole pelgalt tehnilised apsud, vaid otseselt inimeste privaatsust kahjustavad juhtumid, mis näitavad selgelt, et tead­ likud ennetavad kontrollmehhanismid puuduvad või ei toimi. AKS­i roll ongi muu hulgas aidata selliseid juhtumeid ära hoida, kehtestada anonümiseerimise ja dokumentide haldamise praktika ning tagada, et teenistujad teaksid, kuidas isikuandmeid korrektselt käsitleda. Eesmärk on väärpraktika miinimumini viia, tõstes personali teadlikkust.

Inspektsiooni KOV­ide andmekaitsevõrgustik, mil­ le tegevustega alustati 2024. aasta lõpus ning mille raames on toimunud neli kohtumist, toetab omavalitsusi ennetustöö kaudu. Peame oluliseks konstruktiivset suhtlust ning praktikate vahetamist. Regulaarsetel teabepäevadel saavadki osalejad kogemusi jagada, konkreetseid juhtumeid lahenda­ da ja üksteise praktikast õppida. Selline teadmiste ringlus aitab ühtlustada andmekaitse standardit

üle Eesti ning vähendada riski, et mõni omavalitsus andmekaitse süsteemsetest nõuetest maha jääb. KOV­ide andmekaitsevõrgustik jätkab oma tegevusi ka 2026. aastal.

Kokkuvõttes moodustab KOV-ide andmekaitse- võrgustik ühtse ennetussüsteemi, mis tugevdab asutuste sisemist andmekaitsekultuuri ning aitab inimeste usaldust suurendada. Andmekaitse ei ole pelgalt seaduse täitmine, vaid osa heast haldusest ja avaliku võimu legitiimsusest. Seetõttu on ka selle aasta fookus õigustatud olnud: tugev andmekaitse algab pädevast andmekaitsespetsialistist, kes koor­ dineerib asutuses andmekaitsealast teadlikkust ja ennetustööd, ja toimivast koostöövõrgustikust, mille eesmärgiks on teadmiste ja parimate prakti­ kate leviku hoogustamine kõigis Eesti omavalitsus­ tes. Meie eesmärk on, et isikuandmete kaitse oleks KOV­ides sama loomulik kui turvavöö kinnitamine. Praktika näitab, et pädeva andmekaitsespetsialis­ tita on piisavat isikuandmete kaitse taset keeruline saavutada.

8

Ennetus. Andmekaitseteadlikkuse tõst­ mine koolides ja laste seas on olnud läbi aastate meie üks peamistest eesmärkidest. See on olnud tõsine proovikivi: tänapäeva õpilased on kasvanud üles digitaalses ühiskonnas, kus nutiseade on iga­ päevaelu lahutamatu osa, kuid sageli ei mõelda, milliseid riske isikuandmete liigne jagamine endaga kaasa toob või ei hoolita sellest. Koolide jaoks on väljakutseks aga aja ja ressursside puudus. Kooli esmane ülesanne on hariduse pakkumine, mis hõl­ mab nii lapse vaimse, füüsilise, kõlbelise, sotsiaalse kui emotsionaalse arengu toetamist. Selle ülesande täitmiseks on vaja jälgida õppekavade täitmist, pak­ kuda õpilasele vajadusel erituge, tagada kvaliteetne haridus ning täita veel muid kohustusi. Kõige selle tagamisel jäävad andmekaitse ja selle olulisus tihti viimasele kohale.

Selleks et andmekaitset lihtsustada ja tuua nii õpetajatele kui ka koolijuhtidele lähemale, oleme läbi aastate saatnud kooliaasta alguses ringkirju. 2025./2026. õppeaasta alguses saatsime koolidele üle Eesti ringkirja küsimus­vastus­vormis, kus tut­ vustasime kolme eri teemat: lapsevanema nõus­ olek, piltide ja videote tegemine ning avaldamine ja tehisintellekti kasutuselevõtmine. Ringkirja tutvus­ tamiseks korraldasime avaliku veebiseminari, kus osalejad said inspektsiooni koostöövaldkonna koo­ litus­ ja ennetustiimi juristidelt nõu küsida ja oma

kogemusi jagada. Lisaks võõrustasime nii 2025. kui ka 2024. aastal kahte riigigümnaasiumit. Viisi­ me Andmekaitse Inspektsioonis läbi külalistunnid, mille käigus tutvustasime õpilastele andmekaitse põhimõtteid ja isikuandmete kaitse üldist olulisust.

2025. aasta tõi kaasa ka suure hüppe – TI­hüppe. Tehisintellekt on igapäevatööriistaks saamas nii õpilastel kui ka õpetajatel, mistõttu ei tasu unusta­ da andmekaitset. Tehisintellekt teatavasti ei unus­ ta, vaid õpib talle sisestatud või digitaalsetes alli­ kates leiduva teabe põhjal. Iga sisend võib olla uus ühenduslüli tehisintellekti tehnoloogia arenemisel. Samas on igal inimesel õigus paluda andmetöötle­ jalt oma isikuandmete kustutamist ehk õigus olla unustatud. Kas tehisintellekt suudab sisestatud isikuandmeid „unustada“ – seda näeme ilmselt alles tulevikus. Seetõttu soovitame koolidel alati iga uue tehnoloogilise lahenduse kasutuselevõtu­ ga läbi mõelda, kas see vastab nii andmekaitse kui ka andmeturbe nõuetele ning milliseid andmeid nii koolitöötajad kui ka õpilased sinna sisestada võivad.

2025. aasta sügisel osalesime ka rahvusvahelises seires, mida koordineerib ülemaailmne privaat­ suse jõustamise võrgustik GPEN (Global Privacy Enforcement Network). Seire raames uurisime 30 erinevat laste seas populaarset veebisaiti ja mo­

05 Andmekaitse ennetus ja järelevalve koolides

9

biilirakendust. Seire eesmärgiks oli hinnata, kas ja kuidas laste isikuandmeid kogutakse ning kas see vastab andmekaitse nõuetele. Uurisime näiteks, kas veebileht või mobiilirakendus küsib vanuse tu­ vastamist, milliseid isikuandmeid kogutakse, kas ja kuidas on võimalik kasutajat või isikuandmeid kustutada ja ka seda, millise sisuga võib laps konk­ reetsel veebilehel või mobiilirakenduses kokku puutuda. Seire täpsemaid tulemusi tutvustatakse 2026. aasta kevadel.

Haridusvaldkonna töötajate ja ka õpilaste andme­ kaitseteadlikkus on väga erinev, mistõttu tuleb jät­ kata eelmistel aastatel seatud eesmärki ning pak­ kuda järjepidevat teadmiste täiendamise võimalust nii juhendmaterjalide kui ka eri loengutega. Uuest aastast plaanime alustada veebiseminaride sarjaga ja võrgustiku loomisega haridusasutuste töötaja­ tele. Hariduse andmekaitsevõrgustiku eesmärk on luua kogukond, kus pakume liikmetele nii loenguid, juhendmaterjale kui ka võimalust omavahel koge­ musi jagada ja üksteiselt õppida, et tagada lastele turvaline ja usaldusväärne keskkond nii koolis kui digimaailmas. Eelmistel aastatel seatud eesmärk kandub seega edasi ka käesolevasse ning suure tõenäosusega tulevasse aastasse, sest laste isi­ kuandmete kaitse olulisus ei ole pelgalt sõnakõlks, vaid oluline põhimõte, mille väärtus peegeldub nii koolis, digikeskkonnas kui ka kodus.

Järelevalve. Ainult heaga alati ei saa, mistõttu on nii mõnigi kaebus ja märgukiri jä­ relevalvemenetluseni jõudnud. 2025. aasta menet­ lustest nähtus, et andmekaitse haridusvaldkonnas on väga mitmetahuline ning nõuab jätkuvat tähele­ panu. Koolid, lasteaiad ja omavalitsused töötlevad iga päev suurt hulka laste isikuandmeid – alates õpitulemustest ja kohalkäimise andmetest kuni tundlikuma teabeni nagu terviseandmed, haridus­ likud erivajadused ja peresuhted. Selliste andmete käsitlemine eeldab selgeid reegleid ja teadlikke ot­ suseid, sest iga eksimus võib lapse privaatsust ne­ gatiivselt mõjutada ning vanemate ja asutuste vahel arusaamatusi tekitada. Aasta jooksul ilmnes, et kõi­ ge rohkem probleeme tekitas just see, kuidas and­ meid jagati ja kellel oli neile juurdepääs. Sageli tuli ette olukordi, kus tundlikku infot edastati liiga laialt, puudus selge õiguslik alus või ei vastatud vanemate päringutele õigel ajal. Lisaks tõid digikeskkonnad ja sotsiaalmeedia kaasa uusi riske, mis nõudsid kiiret sekkumist.

Menetlustes piirduti enamasti selgituste ja tä­ helepanu juhtimisega. Asutustele rõhutati mini­ maalsuse põhimõtet, õigusliku aluse olulisust ning vajadust vastata vanemate päringutele kor­ rektselt ja õigeaegselt. Mitmel juhul paluti and­ metele juurdepääsu piirata ning tõhusamaid tur­ vameetmeid rakendada.

05

10

05 Olulisemad järeldused ja soovitused haridusasutustele

1 Selged reeglid andmete

töötlemiseks

Iga kool ja lasteaed peaks kirjalikult määratlema,

milliseid andmeid kogutakse, kes neile ligi

pääseb ja mis eesmärgil.

2 Töötajate regulaarne

koolitamine

Paljud rikkumised tulenevad teadmatusest.

Oluline on, et töötajad oskaksid isikuandmete töötlemise olukordi ära tunda, mõtleksid enne

tegutsemist, kas selline andmete töötlemine on lubatud, ja teaksid, kust

vajadusel abi küsida.

3 Ainult vajaduspõhised juurdepääsuõigused

Töötajatel on juurdepääs ainult nende tööülesannete

täitmiseks vajalikele andmetele.

11

05

4 Korrektsed ja õigeaegsed

vastused andmetega tutvumise taotlustele

Isikuandmete kaitse üldmääruse (IKÜM) artikli 15 alusel on

lapsevanematel õigus tutvuda oma alaealise

lapse isikuandmetega ning täiskasvanud õpilastel

õigus tutvuda enda isikuandmetega. Vastus

tuleb anda 30 päeva jooksul alates taotluse

saamisest ning keeldumine peab olema põhjendatud.

5 Sotsiaalmeedias ja

õppeinfosüsteemides laste privaatsuse

tagamine

Laste pilte, nimesid ja hinnanguid ei jagata laiale ringile ilma nõusoleku või

muu õigusliku aluseta.

6 Turvameetmete

tugevdamine

Selleks tuleb kasutada sobivaid tehnilisi ja

korralduslikke meetmeid, näiteks turvalisi paroole,

mitmeastmelist autentimist ja vajadusel andmete krüpteerimist.

12

Läbi aastate on kirgi kütnud tööandjate õigused ja kohustused, mis puudutavat töö­ taja joovet ja selle tuvastamist¹, sest tööandja peab tagama ohutu töökeskkonna ja täitma oma seadusest tulenevat kohustust mitte lubada joobes töötajaid töö­ le.

Isikuandmete kaitse vaatest on joove eriliiki isikuandmed (terviseand­ med), mis on tugevamalt kaitstud, kui nii­öelda tavalised isikuandmed. Ühtlasi peab terviseandmete töötlemisel olema tavapärasest hool­ sam, sest võimalik privaatsuseriive on suurem ning selliste tundlike andmete kasutamisel võib olla töötajale märkimisväärne kahjulik mõju. Seega on tööandjal kohustus tagada ka andmekaitse­ nõuete täitmine. Mh peab töötaja terviseandmete töötlemi­ seks olema õiguslik alus.

Praegusel hetkel sellist õiguslikku alust üheski sea­ duses ei ole ning ei ole võimalik tugineda ka otse isikuandmete kaitse üldmäärusele, nt töötaja va­ batahtlikule nõusolekule. Samuti ei ole võimalik tööandjatele joobe kontrollimise õigust anda eri õigusaktides toodud kohustuste tõlgen­ damise teel, vaid säte, mis näeb ette eri­ liigliste isikuandmete töötlemise (joobe kontrollimine), peab olema seaduses välja toodud, selge, täpne ja ette­ nähtav.

Töötajate joobe kontrollimisest – kas on tulemas oodatud lahendus?06

¹ Oleme sellel teemal varemgi kirjutanud: Tähelepanekuid terviseandmete töötlemise osas | Andmekaitse Inspektsiooni aastaraamat

N

13

06 Seega on seadusandja pannud tööandjale palju kohustusi tööohutuse tagamiseks,

kuid ei ole andnud efektiivset meedet selle teostamiseks. Ka töötervishoiu ja töö­ ohutuse seaduse muudatusest jäeti aastal 2022 välja säte, mis võimaldaks töö­

andjal töötaja joovet kontrollida.

Probleem aga ei kadunud ning üha rohkem tööandjaid jõudis meieni küsi­ musega, kuidas täita seaduse nõuet ohutu töökeskkonna tagamisel ja

samal ajal kaitsta töötajate isikuandmeid.

Seega pöördusime selle aasta suvel ettepanekuga² Sotsiaalmi­ nisteeriumi ja Majandus­ ja Kommunikatsiooniministeeriumi

(MKM) poole täiendada asjakohaseid õigusakte ning luua siseriiklikult õiguslik alus, mis reguleeriks töötajate joobe

kontrollimist. 05.11.2025 algatas MKM töötervishoiu ja tööohutuse seaduse muudatuse, mis muu hulgas kä­

sitleb ka tööandjale laiemate õiguste andmist tööta­ ja joobe kontrollimisel. Hetkel on eelnõu kooskõ­

lastuste saamise etapis ning ei ole teada, kas planeeritav muudatus ka tegelikult jõustub,

kuid samm selgema õigusliku raamistiku suunas on astutud.

² Vt ka Andmekaitse Inspektsioon saatis ministeeriumitele ettepaneku luua õiguslik alus töötajate joobe kontrollimiseks | Andmekaitse Inspektsioon

O

14

07 Tänapäeva töökeskkond on üha digitaliseeritum. Jälgimisseadmete kasutamine on saanud välti­ matuks osaks igapäevasest töökorraldusest ning paraku ka töötajate kontrollimise vahendiks. Kuigi tehnoloogia pakub tööandjale võimalusi turvalisuse tagamiseks ja tööprotsesside tõhustamiseks, mõ­ jutab jälgimine otseselt töösuhete kvaliteeti, sest läbipaistvuse puudumine, ebamäärased reeglid ja kontroll võivad tekitada töötajates ebakindlust, vä­ hendada initsiatiivi ja nõrgestada usaldust tööandja vastu.

Levinumad jälgimisviisid on videovalve, GPS­sead­ med, arvutite ja e­posti kasutamise monitoorimine ning biomeetrilised süsteemid, näiteks näokujuti­ se­ või sõrmejäljelugejad. Praktikas ei ole tööand­ jad nende vahendite kasutamisel sageli läbipaist­ vad ega õiguspärased. Inspektsioon sai 2025. aastal arvukalt kaebusi ja märgukirju, kus töötajad tõid välja, et nende töökohustusi kontrollitakse jäl­ gimisseadmete abil ning seetõttu on tööõhkkond stressirohke. Pöördumistes ilmnes murettekitav trend: paljud ei julge probleemi tööandja juures tõstatada või kui seda on tehtud, pole see olnud tulemuslik. Tihti pöördutakse meie poole alles pärast töösuhte lõppu. Inspektsiooni lauale jõu­ dis juhtumeid, kus näiteks videovalve katab kogu töökeskkonda, jälgitakse reaalajas tööülesannete täitmist, tööl tekkinud erimeelsusi soovitakse la­ hendada helisalvestistega. Ühe juhtumi puhul anti töötajale kaamerapildi abil distantsilt häälkäsklusi

töövõtete parandamiseks ja puhkepauside lõpeta­ miseks. Selline tegevus on töötaja õigusi äärmiselt riivav ning ei vasta proportsionaalsuse ning ees­ märgikohasuse nõuetele. Küsimusi on tekitanud ka ebaselgus biomeetriliste andmete töötlemise reeglites tööaja arvestamiseks ning GPS­sead­ mete kasutamine töötajate liikumiste jälgimiseks, mis viitab sellele, et seadmed võetakse kasutusele läbimõtlematult või töötajatele nende õigusi selgi­ tamata. Selline praktika tekitab ebakindlust ja õõ­ nestab usaldust tööandja vastu.

Töölepingu seaduse järgi on tööandja kohustatud töötaja privaatsust austama ning kontrollima töö­ kohustuste täitmist viisil, mis ei riku töötaja põhiõi­ gusi. Üldmääruse kohaselt on andmete kogumine ja töötlemine lubatud üksnes siis, kui selleks on selge õiguslik alus. Üldjuhul tugineb see tööandja õigusta­ tud huvile ning alati tuleb järgida ka proportsionaal­ suse ja minimaalsuse põhimõtteid. Koguda tuleks ainult neid andmeid, mis on õigustatud huvide el­ luviimise seisukohalt hädavajalikud. Enne jälgimis­ seadmete kasutuselevõttu tuleb kaaluda mõlema poole huvisid, meede peab olema proportsionaalne ja töötajat mitte ülemäära riivav ning koostada tuleb õigustatud huvi analüüs. Näiteks võib õigustatud huvi seisneda ettevõtte vara kaitses või tööohutuse tagamises, kuid pelgalt soov kontrollida töökohus­ tuste täitmist ei kaalu üles töötaja õigust jälgimis­ vabale töökeskkonnale. Biomeetriliste andmete, näiteks sõrmejälgede või näokujutiste töötlemine

Töötajate jälgimine töökeskkonnas

15

07 nõuab aga erilist ettevaatust, kuna tegemist on töötaja eriliiki andmetega ning selliste tundlike and­ mete töötlemine ei saa tugineda õigustatud huvile, vaid eeldab vaba nõusoleku olemasolu ning seega alternatiivide pakkumist.

Liigne jälgimine võib viia usalduskriisini tööandja ja töötaja vahel ning suurendab riski, et kogutud andmeid kasutatakse diskrimineerivalt või need lekivad kolmandatele osapooltele. Seetõttu tuleb jälgimismeetmeid hinnata ka tööpsühholoogili­ sest ja organisatsioonilisest vaatenurgast, mitte üksnes tehnilisest efektiivsusest. Eraelu puutuma­ tus peab olema tagatud ka töökohal. Probleemide vältimiseks peab tööandja selged töökorraldus­ reeglid kehtestama. Töötajate teavitamine ja re­ gulaarne koolitamine aitab suurendada usaldust ning vähendada konflikte. Töötajal on õigus teada, milliseid andmeid temalt kogutakse ja kuidas neid kasutatakse, kui kaua andmeid säilitatakse ning kellele need avaldatakse. Samuti võib töötaja vaid­ lustada jälgimise, mis on ebaproportsionaalne. Tööandja huvides on luua keskkond, kus tagasisi­ det saab anda turvaliselt, kartmata negatiivseid ta­ gajärgi. Nii toetab jälgimine praktikas seda, milleks ta on mõeldud – turvalise keskkonna loomist –, ilma et see muutuks kontrolliks usalduse ja õiguste arvelt. Läbipaistvus ei ole pelgalt formaalsus: see vähendab usaldamatust ja võimaldab töötajatel adekvaatselt reageerida ning vajadusel oma õigusi kaitsta.

Jälgimisseadmete kasutamine töösuhetes on pa­ ratamatu osa kaasaegsest töökorraldusest. Kui kontroll muutub peamiseks eesmärgiks ja puudub läbipaistvus, kannatavad töösuhe ning töötajate õi­ gused. Tasakaalu leidmine seadmete kasutamise vajaduse ja töötaja privaatsuse vahel on võtmetäht­ susega, et tagada terve ja usaldav tööõhkkond.

16

08 Viimase aasta jooksul on hüppeliselt sagenenud Andmekaitse Inspektsiooni pöördumiste arv, kus soovitakse selgitusi, kas tervishoiuteenuse osuta­ ja (TTO) võib patsiendi terviseandmeid väljastada kolmandale osapoolele – nt kindlustus, lastekaitse, tööandja, kohtutäitur jne. Selline areng on positiivne, sest näitab tervishoiutöötajate teadlikkuse kasvu ning hoolikat kaalumist enne andmete väljastamist. Samuti on vähenenud kaebused nn uudishimupä­ ringute¹ kohta, mis kinnitab, et isikuandmete kaitse põhimõtteid järgitakse üha enam.

Isikuandmete kaitse seisukohalt kuuluvad tervi­ seandmed eriliiki andmete hulka ning nende tööt­ lemine ilma õigusliku aluseta on keelatud. Ter­ vishoiuteenuse osutajate õiguslik alus andmete töötlemiseks tuleneb otseselt tervishoiuteenuse osutamisest, kuid sellega kaasneb ka kohustus kaitsta patsiendisaladust. Oluline on rõhutada, et iga andmete töötlemise toiming peab põhinema eraldi õiguslikul alusel. Seega ei saa patsiendile teenuse osutamise alusel kogutud andmeid hiljem kolmandatele isikutele samal alusel edastada, sest tegemist on eraldiseisva toiminguga, mis ei ole seotud esialgse eesmärgiga ehk patsiendile teenu­ se osutamisega.

Seega peab ka andmete väljastamiseks olema õi­ guslik alus ning patsiendi andmeid ei tohi väljasta­ da, kui seaduses või kokkuleppel patsiendiga ei ole ette nähtud teisiti (võlaõigusseadus § 768).

Riigikohus on lahendis 1­20­5071 (1.04.2022) asu­ nud seisukohale, et seadusest tulenev alus tervise­ andmete väljastamiseks võib olla kahetine – kas andmete avaldamist lubav või selleks kohustav. Kohustus patsiendisaladuse avaldamiseks võib tu­ leneda mõnest valdkondlikust õigusaktist. Sellisel juhul on seadusandja otsustanud, et avalik huvi on olulisem patsiendi huvist hoida tervishoiuteenuse osutamise käigus avaldatud andmed saladuses. Näiteks saab siin tuua abivajavast lapsest teavita­ mise kohustuse.

Lubav alus võib seevastu olla seotud mõne asutu­ se või ettevõtte seadusest tulenevate ülesannete täitmisega, näiteks kohaliku omavalitsuse kohus­ tus hinnata lapse abivajadust, kindlustusandja ko­ hustus hüvitada kahjujuhtumi kulud või kohtutäituri ülesanne kontrollida kohtumääruse täitmist hool­ dusõiguse vaidlustes. Igal juhul peab andmeid küsiv asutus alati viitama konkreetsele seadusesättele, pelgalt menetluse olemasolu ei ole piisav alus.

Ka õigusliku aluse olemasolu ei tähenda aga, et välja võib anda kogu teabe tervisliku seisundi kohta ning TTO kohustus on hinnata, kas andmete väljas­ tamine küsitud ulatuses on põhjendatud.

Patsiendi andmete väljastamisel peab mh lähtuma ka isikuandmete kaitse üldpõhimõtetest, eelkõige eesmärgipärasuse ja minimaalsuse põhimõttest (IKÜM­i artikkel 5). See tähendab, et andmeid peab

Patsiendisaladusega kaitstud andmete väljastamine – kas võib ja kellele?

¹ Uudishimupäringutest on AKI varasemalt kirjutanud siin: Andmelekked ja isikuandmete töötlemise rikkumised | Andmekaitse Inspektsiooni aastaraamat.

17

08 väljastama ainult nii palju, kui on vajalik eesmärgi täitmiseks ja nii minimaalselt kui võimalik (lihtsalt päringule vastamine vrd epikriisi väljastamine). Kui tekib kahtlus, on tervishoiuteenuse osutajal õigus küsida täpsustust, milliseid andmeid vajatakse ja miks just sellises mahus.

Kokkuvõttes võib järeldada, et ükski seadus ei anna tervishoiutöötajale õigust avaldada patsien­ diandmeid kolmandale isikule laiemalt, kui see on seaduses või patsiendiga kokkuleppes ette nähtud. Patsiendisaladuse kaitse on tervishoiutöötaja ko­ hustus ning andmete avaldamine peab alati põhine­ ma selgel õiguslikul alusel ja järgima isikuandmete kaitse põhimõtteid.

Pane tähele! Kui eelnevalt käsitlesime olukor­ da, kus tervishoiuteenuse osutaja peab otsus­ tama, kas ja millises ulatuses võib patsiendi andmeid kolmandatele isikutele väljastada, siis sama oluline on eristada olukordi, kus andmete väljastamist taotleb andmesubjekt ise. Kolman­ date isikute puhul on aluseks nende seadusest tulenev õigus või kohustus, samas kui andme­ subjekti puhul tuleneb õigus otse isikuandmete kaitse üldmäärusest (artikkel 15). Seda õigust saab piirata ainult rangelt määratletud tingi­ mustel, näiteks teiste isikute õiguste kaitseks (art 15 lg 4) või siseriikliku seaduse sättega, mis vastab artikli 23 nõuetele.

Viimasel juhul peab olema selgelt määratletud, milliseid andmesubjekti õigusi piirang puudutab ja millises ulatuses neid piiratakse. Näiteks võib piirang puudutada õigust andmetega tutvumi­ sele, nende parandamisele või kustutamisele. Ühtlasi ei või IKÜM­i artikli 23 alusel kehtestatud piirang olla absoluutne ega tähtajatu ning seega peaks olema reguleeritud ka piirangu tähtaeg.

Viimase aasta jooksul on ette tulnud mitu me­ netlust, kus tervishoiuteenuse osutaja on and­ mesubjektile andmete väljastamisest keeldu­ nud, tuginedes tervishoiuteenuste korraldamise seaduse (TTKS) muudatusele, täpsemalt § 32 lõikele 4. Selle sätte kohaselt on dokumenteeri­ tud patsiendiohutusjuhtumitele ja nende analüü­ simisega seotud dokumentatsioonile juurdepääs lubatud üksnes tervishoiuteenuse osutajale ning kriminaalmenetluses uurimist teostavale organi­ le. Käesoleval juhul TTKS­i § 32 lõige 4 andme­ subjekti õigusi siiski ei piira. Mõistame probleemi olemust ning seadusandja tahet piirangu kehtes­ tamisel ning oleme vastava sätte ja IKÜM­i artikli 23 omavahelise suhte kohta esitanud seisukoha ka ministeeriumile.

18

09 Kui avalik info muutub isiklikuks: andmekaitse piiridest infoportaalide näitel

Tänapäeval koguvad mitmed portaalid avalikest allikatest kättesaadavaid andmeid ning taasaval­ davad neid uuel kujul – näiteks loovad juriidilise isiku esindajate kohta mahukaid profiile. Ei tasu unustada, et ka juriidilist isikut esindava füüsilise isiku kohta käivad andmed on isikuandmed.¹ Sa­ geli pöörduvad meie poole murelikud kodanikud, kes tunnevad, et selliseks andmete taaskasutami­ seks ei ole keegi nende nõusolekut küsinud. Kuigi esmapilgul võib tunduda, et tegemist on avaliku teabega, tekib küsimus, kas sellisel moel avalike andmete taasavaldamine eraettevõtete poolt on ikkagi lubatud? Kas inimesel säilib kontroll selle üle, kuidas tema andmeid kasutatakse?

Kui isikuandmete taasavaldamisel tugineb and­ metöötleja õigustatud huvile, siis ei eelda see isi­ kult eelneva nõusoleku võtmist. Samas peab õi­ gustatud huvi alusel andmete töötlemine olema inimesele ettenähtav ja läbipaistev ja see ei tohi inimese õigusi ülemääraselt kahjustada. Oluli­ ne on tähele panna, et isikuandmete kaitse üld­ määruse ehk IKÜM­i artikkel 21 annab igale ini­ mesele õiguse oma isikuandmete töötlemisele vastuväiteid esitada, kui see toimub õigustatud

huvi alusel. Vastuväide peab olema põhjendatud – inimene peab selgitama, kuidas töötlemine tema õigusi ülemääraselt riivab. Andmetöötle­ jal aga lasub kaasaaitamise kohustus – ta võib inimeselt täiendavat teavet küsida, et olukorda õiglaselt hinnata.

Viisime 2025. aastal ühe infoportaali kohta läbi omaalgatusliku menetluse, mille raames tegime andmetöötlejale ettepaneku isikuandmete kait­ se nõuete paremaks järgimiseks. Andmetöötleja nõustus üldjoontes meie ettepaneku täitmisega ning viis vajalikud muudatused sisse, sealjuures lõpetas füüsiliste isikute jälgimise funktsiooni pakkumise ja muutis maine­ ja krediidiskoori ku­ vamise lahendust. Täiendavalt lihtsustas andme­ töötleja andmete eemaldamise protsessi avalikust vaatest, lõpetas automaatse meediamonitooringu, muutis eri alajaotiste sõnastust läbipaistvamaks, võttis kasutusele anonümiseerimise lahenduse seoses kohtulahendite taasavaldamisega ning asus inimesi süsteemselt andmetöötlusest teavi­ tama. Meie hinnangul on tehtud muudatused äär­ miselt positiivsed ning suurendavad andmesub­ jektide kontrolli oma isikuandmete üle.

¹ Eko C­710­23, p 21­22.

19

Soovitame andmetööt- lejatel, kes taasavaldavad avalikest allikatest kogutud isikuandmeid, sh ka juriidilise isiku esindaja andmeid, veenduda selles, et andmetöötlu- seks on olemas õiguslik alus ja et töötlemisel järgitakse isikuandmete kaitse nõudeid. Andmetöötlus peab olema läbipaistev ja isikul peab ole- ma tagatud reaalne võimalus sellele omapoolseid vastuväiteid esitada (st et taotlust hinnatakse sisuliselt) ning andmete kustutamist nõuda. Samas peaksid vastuväidet esitada soovivad isikud oma pöördumises välja tooma ka argumendid, mis- moodi töötlemine nende õigusi üle- määraselt riivab. Seejärel saab and- metöötleja neid ka oma hinnangus arvesse võtta.

09

20

Äriregister on andmekogu, mis koondab kõiki Eestis asutatud juriidiliste isikute andmeid. Selle eesmärk on tagada läbipaistvus ja õiguskindlus äritegevuses – et igaüks saaks kont­ rollida ettevõtte olemasolu, juhtorganite koossei­ su, nende esindusõigust, otsuste vastuvõtmist ja muid olulisi andmeid. Kuna iga juriidilise isiku tege­ vus on seotud inimestega ja toimub nende kaudu, koondab äriregister vältimatult märkimisväärses mahus isikuandmeid: nimesid, isikukoode, sünni­ aegu, aga ka tegevusega seotud dokumente. Nii jõudsid meieni üha sagedamini inimeste pöördu­ mised, kes on pidanud äriregistris nende isikuand­ mete töötlemisega seonduvat problemaatiliseks.

Viisime läbi järelevalvemenetluse, et hinnata, kas isikuandmete töötlemine äriregistris vastab kehti­ vatele nõuetele. Tegime äriregistri pidajale Justiits­ ja Digiministeeriumile ettepaneku isikuandmete kaitse nõuete paremaks täitmiseks. Ministeerium on oma praktikat andmetöötluse osas osaliselt juba muutnud ja väljendanud valmisolekut võtta ette ka õigusaktide muudatused.

Esimene olulisem ministeeriumile teh­ tud ettepanek puudutab äriregistris välismaiste isikukoodide avaldamise lõpetamist. Praegu näeb äriregistri seadus ette, et juhatuse liikme nimi ja isi­ kukood tuleb kanda registrikaardile. Need andmed on avalikud. Kui inimesel Eesti isikukoodi ei ole, avaldatakse tema välismaine isikukood. See prak­ tika on tekitanud küsimusi, sest mitmes riigis on isikukoodil oluliselt suurem õiguslik tähendus kui Eestis. Nii tuleb meie hinnangul arvestada, et äri­ registris avaldatavad andmed puudutavad ka muid Euroopa Liidu kodanikke ja nende andmed peavad üldmääruse kohaselt olema kaitstud ka siin.

Kuigi kehtiv regulatsioon äriregistris isikukoodide avaldamise kohta ei tee vahet Eesti ja välismaiste isikukoodide vahel, on Justiits­ ja Digiministeerium analüüsinud isikukoodide sisulisi erinevusi ning nõustunud meiega, et mõne välismaise isikukoodi avaldamine võib isiku eraelu puutumatust riivata. Seetõttu kaalub ministeerium seadusemuudatust, mille kohaselt avalikustatakse Eesti isikukoodi puudumisel e­äriregistris isiku sünniaeg.

Äriregistri läbipaistvus ja privaatsus: kus jookseb piir?10

21

Teine meie tehtud olulisem ettepanek puu­ dutab äriregistris isikuandmete tähtajatut aval­ damist. Praegu on registris määramata ajaks nähtavad endiste juhatuse liikmete ja muude esin­ dusõiguseta isikute andmed. Olukord puudutab mh näiteks neid, kes on olnud ettevõtte juhatuse liikmed juba 20 aastat tagasi ega soovi enam, et nende isikuandmeid äriregistris avalikkusele ku­ vataks. Leidsime, et selline igavene isikuandmete kuvamine ei ole kooskõlas üldmäärusest tuleneva säilitamise piirangu põhimõttega, mille järgi tohib isikuandmeid säilitada ainult seni, kuni see on va­ jalik eesmärgi täitmiseks. Esindusõiguseta isikute andmete tähtajatu avaldamine ei täida enam re­ gistri eesmärki ega ole õiguskindluse tagamiseks vajalik. Tegime ministeeriumile ettepaneku määra­ ta selged ajavahemikud või kriteeriumid, kui kaua isikuandmeid äriregistris avalikkusele kuvatakse. Seejuures ei ole vaidluse all arhiiviseadusest tule­ nev äriregistri andmete alalise säilitamise küsimus, vaid just nimelt isikuandmete avalik kuvamine, mis peab meie hinnangul olema ajaliselt piiratud. Mi­ nisteerium on meie ettepanekuga nõustunud ja asunud ka selles osas muudatusi ette valmistama.

Lisaks käsitlesime menetluses ka teisi teemasid, mis tähelepanu vajasid. Nende hulgas on äriregistris olevate isikuandmete indekseeri­ mine otsingumootorites, mis võib suurendada andmete väärkasutuse riski, ning avalikes doku­ mentides – näiteks korteriühistute protokollides ja volikirjades – leiduvate tundlike isikuandmete avalikustamine. Ka nende teemade puhul tuleb leida tasakaal läbipaistvuse ja privaatsuse vahel ning rakendada tehnilisi ja korralduslikke meet­ meid, mis vähendavad riske. Ministeerium on sel­ le kohta oma selgitused edastanud ja arvestanud ka meie tähelepanekutega.

Nii tulebki tõdeda, et kuigi äriregister on juriidiliste isikute ja ettevõtjate tegevuses õiguskindluse ja lä­ bipaistvuse tagamiseks oluline, toob selle avatus kaasa vastutuse kaitsta inimese õigust isikuand­ mete kaitsele. Leida tuleb tasakaal ettevõtlusega seotud läbipaistvuse ja inimeste privaatsuse vahel, et viimane neist liigselt riivatud ei saaks.

10

22

Veebruaris 2024 leidis aset Eesti seni ulatuslikuim andmeleke, mis puudutas rohkem kui poolt elanik­ konnast – sisuliselt iga teist Eesti elanikku. Kuu aega kestnud ründe käigus pääsesid ründajad ligi Allium UPI OÜ hallatavale Apotheka lojaalsusprogrammi süsteemile ning laadisid alla kliendiandmebaasi varukoopiafailid 2014.–2019. aastatel programmi kogutud Apotheka apteekide, Apotheka Beauty vee­ bipoe ning PetCity poe kliendiandmetega. Kokku lekkis 19 GB andmeid, mis sisaldasid üle 750 000 inimese isikuandmeid (nimi, isikukood või sünniaeg, sugu, kontaktandmed, elukoha aadress) ning ostu­ ajalugu. Ligi saadi ka hilisemale, 2020. aasta ostu­ ajaloole. Ostuajalugu hõlmas väga suures ulatuses isikustatud tundlike ostude andmeid, sealhulgas ravimite, tervisetoodete ja tervisenäitajate mõõtmi­ se teenuste kohta. Lekkinud andmekoosseis annab otseselt või kaudselt teavet inimese tervise kohta, mistõttu kvalifitseerub see terviseandmeteks ehk eriliiki isikuandmeteks IKÜM­i artikli 9 tähenduses ning vajab seetõttu kõrgematasemelist kaitset.

Algatasime intsidendi kohta järelevalvemenetluse ja hiljem väärteotunnuste ilmnemisel ka väärteo­ menetluse.

Kuigi Allium UPI OÜ andis meile nõuetekohaselt isi­ kuandmetega seotud rikkumisest teada, otsustas ta andmesubjekte juhtunust mitte teavitada, hin­ nates ekslikult, et lekkinud andmestik ei sisaldanud ravimite andmeid ja seetõttu oli potentsiaalne kahju piiratud. Jõudes vastupidisele järeldusele ja leides, et süsteemist lekkinud andmestikku kuulub ka ter­ visele osundav teave ja selle kolmandale isikule tea­ tavaks saamine kujutab endast andmesubjektidele

suurt ohtu IKÜM­i artikli 34 tähenduses, kohusta­ sime ettevõtet inimesi teavitama ja andma juhised ohtude leevendamiseks.

2025. aasta sügisel määrasime Allium UPI OÜ­le 3 miljoni euro suuruse rahatrahvi Apotheka lojaal­ susprogrammi süsteemis isikuandmete töötlemisel IKÜM­i artikli 5 lg 1 punktis f ette nähtud usaldus­ väärsuse ja konfidentsiaalsuse põhimõtte rikkumise eest, mis seisnes vastutava töötleja üldise kohustu­ se (IKÜM­i artikkel 24), andmekaitsemeetmete lõi­ mimise ja vaikimisi rakendamise kohustuse (IKÜM­i artikkel 25) ning riskipõhist lähenemist kasutades isikuandmetele asjakohase turvalisuse tagamise kohustuse rikkumises (IKÜM­i artikkel 32).

Heitsime Allium UPI OÜ­le väärteona ette, et tema rakendatud turvameetmed ei taganud süsteemis töödeldavate isikuandmete IKÜM­i nõuetele vasta­ vat turvalisuse taset. Ründajad said süsteemile vo­ litamata juurdepääsu turvanõrkuste ärakasutamise tõttu, mis tõi kaasa ulatusliku isikuandmete, sealhul­ gas terviseandmete ebaseadusliku kaotsimineku.

IKÜM kohustab vastutavat töötlejat tagama, et isi­ kuandmeid töödeldakse viisil, mis kaitseb neid loata või ebaseadusliku töötlemise, juhusliku kaotsimi­ neku, hävimise või kahjustumise eest, rakendades asjakohaseid tehnilisi ja korralduslikke meetmeid. Selleks tuleb arvesse võtta töötlemise laadi, ulatust, konteksti ja eesmärke ning lõimida andmekaitse­ meetmed töötlemisprotsessi ja neid vaikimisi ra­ kendada. Rakendatavad korralduslikud ja tehnilised meetmed peavad olema proportsionaalsed ohuga andmesubjektide õigustele ja vabadustele.

11 Apotheka andmeleke: kui turvameetmed jäävad ajale jalgu

23

11 Väärteomenetluses selgus, et Allium UPI OÜ ei rakendanud mitut kriitilist ja ka tavakasutajale üldteada tur­ vameedet. Näiteks kasutati süsteemi sisenemisel autentimisvahendiks üksnes parooli, ei rakendatud mit­ mikautentimist, administraatorikonto kasutajanime ja parooli kasutas mitu isikut ühiselt, võimaldades selle edasijagamist. Puudusid ka need kaitsemeetmed, mida võis andmetöötlejalt eeldada, arvestades töötlemi­ se laadi, konteksti ja ulatust ja arvestades talle IKÜM­iga pandud kohustusi. Näiteks:

• võrgupiirangud ja turvaseire olid puudulikud; • andmebaasi varukoopiad hoiti ebaturvaliselt; • volitatud töötlejate rollid ja vastutus olid ebaselged ning kontroll nende tegevuse üle vähene; • ettevõttes kehtivad andmekaitsemeetmed jäeti süsteemile rakendamata; • puudusid ennetusmeetmed mittevajalike (nt ravimitega seotud) andmete süsteemi sattumise

vältimiseks jt.

Mida juhtumist õppida? Apotheka andmeleke näitas, et andmekaitse ei ole pelgalt formaalsus, vaid valitud reeglite tegelik rakendamine ning turvameetmete ajakohasuse ja töötlemise riskile vastavuse pidev hindamine ja kontroll kogu andmetöötluse elutsükli vältel. Vastu­ tav töötleja peab jälgima tehnoloogia arengut ja rakendama sellele vastavaid turvalahendusi. Juhtum tuletab meelde, et vastutava töötleja kohustus ei piirdu usaldusväärse volitatud töötleja valimisega – ta peab aktiivselt kontrollima rakendatud meetmete asjakohasust ja toimivust, vajadusel kaasama pädevaid eksperte ning korraldama kasutatavate lahenduste auditeid.

Eriti olukorras, kus isikuandmete töötlemine on ettevõtte äritegevuse keskne osa, peab sellega kaasas käi­ ma ka vastav andmekaitse tase. Kord lekkinud andmeid ei ole võimalik tagasi pöörata ning nende väärkasu­ tuse risk võib realiseeruda alles aastate pärast, mistõttu inimese kontroll oma andmete üle ei tohi teenuste või hüvede nimel kunagi kaduda.

Allium UPI OÜ­le karistuse määramisel lähtusime rikkumise raskusest, ettevõtte võimekusest, ning võtsime arvesse ka koostöö ulatuse menetluse käigus. Arvestades rikkumise süsteemset ja pikaajalist iseloomu, lekkinud andmete tundlikkust, mõjutatud isikute suurt arvu ning kasutusele võetud turvameetmeid, oli raha­ trahvi määramine selles olukorras proportsionaalne ja sobiv meede. Allium UPI OÜ kaebas otsuse kohtusse ning edasine selgub kohtumenetluses.

24

Algatasime aprillis järelevalvemenetluse politsei andmekogus „Infosüsteem POLIS“, et hinnata isi­ kuandmete töötlemise vastavust õigusaktidele ning kontrollida tööprotsesside toimivust. Vaatluse all olid päringute teostamine, andmete arhiveeri­ mine ja kustutamine, logimine, juurdepääsuõigu­ sed ning numbrituvastuskaameratega seotud te­ gevused. Menetluse tulemusel tegime Politsei­ ja Piirivalveametile (PPA) ettekirjutuse, et tuvastatud puudused saaksid kõrvaldatud. Menetluse jook­ sul tegi PPA meiega igakülgset koostööd, selgitas oma praktikat, rakendas muudatusi ning on nüüd­ seks ettekirjutuse nõuded täitnud.

Kuigi järelevalve oli ajendatud aprilli lõpus numb­ rituvastuskaamerate kasutusega seotud küsimus­ test, siis sellel teemal me oma menetluses tähele­ panekuid kordama ei hakanud. Nimelt oli PPA ise viinud läbi teenistusliku kontrolli ja jõudnud oluliste järelduste ning muudatusteni. Samuti võttis Riigi­ kogu vastu numbrituvastuskaamerate andmetööt­ luse regulatsiooni.¹

POLIS­e eripäraks on, et see koosneb mitmetest alaminfosüsteemidest. Üheks alaminfosüsteemiks on menetluse infosüsteem (MIS), kus töödeldakse süüteomenetluse andmestikku (menetluste ja toi­ mingutega seotud andmed). Selle puhul tuvastasi­ me, et PPA ei järginud õigusaktidega kehtestatud andmete arhiveerimise ja kustutamise tähtaegu. MIS­is hoiti alles andmed, mis tegelikult oleksid

Politsei andmekogu järelevalve12

25

pidanud olema kas arhiveeritud ja/või kustutatud. Isikuandmete kaitse üldmäärus näeb ette isiku­ andmete säilitamise piirangu põhimõtte, mille jär­ gi ei tohi isikuandmeid säilitada vajalikust kauem. Õigusaktides on kindlaks määratud tähtajad, millal tuleb POLIS­es olevad andmed esmalt arhiveerida ja seejärel kustutada. On lubamatu andmeid edasi säilitada, kui alust selleks ei ole.

Õigel ajal MIS­is olevate andmete arhiveerimata ja kustutamata jätmine oli üks põhjustest, miks tegime Politsei­ ja Piirivalveametile ettekirjutuse. Samas ei piisanud olukorra lahendamiseks üks­ nes vanade andmete kustutamisest. Kohustasime PPA­d looma ka toimiva lahenduse, mis tagaks edaspidi andmete regulaarse arhiivi kandmise ja kustutamise vastavalt õigusaktides sätestatud tähtaegadele. Tänaseks on see nõue täidetud.

Teine suurem probleem tuli esile seoses analüüsi ja andmelao infosüsteemiga. Leidsime, et PPA ka­ sutatav andmeladu ja selles toimuv andmetöötlus vajab suuremat läbipaistvust. POLIS­e põhimää­ rusest ning PPA selgitustest nähtus, et andmelao andmeid kasutatakse muu hulgas politseitege­ vuse analüüsimisel ja statistilistel eesmärkidel. Eesmärke võib andmelao kasutamisel veelgi olla, kuid andmelao olemasolu ega selle kasutamise eesmärke õigusaktidest ei ilmne. Meie hinnangul tuleb andmelao olemasolu sõnaselgelt nimeta­ da vastava andmekogu põhimääruses või muus

õigusaktis. Samuti tuleb eristada, mida tehakse lähteandmekogus ja mida andmelaos. Seejuures peab asutuses olema selgelt määratletud tööprot­ sess, millistel tingimustel on lubatud andmelaos olevate isikuandmete põhjal koostada isikustatud aruandeid, näiteks millistele kontrollküsimustele peab aruande tellija enne selle tellimist vastama ning millal on kohustuslik andmekaitsespetsia­ listi kaasamine. Andmelaost isikuandmete põhjal koostatavate aruannete tellimine peab toimuma alati kindlal eesmärgil, mis on selgelt määratletud ja vajaliku andmekoosseisuga piiratud.

Andmelaoga seoses jätkub mitmete asutuste omavaheline koostöö. Tõdeme, et regulatsiooni andmelao osas sisuliselt ei olegi ja olemasolevad juhised võivad eriarvamusi põhjustada. On oluline, et saavutaksime selles osas selguse.

Politsei andmekogu menetlus näitas, kui oluline on tehniliste ja organisatsiooniliste meetmete pidev arendamine ja süsteemne lähenemine. Seejuures ei ole andmekaitsega seonduv ühekordne tegevus, vaid järjepidev protsess, mis peab käima kaasas tehnoloogia ja õigusruumi arenguga. Isikuandme­ te töötlemise läbipaistvus on usalduse alus – ini­ mesed peavad teadma, kuidas ja milleks nende andmeid kasutatakse. Esile tõstmist väärib veel kord PPA tahe vajalikud muudatused ellu viia. Meie kõigi huvides on, et andmeid töödeldakse õiguspä­ raselt ja turvaliselt.

12

¹ Politsei ja piirivalve seaduse täiendamise seadus 670 SE.

26

Viisime 2025. aasta maikuust kuni septembrini läbi seire mobiilsideteenuse osutajate ja nende kaudu SMS­vahendusteenust pakkuvate andmetöötlejate vahel. Seire eesmärk oli välja selgitada andmetöötlu­ ses osalejate rollid, andmete liikumise ahel ja kasuta­ tavad turvameetmed.

Seire tulemusel selgus, et SMS­vahendusteenuse pu­ hul käsitletakse agregaatorite rolli sageli ekslikult ise­ seisvate vastutavate töötlejatena, kuigi tegelikkuses tegutsevad nad pigem volitatud töötlejatena kliendi juhiste alusel. Samuti tuvastasime, et turvameetmete tase erineb osapoolte vahel ning on valdavalt reaktiiv­ ne – tihtipeale ennetav kontroll puudub. See võib aga isikuandmete turvalisuse tagamise ohtu seada.

SMS­vahendusteenus võimaldab kliendil (ettevõttel või eraisikul) saata mass­sõnumeid lõppkliendi sead­ messe. Selleks kasutatakse vahendusteenuse pakku­ jat ehk agregaatorit, kes edastab sõnumid vastavatele

mobiilsideoperaatoritele, kes tagavad omakorda nen­ de kohaletoimetamise.

Seire esimeses etapis esitasime järelepärimise Eesti mobiilsideoperaatoritele (Telia, Elisa, Tele2) ja teises etapis Eestis tegutsevatele SMS­vahendusteenuse pakkujatele (Messente, ESTERIA, Top Connect). Vas­ tuste põhjal saime teha järgnevad järeldused. Kuidas on üles ehitatud andmetöötluse ahel?

Andmevahetuse ahela skeem kujutab andmevoogu klientide ja lõppklientide seadmete vahel. Kliendid (eraisikud või juriidilised isikud) algatavad teenuse agregaatoriga teatud sõnumi gateway ehk lüüsi (XML API¹ vms lahenduse) kaudu. Agregaator omakorda edastab andmed lõppkliendi telefoninumbri alusel vastavale mobiilsideteenustele SMPP² või REST API³ kaudu. Mobiilsideteenused suunavad seejärel info lõppklientide seadmetesse.

SMS vahendusteenuse pakkujate seire13

¹ XML API on rakendusliides, mis vahetab andmeid, kasutades sõnumivorminguna XML­vormingut (eXtensible Markup Language).

² SMPP (short message peer­to­peer protocol ehk lühiteadete otseühendusprotokoll) on telekommunikatsioonitööstuse protokoll SMS­sõnu­ mite vahetamiseks iInterneti kaudu. SMS­sõnumid läbivad tavaliselt SMPP, et ühendada välised süsteemid sõnumikeskusega, mis töötleb suuri SMS­mahtusid. SMPP kasutab TCP/IP­d või sellega seotud protokolli, et ühenduda sõnumikeskusega ja edastada või vastu võtta tellija (abonent) sõnumeid.

³ rakendusliidese (API) programmiliides, mis järgib REST­arhitektuuristiili disainipõhimõtteid. REST on lühend sõnadest representational state transfer (esitusoleku siire) ja on reeglite ja juhiste kogum, mis käsitleb veebi API ehitamist.

27

13 KLIENT juriidiline isik /

eraisik

KLIENT juriidiline isik /

eraisik

KLIENT juriidiline isik /

eraisik

MOBIILSIDETEENUS

LÕPPKLIENDI SEADE

MOBIILSIDETEENUS

LÕPPKLIENDI SEADE

MOBIILSIDETEENUS

LÕPPKLIENDI SEADE

XML API XML API XML API

SMPP, REST API SMPP, REST API SMPP, REST API

AGREGAATOR

28

13 Andmetöötlejate rolliselgus

Kogutud vastuste põhjal märkasime trendi, kus agregaatoreid peeti iseseisvaks vastutavaks tööt­ lejaks. Selline käsitlus ei ole meie hinnangul koos­ kõlas isikuandmete kaitse üldmääruse (IKÜM) loogikaga ega Euroopa Andmekaitsenõukogu ju­ histega (Guidelines 07/2020).

SMS­vahendusteenuse puhul edastab klient (et­ tevõte või eraisik), kes soovib sõnumit saata, ag­ regaatorile isikuandmeid: saaja info ning sõnumi sisu (sh võivad selle taotluse korral teatavaks saa­ da ka teised isikuandmed). Agregaator edastab need andmed omakorda mobiilioperaatorile, kes tagab sõnumi kohaletoimetamise. Kuigi operaa­ tor ei pruugi sõnumi sisu näha, töötleb ka tema saaja isikuandmed IKÜM­i artikli 4 lõike 1 ja 1 tä­ henduses.

Andmetöötlus toimub algse taotluse esitanud kliendi nimel ja eesmärgil – klient algatab sõnumi saatmise, valib sihtrühma ning määrab sõnumi sisu. Agregaator tegutseb seejuures kliendi nimel ja juhiste alusel, mistõttu on ta volitatud andme­ töötleja IKÜM­i artikli 4 lõike 8 ja artikli 28 tähen­ duses.

Samas saame nõustuda sellega, et mobiiliope­ raator võib olla SMS­vahendusteenuse puhul ise­ seisev vastutav töötleja, kes pakub sideteenust elektroonilise side seaduse alusel. Tema kohustu­ sed andmete töötlemisel ja säilitamisel tulenevad pigem seadusest, mistõttu on ta ka nende and­ mete iseseisev vastutav töötleja.

Andmetöötluse ahela puhul võib vale rollimääratlus vähendada läbipaistvust ja raskendada oma õigus­ te tagamist andmesubjekti ehk lõppkliendi jaoks ning samuti võib kaasa tuua vastutuse hajumise eri osapoolte jaoks nt pettuste ennetamisel ning nende käsitlemisel. Seejuures on ääretult oluline, et kõigil osapooltel oleks selge nende roll andmetöötluses ja sellest tulenevad kohustused.

Reaktiivne lähenemine turvalisusele

Mobiilsideteenuse osutajad ja SMS­vahendustee­ nuse pakkujad on meie hinnangul küll kasutusele võtnud eri tehnilisi ja korralduslikke turvameetmeid (nt krüpteerimine, logimine, turbeauditid), kuid tu­ vastasime, et andmetöötluses osalevatel osapool­ tel puudub piisav ennetav kontroll sõnumite sisu ja saatjate üle. Enamikul juhtudel reageeritakse vaid andmesubjektide kaebustele. See ei pruugi aga olla piisav IKÜM­i artikli 32 nõuete täitmiseks, mis eel­ dab proaktiivseid turvameetmeid.

Oluline on rõhutada, et agregaatoritele saadetud andmete hulk (sõnumite sisu ja lõppkliendi and­ med) on sageli avatud tekstide, st krüpteerimata kujul. Agregaatoritel on seega tehniline võimalus näha kogu saadetava info sisu. On ääretult oluline, et agregaatorite süsteemides oleks turvalisus taga­ tud kõrgel tasemel.

Kõigil andmetöötluse osapooltel, sealhulgas ope­ raatoritel ja agregaatoritel, on kohustus teha koos­ tööd, et rakendada ühtseid ja mõjusaid lahendusi, mis aitavad ennetada sõnumite teel levivaid pettusi ning tagada isikuandmete asjakohase turvalisuse.

29

13 Siin on mõned konkreetsed soovitused, mida saavad kõik agregaatorid ja mobiilsideteenuse pakkujad juba täna rakendada selleks, et tagada turvalisem isikuandmete töötlemine ning pettuste ennetamine:

1 sõnumite logimise ja analüüsi automatiseerimine, et tuvastada kahtlaseid mustreid;

2 süsteemide regulaarne turbeaudit, mis hindab nii tehnilisi kui ka protseduurilisi riske;

3 anomaaliaid tuvastavate süsteemide kasutamine, mis võimaldab varakult märgata pettusele viitavaid tegevusi;

4 ligipääsukontrollide rakendamine ja jälgimine, et piirata juurdepääsu sõnumite sisule;

5 rangemad reeglid saatja ID kuvamisele, et vältida saatja maskeerimist (nn spoofingut4).

4 Spoofing­rünnak (teisisõnu teesklus) on olukord, kus isik või programm identifitseerib end edukalt teisena, võltsides andmeid, et ebaseadus­ likku eelist saada. Näiteks võib keegi sulle helistada või sõnumi saata riigiasutuse numbrilt, aga tegelikult ei ole see riigiasutus, vaid pettur.

30

Seire taust

Alates 2001. aastast reguleerib avaliku sektori te­ gevuse läbipaistvust avaliku teabe seadus (AvTS). Selle seaduse eesmärgiks on tagada üldiseks ka­ sutamiseks mõeldud teabe avalikkus, võimalusega igaühel sellisele teabele juurde pääseda. Riigi­ ja kohalike omavalitsuse (KOV) tegevuse avalikkus ja läbipaistvus on üks olulisemaid põhimõtteid, mis tagab demokraatliku riigikorralduse ning igaühe õi­ guste ja vabaduste teostamise. Üheks olulisimaks printsiibiks teabe avalikustamisel on avaliku sektori kohustus oma tegevuse käigus saadud ja loodud teave avalikustada seda küsimata ning üheks sel­ liseks teabe avalikustamise väljundiks on asutuse võrguleht. Avaliku teabe seaduse § 28 lg 1 annab loetelu teabest, mille teabevaldajad on kohustatud oma võrgulehel avalikustama. AvTS § 28 lõike 1 punkti 31 kohaselt tuleb võrgulehel avalikustada ka asutuse dokumendiregister. Täpsemad nõuded do­ kumentide avalikustamise kohta dokumendiregistri kaudu on ära toodu AvTS §­s 12.

Seire eesmärgid

Seire eesmärgiks oli vaadelda, kuidas omavalitsu­ sed avaliku teabes sätestatud teabe avalikustamise nõudeid täidavad. Valiku tegemisel, millise teabe avalikustamist kontrollida, sai lähtutud ka sellest, mille kohta on esitatud enim kaebusi ning millise teabe leidmine võiks kodanikule oluline olla. Samuti soovisime kaardistada üldist teabe avalikustamise olukorda omavalitsustes.

Kohalike omavalitsuste dokumendiregistrite seire14

31

14 Seire teiseks eesmärgiks oli hinnata dokumendi­ registris dokumendile juurdepääsu võimaldamise ja AK teabe kaitsmise olukorda. Samuti oli seire eesmärgiks kontrollida, kas ja kuidas kevadise mär­ gukirja saatmine on parandanud dokumendiregist­ rites AK teabe kaitsmise olukorda. Kuigi kevadine märgukiri puudutas eelkõike ühinenud valdade vanu dokumendiregistrid, palus inspektsioon oma märgukirjas üle vaadata ka kasutusel olevad doku­ mendiregistrid. Seekordne seire puudutaski eelkõi­ ge just praegu kasutusel olevaid ajakohaseid doku­ mendiregistreid.

Lisaks oli seire eesmärgiks ka välja selgitada parim dokumendiregister. Selleks hindasime ka dokumen­ diregistrites avaliku teabe seaduse paragrahvis 12 toodud erinevate nõuete täitmist. Kui dokumendire­ gistris registreeritud dokumentide osas olid nõuded nõuetekohaselt täidetud, siis oli omavalitsusel iga kontrollitud dokumendiliigi või seaduses sätesta­ tud nõude täitmise eest võimalik saada ühe punkti. Kui aga leidsime mingi kontrollitud nõude täitmi­ sel vähemalt kolm eksimust, siis punkti ei saanud. Väiksemate eksimuste puhul oli võimalik saada ka 0,25­0,75 punkti. Seire tulemused avalikustati 29.oktoobril toimunud avaliku teabe ja avaandmete konverentsil.

Seire kokkuvõte olulisemate tähelepanekutega

AK-märgete olemasolu ja dokumentidele juurde- pääs. AvTS § 12 lõike 3 punkt 6 kohustab dokumen­ diregistrisse kandma ka dokumendi kohta kehtivad juurdepääsupiirangud.

Kuigi aasta­aastalt on piirangute kajastamise olu­ kord dokumendiregistrites paremaks muutunud ning dokumente, millel puudub piirangumärge, kuid

samas ei võimaldata dokumendile dokumendire­ gistri kaudu juurdepääsu, on küll vähem, kuid siiski on dokumendiregistrites selliseid dokumente jätku­ valt lubamatult palju.

Ka on dokumendiregistris jätkuvalt üsna palju asu­ tustevahelist kirjavahetust ja lepinguid, millele on kehtestatud juurdepääsupiirang eraelu kaitseks. On üsna küsitav, kas asutustevaheline kirjavahetus või lepingud ikka sisaldavad nii paljudel juhtudel kellegi eraelu kahjustavat teavet. Eraelu kahjustavaks tea­ beks ei ole kindlasti asutuse või ettevõtte töötaja tööalased kontaktid. Samas on dokumendiregistri­ test võimalik leida aga füüsiliste isikute kirju, kus on avalikud nii isiku nimi kui kontaktandmed.

Eksimusi on ka piirangu tähtaegades. Näitena võib tuua olukordi, kus piirang on kohe kehtesta­ tud maksimaalselt kümneks aastaks, kuigi seadus lubab piirangu kehtestada korraga viieks aastaks. Oli ka palju dokumente, millele oli eri sätete alusel kehtestatud piirang 75 aastaks, kuigi seadus lubab piirangu 75 aastaks kehtestada ainult isikuandmeid sisaldavale teabele.

Samas on isikuandmetele mõnel juhul kehtestatud piirang hoopis viieks aastaks. Viimane ei ole iseene­ sest rikkumine, kui dokument tõesti enne piirangu lõppu hävitatakse või tähtaega enne piirangu lõppu pikendatakse, kuid kui dokumente ei jõuta õigel hä­ vitada või piirangut pikendada, tekib oht, et piirangu­ ga isikuandmed saavad avalikuks.

Uurides omavalitsustelt põhjusi, miks kevadel leitud vanad dokumendid avalikuks said, oligi üheks põh­ juseks see, et isikuandmeid sisaldavatele dokumen­ tidele oli piirang kehtestatud viieks aastaks ning tähtaja möödumisel piirangut pikendatud ei olnud.

32

14 Seega on isikuandmete puhul mõistlik kehtes­ tada piirang kohe 7. aastaks. Eeltoodu ei keela säilitustähtaja möödumisel dokumente hävitada. Piirangu tähtaeg ei ole seega kuidagi seotud säi­ litustähtajaga.

Seire käigus leidsime, et tihti on dokumentidele mär­ gitud juurdepääsupiirangu alused, mida konkreet­ ne dokument ilmselt ei sisalda. Näitena võib tuua dokumendi, kus veeohutusstendide paigaldamise lepingule oli kehtestatud piirang kui kriminaal­ või väärtoemenetluses kogutud teabele, või kus voliko­ gu liikme arupärimisele oli kehtestatud piirang voli­ kogu töökorraga, kuigi piiranguid saab kehtestada ainult seaduse alusel. Need on ainult mõned näited piirangu ebaõigetest alustest.

E-kirjadele juurdepääsu võimaldamine

AvTS § 12 lõige 41 kohustab teabevaldajaid doku­ mendiregistri kaudu võimaldama juurdepääsu do­ kumendihaldussüsteemis sisalduvatele elektroo­ nilistele dokumentidele, millele ei ole kehtestatud juurdepääsupiirangut. Selliseid kirju, millele ei ole kehtestatud piirangut, kuid millele ei ole dokumen­ diregistri kaudu ka juurdepääsu võimaldatud, on dokumendiregistrites ka eelnevate seirete käigus leidunud. Leidsime neid ka käesoleva seire käigus. Käesoleva seire läbiviimise ajaks oli olukord küll paranenud, kuid rahul olla siiski ei saa. Kuna seire käigus ei ole võimalik kogu dokumendiregistrit do­ kumendihaaval kontrollida, otsustasime, et kui leid­ sime juba kolm e­kirja, millele ei olnud kehtestatud juurdepääsupiirangut, kuid ei võimaldatud ka doku­ mendiregistri kaudu juurdepääsu, siis konkreetne omavalitsus e­kirjadele juurdepääsu võimaldamise eest punkti ei saanud.

Dokumendiregistrites hakkas silma ka metaand­ mete ebakorrektne täimine ning ka eksitava teabe edastamine, seda eriti dokumendihaldusprogram­ mi Amphora kasutajate puhul. Kuigi seires ei antud punkte metaandmete korrektsuse eest, siis ei saa jätta tähelepanu juhtimata asjaolule, et paljudes do­ kumendiregistrites oli dokumendi saajaks/saatjaks märgitud eraisik, kuid kui dokument oli avalik, siis selgus, et tegelikult oli kirja saajaks/saatjaks hoo­ pis juriidiline isik. Sellisel juhul on tegemist eksitava teabe andmisega ning tekib kahtlus, kui palju eraelu kaitseks seatud piirangutest on üldse õiguspärased.

Füüsiliste isikute nimede kajastamine dokumen- diregistri avalikus vaates

Alates 2016. aastast ei luba seadus dokumendire­ gistri avalikus vaates kajastada füüsilisest isikust kirjasaatja/­saaja kohta teavet, mille kaudu on füüsilised isikud tuvastatavad. Üldiselt seda nõuet täidetakse ja eraisikute nimesid dokumendiregistri metaandmetes ei avalikustada, s.t nimed on asen­ datud initsiaalidega või märgitud „eraisik“.

Kuigi enamik omavalitsusi seda jälgib, on siiski oma­ valitsusi, kus just sotsiaalvaldkonna dokumentides on isikute nimed avalikud. Selliste näidetena võib välja tuua näiteks „Eeskoste seadmine Mari Maasi­ kas“ või „Sotsiaaltoetuse taotlemine Jüri Juurikas“. Eeltoodu on eriti kahetsusväärne just seetõttu, et tihti on avalikud just nende isikute nimed, kes pole võimelised oma õigusi kaitsma ja on kõige haava­ tavamad. See hakkab eriti silma ka seetõttu, et kui asutuse töötajate nimesid püütakse varjata ka seal, kus selleks puudub õiguslik alus, siis abivajajate ni­ mede avalikustamise puhul riivet ei nähta. Ka siis, kui dokumendid ise ei ole avalikud, kuid pealkirjas

33

14 on isiku nimi avalik, võib olla riive juba toimunud. Nii saab näiteks eestkoste puhul järeldada, et isik ei tule oma eluga iseseisvalt toime. Seekord jäi selliseid dokumente eriti palju silma. Kuigi dokumendid ise avalikud ei olnud, võttis inspektsioon kõigi omava­ litsustega, kelle dokumendi pealkirjades olid isikute nimed avalikud, telefonitsi ühendust ja juhtis valla tähelepanu isikute õiguste rikkumisele ning palus nimed eemaldada, et rikkumine kiiresti lõpetada.

Selline olukord teeb inspektsiooni väga murelikuks, sest tekib küsimus, et kui pistelise kontrolli käigus tuleb ka peale kevadise märgukirja edastamist jät­ kuvalt välja nii palju dokumente, kus on eestkos­ tetavate isikute nimed avalikud, siis kui palju neid tegelikult võib veel dokumendiregistrites avalikult kättesaadaval olla. Seda, et kontrolli käigus ei ole võimalik kõiki dokumente avastada, ilmestab ka näide, kus näiteks ühe hästi eeskujuliku ja avaliku dokumendiregistri kontrollimisel ei leidnud seire lä­ biviija selliseid dokumente, kuid enne parema asu­ tuse väljaselgitamist palus seire läbiviija ka oma kolleegidel selle asutuse dokumendiregistrit kont­ rollida ning teine ametnik leidis ikkagi dokumendi, mis sisaldas eestkostetava andmeid.

Eeltoodu näitab, et KOV­ide dokumendiregistrites on jätkuvalt palju sotsiaalvaldkonna dokumente, mis sisaldavad ka abivajavate isikute nimesid ning halvemal juhul on ka mõni selline dokument avalik. On lubamatu, et kui isik vajab abi ning pöördudes omavalitsuse poole, ei saa ta olla kindel, et omava­ litsus ei tee tema abivajadust oma dokumendire­ gistri kaudu kõigile kättesaadavaks. Omavalitsustel tuleb oma registrid üle kontrollida, sest ka ühe selli­ se dokumendi avalikuks saamine on palju. AK­teabe avalikkus

Avaliku teabe seadus kohustab kehtestama juur­ depääsupiirangu dokumentidele, mis sisaldavad piiranguga andmeid, ning mitte avalikustama do­ kumente isikutele, kellel puudub õigus neid doku­ mente saada. Paraku leidsime ka selle seire käigus dokumendiregistris dokumente, mis peaksid olema piiranguga, kuid olid avalikud.

Kuna seire käigus pöörasime erilist tähelepanu just tundlikes sarjades registreeritud dokumentidele, leidsime nii sotsiaaltoetuste avaldusi, kus küsitakse isikutelt hulgaliselt andmeid ka pereliikmete kohta, sh ka nende tervisliku seisundi kohta. On äärmiselt kahetsusväärne, kui mõni selline dokument on do­ kumendiregistri kaudu kõigile kättesaadav – see riivab väga tugevalt isiku eraelu puutumatust.

Kuigi iga avalikuks saanud dokumendi puhul ei saa alati asuda seisukohale, et seda dokumenti on loe­ tud ja alla laetud, ei tähenda see seda, et rikkumist ei ole toimunud.

Tihti tuuakse järelevalvemenetluse käigus põhju­ seks, et konkreetse dokumendi on registreerinud uus töötaja ning peale dokumendi avalikukssaa­ mist ta meil enam ei tööta. Siinkohal tahaks juhtida omavalitsuse töötajate tähelepanu sellele, et uute töötajate puhul kontrollige esialgu, kuidas nad doku­ mentidele piiranguid kehtestavad ja dokumente re­ gistreerivad, s.t aidake neil sisse elada, et oma tööd hästi teha. Samas ei saa ju garanteerida, et järgmi­ ne uus töötaja ei eksi.

Tähelepanu köitis ka see, et kui asutusetega peetud kirjavahetusele kehtestame piirangu AvTS § 35 lg 1 p 12 alusel, siis füüsiliste isikute kirjavahetuse puhul avalikustame nii nime, elukoha kui e­posti aadressi.

34

14 Kõiki dokumente ei kuvata dokumendiregistri avalikus vaates

Seiret läbi viies hakkas silma, et õigusaktide, sh käskkirjade puhul on dokumendiregistris osa numb­ reid puudu. Dokumendiregistrist peab olema üle teksti otsinguga võimalik otsida kõigi metaandmete järgi, sh kas otsida ainult ühe metaandmete välja (näiteks dokumendi liigi järgi) või mitme välja kau­ du korraga (näiteks dokumendi liigi ja sarja numbri järgi).

Seire käigus sai ka selgeks, et mõnel juhul võivad dokumendid küll dokumendiregistris avalikud olla, kuid kui ei ole teada, kuidas registris on otsingud üles ehitatud, ei pruugi dokumente leida. Sai ka sel­ geks, et eri omavalitsuste dokumendiregistrites on dokumendid leitavad eri otsingutega, mis teeb tea­ be soovijatele teabe leidmise tihti keeruliseks.

Kuna avaliku teabe seaduse üheks põhimõtteks on teabele lihtsa ja kiire juurdepääsu võimaldamine, ei saanud seiratav omavalitsus punkti siis, kui kõiki dokumente leida ei õnnestunud, kuna ei saa eelda­ da, et asutuseväline dokumendiotsija peaks täpselt teadma, millise otsinguga dokumendid leitavad on.

Lisatasude ja puhkuse käskkirjade avalikustamine

AvTS § 12 lg 2 kohaselt tuleb asutuse dokumen­ diregistris registreerida ka asutuses koostatud ja allkirjastatud õigusaktid, milleks on ka personali­ käskkirjad. Samas lubab seadus dokumendid do­ kumendiregistris ka registreerimata jätta, kui need on registreeritud mõnes teises registris ja neile või­ maldatakse selle kaudu juurdepääs. See tähendab, et kui mõni omavalitus avalikustab oma personali­

käskkirju mõnes muus registris, tuleks dokumendi­ registri juurde lisada link, kust vastav teave leitav on.

Lisaks eeltoodule hakkas 15.03.2019 avaliku tea­ be seaduses kehtima säte, mis ei luba kehtestada juurdepääsupiirangut ka töölepinguga töötajate pal­ gaandmetele. See tähendab, et töölepinguga tööta­ jate palgaandmeid ei pea küll avalikustama avaliku teenistuse veebilehel, kuid kuna seadus ei luba neile juurdepääsupiirangut kehtestada, siis dokumendi­ registris neile piirangut kehtestada ei saa.

Seire käigus ilmnes aga, et mõned omavalitsused on töölepinguseaduse § 28 lõike 2 punkti 13 alu­ sel kehtestanud preemiate ja lisatasude maksmise käskkirjade piirangu. Kuna avaliku teabe seadus on avaliku sektori asutuste osas eriseaduseks li­ satasude ja preemiate käskkirjade avalikustamise osas – sellele seisukohale asus ka Riigikohus oma 17.10.2018 otsuses nr 3­15­3228 –, siis preemia ja lisatasude maksmise käskkirjadele piirangu kehtes­ tamine töölepingu seaduse § 28 lõike 2 punkti 13 alusel ei ole seadusega kooskõlas ega õiguspärane. Kuigi käesolevas seires ei kontrollitud, kas omavalit­ susete hallatavad asutused on lisatasude käskkirja­ dele piiranguid kehtestanud, köitis siiski tähelepanu, et väga paljud hallatavad asutused, kelle töötajad saavad töötasu eelarvelistest vahenditest, on tööle­ pingu seaduse alusel lisatasu käskkirjadele piirangu kehtestanud.

Lisaks oli tihti nii puhkuse, lähetuse kui ka lisatasu käskkirjadele kehtestatud piirang AvTS § 35 lõike 1 punkti 12 alusel. Mööname, et mõnel juhul võib eeltoodu alusel piirangu kehtestamise õiguspära­ ne olla: kui käskkiri sisaldab ka eraelu puudutavat sündmust, nagu näiteks lapsehoolduspuhkust või

35

14 toetuse maksmist seoses perekondliku sündmu­ sega. Kui aga enamikule personalikäskkirjadele on kehtestatud piirang AvTS § 35 lõike 1 punkti 12 alu­ sel, siis ei ole usutav, et kõik käskkirjad sisaldavad eraelu puudutavat teavet.

Vallavalitsuse protokollide avalikustamine

Kuna volikogu istungite protokollid on reeglina lei­ tavad, vaatlesime seekord vallavalitsuste istungite protokollide leitavaust. Üldiselt olid protokollid leita­ vad, kuid siiski oli mõnel vallal mõni protokoll vahelt puudu. Samuti ei õnnestunud ühe omavalitsuse is­ tungite protokolle leida.

Kokkuvõtete tegemine

Seekordse seire käigus tuli tõdeda, et kohalike omavalitsuste dokumendiregistrites on hulgaliselt andmeid, mis ei tohiks seal avalikud olla – eriti just füüsiliste isikute nimed sotsiaalvaldkonna doku­ mentide pealkirjades. Kuigi dokumendid ise avali­ kud ei olnud, on riive toimunud ka juhul, kui pealkiri koos füüsilise isiku nimega reedab isiku tervisliku seisundi või sotsiaalse toimetuleku.

Seega tuleb kohalikel omavalitsustel oma dokumen­ diregistrid täiendavalt üle vaadata ning piiranguga andmed eemaldada. Kuna dokumendiregistrites on ka väga palju vanu dokumente alates 2000. aastate algusest, tuleks üle vaadata, millistel dokumentidel on säilitustähtaeg möödunud, need hävitada ja ar­ hiiviväärtuslikud dokumendid arhiivile üle anda.

Lisaks seires leitud puudustele teeb inspektsiooni murelikuks ka asutuste teabenõuetele vastamine. Seda põhjustel, et viimasel ajal on jõudnud ins­

pektsiooni menetlusse vaideid, kus teabenõude esitamisel küsitakse teabenõudjatelt põhjendusi, miks üht või teist teavet küsitakse või teabenõu­ de allkirjastamist nõutakse, kuigi teabenõudja märgib oma teabenõudes, et ei soovi piiranguga andmeid. Avaliku teabe seadus ei näe ette kohus­ tust, et teabenõudja peaks põhjendama, miks ta mingit avalikku teavet soovib. Põhjendamise ko­ hustus on ainult juhul, kui soovitakse piiranguga andmeid või kui seadus näeb selgesõnaliselt ette, et teavet väljastatakse ainult õigustatud huvi alu­ sel. Muul juhul ei pea teabenõudja põhjendama, miks ta mingit teavet soovib ega ka teabenõuet allkirjastama.

Viimasel ajal ei ole enam haruldased ka juhtu­ mid, kus isegi juhul, kui isik põhjendab oma teabe saamise soovi, keeldutakse ikkagi teabenõude täitmisest põhjendusega, et küsitud teave ei ole teabenõudjaga seotud ning seetõttu puudub va­ jadus teabe väljastamiseks. Avaliku teabe seadus ei anna teabevaldajale õigust asuda teabenõud­ ja eest otsustama, kas, mis eesmärgil ja millist teavet ta vajab. Ka juhul, kui dokument sisaldab piiranguga teavet, ei tähenda see seda, et tea­ benõude korral sellist dokumenti ei väljastata. Teabenõude korral tuleb väljastada see osa tea­ best või dokumendist, millele piirangud ei laiene. Seega vajavad kohalike omavalitsuste teenistu­ jate teadmised siin järele aitamist ning vajadusel tuleb kohalikel omavalitsustele oma teenistujaid koolitada.

36

Euroopa Andmekaitsenõukogu koordineerib tänavu juba neljandat aastat liikmesriikide järelevalveasu­ tuste ühistegevust, mille raames keskendutakse igal aastal ühe andmekaitsevaldkonnas aktuaalse probleemi uurimisele. 2023. aastal keskenduti and­ mekaitsespetsialistide rollile. 2025. ja 2024. aastal on olnud fookus aga andmesubjekti õigustel. Kui 2024. aastal keskenduti andmesubjekti õigusele tut­ vuda töödeldavate isikuandmetega, siis möödunud 2025. aastal on ühisseire keskmes isikuandmete kaitse üldmääruse (IKÜM) artiklist 17 tulenev õigus olla unustatud. Andmete tutvumise õiguse kõrval on õigus olla unustatud enim kasutatud õigustest.

Andmekaitse Inspektsiooni 2025. aastal läbi viidud seire keskendus küsimusele, kuidas suuremad jae­ kaebandus­ ja tanklaketid tagavad õiguse olla unus­ tatud püsikliendiprogrammide raames. Kuna popu­ laarsemates püsikliendiprogrammides töödeldakse tuhandete klientide isikuandmeid, on äärmiselt olu­ line, et andmesubjekti õiguste tagamiseks on ette­ võttesiseselt olemas selge raamistik. Seiresse kaa­ sati sel korral 12 Eestis tegutsevat jaekaubandus­ ja tanklaettevõtet.

Seire tulemusena tuvastasime mõned kitsaskohad õiguse olla unustatud tagamisel. Samas tuli esile ka mitmeid häid praktikaid, mis andmetöötlejal seda õigust tõhusamalt tagada aitavad.

Ühe suurema kitsaskohana saab esile tuua andme­ töötlejate äärmiselt erineva detailsusastmega paika

seatud mehhanismid andmesubjekti õiguse olla unustatud tagamiseks. Mõni ettevõte on välja töö­ tanud üksikasjalikud juhised tegutsemiseks olukor­ ras, kus andmesubjekt esitab taotluse oma isiku­ andmete kustutamiseks, sealhulgas on ennetavalt arvestatud ka kõikvõimalike erandolukordadega, mille puhul on andmetöötlejal alus andmete kus­ tutamisest keelduda ning isikuandmete töötlemist jätkata. Samas leidus ka ettevõtteid, kes ei ole vas­ tavaid juhiseid kustutamistaotluste käsitlemiseks välja töötanud ega taganud, et taotlusi käsitlevad töötajad läbiksid asjakohase koolituse. See prob­ leem puudutab eeskätt väiksemaid andmetöötle­ jaid, kes on oma senises praktikas saanud vähe või mitte ühtegi IKÜM­i artikli 17 kohast taotlust.

Teise suurema ja eelkirjeldatud probleemiga tihe­ dalt seotud kitsaskohana saab esile tuua mitme et­ tevõtte puuduliku raamistiku tegutsemiseks IKÜM­i artikli 17 lõike 3 kohase erandi esinemisel. Puuduli­ ku tegutsemisraamistiku põhjuseks on tõenäoliselt andmetöötlejate piiratud teadmised selle kohta, kuidas käituda olukorras, kus esineb õiguspärane põhjus andmete kustutamise taotluse rahuldamata jätmiseks. Nimelt väitsid paljud ettevõtted, et ei ole viimase kolme aasta jooksul keeldunud ühegi and­ mete kustutamise taotluse rahuldamisest. Samas tuli seiretulemustest välja, et jaekaubandus­ ja tank­ lakettidel on mitu asjakohast alust, mis takistavad teatud juhtudel isikuandmete kohest kustutamist (näiteks raamatupidamisseadusest tulenevad nõu­ ded ning õigusnõuete esitamise vajadus). Kui olu­

Euroopa andmekaitseasutuste ühisseire: andmesubjekti õigus olla unustatud15

37

kordasid, mille puhul esineb IKÜM­i artikli 17 lõike 3 kohane alus selle rahuldamisest keeldumiseks, ei käsitleta keeldumistena või vastavaid taotlusi õiguspäraste taotlustena IKÜM­i artikli 17 mõttes, tekib oht, et andmesubjektile ei edastata tema taot­ luse suhtes võetud meetmete kohta nõutavat infot, mis toob kaasa tema õiguste rikkumise.

Vastukaaluks eelkirjeldatud probleemidele tuvasta­ sime ka mitu head praktikat. Ühe näitena võib rõhu­ tada mitme ettevõtte praktikat tagada andmesub­ jektile palju eri kanaleid isikuandmete kustutamise taotluse esitamiseks (näiteks telefoni teel, e­maili teel, iseteeninduskeskkonna abil). Paljude kanalite

võimaldamine hõlbustab andmesubjektidel õigu­ se olla unustatud teostamist. Seejuures võimal­ dab mitu ettevõtet näiteks nõusolekul põhinevate isikuandmete automaatset kustutamist vastava tahteavalduse esitamisel iseteeninduskeskkonnas. Selline automatiseeritud isikuandmete kustutamine võimaldab lühendada aega, mis kulub taotlustele reageerimiseks, ning vältida käsitsi taotluste läbi­ vaatamisega kaasnevat riski, et mõni taotlus jääb märkamata.

Järgmisel aastal on ühistegevuse keskmes läbi­ paistvuskohustused. Sellest saab lähemalt lugeda järgmisest aastaraamatust.

15

38

Andmekaitse Inspektsioonile esitatud isikuandmetega seotud rikkumisteavitused annavad hea ülevaate sel­ lest, milliste riskidega andmetöötlejad praktikas kokku puutuvad ning millised probleemikohad on püsivad. Rikkumisteated laekusid väga erinevatest valdkondadest ning hõlmasid nii üksikjuhtumeid kui ka väga suure mõjuga intsidente, kus puudutatud oli sadu tuhandeid inimesi.

2025. aastal oli edastatud teavituste arv alates 2018. maist seni suurim. Võrreldes 2024. aastaga oli kasv ca kolmandik - 184 teavitust 2024 vs 251 teavitust 2025.

Rikkumisteated16

2024 rikkumisteateid

184

2025 rikkumisteateid

251

39

Kõige sagedamini esines inimlikke eksimusi (nt va­ lele adressaadile saatmine, andmete ekslik avalda­ mine). Sellele järgnesid hooletus ja tehnilised vead (sh süsteemide vale seadistamine, ebapiisavad kontrollmehhanismid). Eraldi grupi moodustasid õi­ guste väärkasutused ja turvanõrkused, sealhulgas küberintsidendid.

See kinnitab, et kuigi tehnoloogilised lahendused on olulised, on organisatsioonikultuuril, töötajate tead­ likkusel ja ligipääsuhaldusel jätkuvalt suur roll.

Valdav osa rikkumisi puudutas üksikuid nn tavalisi isikuandmeid nagu inimese nimi, e­posti aadress või telefoninumber. Mitmel juhul olid ohus aga ka suuremad andmekogumid või potentsiaalselt tund­ likud andmed. Sageli ilmneb, et rikkumised ei ole põhjustatud pahatahtlikkusest, vaid ebaadekvaat­ sest riskihindamisest, protsesside puudulikkusest või muudatuste (nt personali vahetus, IT­arendu­ sed) ebapiisavast juhtimisest.

Märkimisväärne on ka see, et mitu rikkumist avas­ tati alles tagantjärele – kas kolmandate isikute tea­ vituste, auditite või juhuslike avastuste käigus. See viitab vajadusele paremate seire­ ja logimislahen­ duste järele.

Näiteks tuvastas IT­audiitor ühes riigi äriühingus, et ettevõtte eri infosüsteemide testandmebaasides on kasutusel töötajate pärisandmed.

Riigiasutus edastas seadistusvea tõttu teise asutu­ se andmekogu testkeskkonda andmeid, mis pida­ nuks jõudma päris andmekogusse.

Mitu andmeleket leidis aset eri majutusasutustes. Ühel juhul kasutas ründaja ära VPN­teenuse turva­ nõrkust. Teiste puhul oli põhjuseks turvanõrkus bro­ neerimisteenust osutava ettevõtte infosüsteemis. Majutusasutuses broneeringu teinud inimestele ha­ kati saatma õngitsuskirju, milles paluti broneeringu kehtivuse kinnitamiseks täiendavalt maksevahendi andmed sisestada.

Reisijavedu korraldava ettevõtte töötaja langes õngitsuskirja ohvriks, sisestades kirjas olnud petu­ lingile enda tööprofiili sisselogimisandmed. Kuna ettevõttes oli kasutusel SSO (single sign­on), sai ründaja automaatselt juurdepääsu ettevõtte mitme­ le infosüsteemile.

Seda, et ka paberdokumentide kaitsmisel tuleb jät­ kuvalt hoolas olla, ilmestab järgmine näide. Haigla toidujagamiskärus oli tasku, kus hoiti paberkandjal patsientide toidunäidustusi koos põgusa terviseinfo­ ga – kas patsient on näiteks vaegkuulja või motoor­ se häirega. Ühel patsiendil õnnestus see paber enda valdusesse saada ning ta tegi sellest telefoniga pildi.

Kokkuvõtvalt näitavad 2025. aasta rikkumisteated, et isikuandmete kaitse suurimad riskid ei tulene üksnes keerukatest küberohtudest, vaid sageli iga­ päevastest tööpraktikatest, inimlikest eksimustest ja puudulikest protsessidest. Tõhus andmekaitse eeldab lisaks tehnilistele meetmetele ka teadlikke töötajaid, läbimõeldud sisekordi ning pidevat jä­ relevalvet. Andmekaitse Inspektsioonile esitatud rikkumisteated annavad väärtusliku sisendi enne­ tustegevuste kavandamisele ja andmetöötlejate teadlikkuse kasvatamisele.

16

40

Jõudsid lõpule SA Viljandi Haiglat (4­24­2034), SA Pere Sihtkapitali (4­24­2473) ja Asper Biogene OÜ­d (4­25­326) puudutavad väärteomenetlused. Kuigi kohtud lõpetasid kõik väärteoasjad¹, anti siis­ ki mõned olulised seiskohad, millega saab edaspi­ di menetlustes arvestada.

Viljandi Haigla kaasuses tekkis põhimõtteline kü­ simus IKÜM­ist tuleneva vastutava töötleja kaa­ saaitamiskohustuse ja karistusõigusliku enese mittesüüstamise privileegi ulatusest. Kohus nõus­ tus meiega, et siseriiklikud väärteomenetlust regu­ leerivad õigusnormid (koosmõjus VTMS §­ga 2, § 19 lõike 1 punktiga 4 ja KrMS § 34 lõikega 1 ja § 75 lõikega 2) on vastuolus otsekohalduva IKÜM­i artikli 31 ja artikli 58 lõike 1 punktidega a ja e ula­ tuses, milles need võimaldavad juriidilisest isikust menetlusalusel isikul jätta väärteomenetluses IKÜM­is sätestatud kaasaaitamiskohustus täitma­ ta ning siseriiklikud normid tuleb jätta selles ulatu­ ses kohaldamata. IKÜM­ist tulenev kaasaaitamis­ kohustus kehtib Eestis juriidiliste isikute puhul nii järelevalvemenetluses kui ka väärteomenetluses.

Väärtegude puhul, mis pandi toime enne 01.11.2023, ei ole võimalik juriidilisele isikule mää­ rata rahatrahvi IKÜM­ist tuleneva rikkumise eest. Kohtud leidsid, et menetlusalusele isikule ei saa­

nud olla mõistlikult ette nähtav, et EL­i õigusega pole kooskõlas kuni 31. oktoobrini 2023 kehtinud KarS § 14 regulatsioon². Vastupidine käsitlus lä­ heks vastuollu seaduse määratletuse põhimõttega ning tekkida võib olukord, kus menetlusalune isik võetakse tagasiulatuvalt vastutusele tingimustel, millistel ei oleks teda varem karistada saanud.

Kohus nõustus meie seisukohaga, et olukorras, kus andmekaitsespetsialistiks on ainuisikuline ju­ hatuse liige, kes otsustab muu hulgas ettevõttes andmetöötluse eesmärgid ja vahendid, ei ole või­ malik tagada andmekaitsespetsialisti sõltumatust, kuna tegemist on kahe rolli huvide konfliktiga.

Väärteomenetlusega seotult on 2026. aastal eel­ duslikult oodata kohtulahendit Allium UPI OÜ (4­ 25­3512)³ kaasuses, kus on tekkinud mitu küsi­ must seoses väärteomenetluse, karistusõiguse ja IKÜM­i omavahelise koostoimimisega.

Seoses maksehäirete avaldamisega on jõustunud kaks ringkonnakohtu lahendit4. Ringkonnakohus leidis, et maksehäireregistril on esmajoones ko­ hustus hinnata, kas krediidivõimelisuse hindamise eesmärk on konkreetse juhtumi asjaolusid arves­ tades kaalukam andmesubjekti huvidest ja õigus­ test. IKÜM­i artikli 21 lõikest 1 tuleneva kohustuse

Olulised kohtuasjad17

¹ SA Viljandi Haigla osas lõpetati VTMS § 29 lg 1 p­ i 5 alusel ehk aegumise tõttu, SA Pere Sihtkapital osas lõpetati VTMS § 29 lg 1 p 1 alusel ehk väärteotunnuste puudumise tõttu ja Asper Biogene OÜ osas lõpetati ühe väärteo puhul VTMS § 29 lg 1 p 1 alusel ja teise väärteo puhul VTMS § 30 lg 1 alusel ehk otstarbekuse kaalutlusel.

² Vt ka Riigikohtu 20.06.2024 otsus väärteoasjas nr 4­23­742.

³ Apotheka kliendiandmete lekkega seotud väärteomenetlus, kus AKI määras ettevõttele rahatrahvi summas 3 miljonit eurot.

4 nr 3­23­1168 ja nr 3­23­1839

41

täitmine ei saa olla üksnes formaalne. Kuigi oma „konkreetset olukorda“ saab kirjeldada ja tõendada üksnes andmesubjekt ise, peab vastutav töötleja andmesubjekti õiguste teostamisele kaasa aita­ ma. Maksehäireregistril on kohustus kontrollida, et avaldatavad andmed oleksid seotud võlasuhte rikkumisega, kuid temalt ei saa nõuda otsustamist selle üle, milline tähendus või kaal peaks konkreet­ setel andmetel olema isiku krediidivõimelisuse hindamisel. Andmesubjekti esialgne isikuandmete töötlemisest teavitamata jätmine ei too kaasa and­ metöötleja tegevuse õigusvastasust andmete jät­ kuval avaldamisel. Samuti märkis kohus, et MKS­i § 10 alusel avaldamise ülemäärast kahjustamist hinnates tuleb välisriigis tekkinud nõuete puhul läh­ tuda Eesti õiguses ette nähtud aegumise sätetest.

Maksehäirete teemal on Riigikohtus menetluses kaks sarnast kaasust, mis puudutavad samuti IKÜM­i artikli 21 lõike 1 sisu ja selle kohaldamist. Artikli kirjutamise ajaks ei ole kohus veel otsuseid teinud ning neid on oodata 2026. aasta alguses.

2025. aastal on jõustunud ka kohtulahendid5 ka­ hes asjas seoses vangiregistri päevikukannetega. Tegime vanglale ettekirjutuse, kuid vangla ei olnud nõus seda täitma, mistõttu tuli meil protestiga hal­ duskohtusse pöörduda. Vangid on vangiregistrist

enda isikuandmete töötlemise kohta teavet soovi­ nud. Vanglal on kohustus andmed väljastada, kui ei esine VangS § 52 lõikes 6 ja/või IKS­i § 24 lõikes 2 loetletud asjaolusid.6

Kohtud on olnud seisukohal, et VangS § 52 lõiget 6 ei saa tõlgendada selliselt, et see välistab kõigile kinnipeetavatele kõigi nende kohta vangiregistris­ se kogutud andmete avaldamise julgeolekukaalut­ lusel või manipulatsioonide vältimiseks, sest see muudaks sisutuks VangS § 52 lõikes 4 sätestatud õiguse andmeid saada. Andmete avaldamisest keeldumine peab põhinema enamal kui üldsõna­ lisel viitel julgeolekuriskide ja vangistuse täide­ viimise ohustamisele. Samuti on kohtus leidnud kinnitust, et meil on õigus teha vangla üle haldus­ järelevalvet ja vajadusel teha vanglale ettekirjutus viia isikuandmete töötlemine kooskõlla õigusaktis sätestatuga.

17

5 nr 3­22­454 ja nr 3­21­2254

6 Praegu kehtivas redaktsioonis VangS § 52 lg 7.

42

17 Ajakirjanduslikul eesmärgil isikuandmete avalda­ mine tekitab jätkuvalt palava diskussiooni. Jooks­ va aasta alguses jõustunud kohtuotsuses käsitles kohus isiku õigust olla unustatud, vastandades seda ajakirjandusvabadusele ja artikli ajalooli­ se väärtusele. Kohus leidis, et digiarhiivis isikute anonüümseks muutmisel ei ole tegemist „ajakir­ jandusvabadusse ega internetiarhiivide terviklik­ kusesse sekkumisega“ ega ka artiklite „hilisema muutmisega“, vaid tegemist on isiku eraelu kaitse eesmärgil toimuva teabele juurdepääsu tingimuste muutmisega. Arvestada tuleb sündmusest möö­ dunud aega ja sellest tingitud avaliku huvi langust, aga ka tänapäeva infotehnoloogilisi lahendusi, mis võimaldavad kõikvõimalikku, sh tundlikku teavet lihtsasti leida ja seeläbi isiku eraelu puutumatust kahjustada. Veebiarhiivi anonümiseerimine muu­ dab üksnes teabe kättesaadavuse määra, mitte ei „kustuta“ teavet ajaloo tarbeks.

Lisaks rõhutas kohus, et ei oma määravat täht­ sust, kas avaldatud teave ise käsitleb isiku eraelu, vaid hinnata tuleb seda, millist mõju avaldatud isikuandmed isiku eraelule avaldavad, sõltumata sellest, kas avaldatakse isiku kohta n­ö eraelulisi detaile või muud infot, nt infot isiku süüdimõistmi­ se kohta.

Meil on pooleli veel mitu põhimõttelist kohtuvaid­ lust, milles on eeldatavasti lahendeid oodata 2026. aasta jooksul. Näitena võib tuua kohtuasja, kus vaidluse all on meie tegutsemise võimalused olu­

korras, kus siseriiklik õigusakt on vastuolus IKÜM­ iga. Samuti saab näiteks tuua kohtuasja, kus koh­ tul tuleb kujundada seisukoht, kas isikuandmete kaitse asjas toimuva järelevalvemenetluse raames on meil võimalik üle minna AvTS­i nõuete täitmise kontrollimisele või mitte, olukorras, kus tegemist on olemuselt erinevate järelevalvemenetlustega.

Ringkonnakohtus on menetlusse võtmise otsus­ tamisel meie apellatsioonkaebus halduskohtu otsusele, milles on võtmeküsimuseks asutusele esitatud dokumendi registreerija nime väljastami­ ne teabenõude korras. Meie ei nõustu kohtu sei­ sukohaga, et dokumendiregistris dokumente sal­ vestanud isiku nime avaldamine on tingimusteta kohustuslik ning seda kohustust ei väära ka IKÜM või mõni teine õigusakt.

Ringkonnakohtu seisukohta on oodata ka isiku­ andmete töötlemise alust puudutavas vaidluses, kus andmetöötleja tugineb õigusliku aluse sisus­ tamisel enda kui rahvaesindaja ja andmesubjekti kui ametniku rollidele, leides, et sellises olukorras ei kohaldu isikuandmete avalikustamisele IKÜM ega IKS ning et inspektsioonil järelevalvepäde­ vus puudub. Esimese astme kohus ei nõustunud andmetöötleja seisukohaga, leides, et ametnikuks olemise fakt või ametiülesannete täitmine ei ole iseseisev õiguslik alus isikuandmete töötlemiseks. Lisaks on kohus rõhutanud, et Eestis ei ole Riigiko­ gu liikmete tegevust, sh väljaspool ametiülesanne­ te täitmist, inspektsiooni järelevalve alt välistatud.

43

17

44

2025. aasta oli tihe aasta nii siseriiklikus õigusloo­ mes kui ka Euroopa Liidu omas. Andmekaitse Ins­ pektsioon esitas oma arvamuse 98 siseriiklikule seaduseelnõule ja Euroopa Liidu õigusakti ettepa­ nekule. 2024. aastal oli samaks näitajaks 65, seega on meie kaasamine õigusloomeprotsessi kasvavas trendis.

See tõdemus toob meid ka esimese tähelepaneku juurde. Kuigi inspektsioon on üha enam õigusloo­ messe kaasatud, kui loodav õigusakt puudutab isi­ kuandmete töötlemist, ei ole kõik õigusloojad en­ dale siiski veel inspektsiooni kaasamise vajadust teadvustanud ja ei ole harvad olukorrad, kus meie­ ni­ jõuab info menetluses oleva olulise isikuandme­ te töötlemist puudutava õigusakti kohta alles siis, kui see on juba Riigikogu laual või hoopiski vastu võetud. Kui tahame olla täpsed, peaksime muidugi pigem rääkima meie kaasamise kohustusest, mis tuleneb otse IKÜM­i artikli 36 lõikest 4: see ütleb, et liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

Tervitatav on, et üha enam on hakatud meid kaa­ sama ka enne seda, kui eelnõu ametlikule koos­ kõlastamisele saadetakse. Kui oleme algusest peale protsessis kaasas, aitab see meil paremi­ ni aru saada loodava normi eesmärgist ja sisust

ning anda mõistlikus ajaraamis parimat tagasisi­ det. Oluline on seejuures märkida, et kui meid ka kaasatakse normide väljatöötamise protsessis eri aruteludesse, ei asenda see seda, et eelnõu saade­ takse ametlikult arvamuse saamiseks, kui eelnõu kooskõlastusringile läheb. Meie jaoks on oluline näha paberile pandud lõpptulemust, et saaksime veenduda, kas arutelude käigus on üksteisest õi­ gesti aru saadud ja kas tulem peegeldab meie et­ tepanekuid.

Minnes siit edasi sisuliste küsimuste juurde, on alljärgnevalt välja toodud mõned tähelepanekud, mis on meie lauale jõudnud eelnõude peamised murekohad.

Eesmärk. Igasuguse isikuandmete töötlemise pu­ hul on alati kõige olulisem esimese asjana sõnas­ tada, mis on töötlemise eesmärk ehk vajadus, mis isikuandmete töötlemise tingib. Ikka veel näeme aeg­ajalt sõnastusi – õnneks küll kahaneval hulgal –, kus andmete töötlemise eesmärk on piltlikult öel­ des töödelda andmeid.

Eesmärgi sõnastamisel tuleb silmas pidada ka seda, et see peab olema piisavalt selgelt piiritletud ja selle sisu üheselt mõistetav. Vastasel juhul on raske hinnata, kas seaduses nimetatud andmete töötlemine on eesmärgiga kooskõlas ja kas päri­ selt ei ole eesmärk saavutatav ilma nende andmete töötlemata.

Õigusloome tähelepanekud ja soovitused

õigusloojatele 2026. aastaks18

45

Andmekogude osas tahaks veel eraldi rõhutada, et norm peab andma vastuse küsimusele, milli­ sel eesmärgil ja milliste ülesannete täitmiseks on vaja andmekogu asutada. Näiteks „avaliku korra kaitsmine“ andmekogus tehtava andmetöötluse eesmärgina on liiga lai, sest see ei anna vastust küsimusele, milliste ülesannete lihtsustamiseks on andmekogu vajalik.

Isikuandmete koosseis. Seaduses peab ammen­ davalt sätestama eesmärgi täitmiseks töödel­ davate isikuandmete kategooriad, põhjendades seletuskirjas iga kategooria töötlemise vajadust. Andmekogude puhul ei pea seaduse tasandil ük­ sikasjalikult loetlema kõiki isikuandmeid, kuid esi­ tada tuleb isikuandmete kategooriad selliselt, et oleks võimalik aru saada, mis liiki andmeid kogu­ takse. Lisaks seadusele tuleb andmekogude puhul kehtestada ka põhimäärus ja see peab sisaldama andmekogusse kogutavate andmete täpset am­ mendavat loetelu. Näiteks ei saa põhimääruses­ se kirja panna, et andmekogus sisalduvad „muud andmed“, vaid kirja tuleb panna nende muude and­ mete loetelu.

Volitusnorm. Selge on see, et kõiki detaile ei ole ala­ ti kas võimalik või mõistlik (või mõlemat) seaduse tasandil sätestada ning nähakse ette volitusnorm täpsemaks reguleerimiseks, näiteks ministri mää­ rusega. Sageli eksitakse volitusnormi sõnastamisel sellega, et norm ei kata kõike, mida hiljem täpsus­

tada soovitakse. Kui seaduse säte ei anna näiteks ministrile selgesõnalist volitust reguleerida isiku­ andmete säilitustähtaegu (olukorras, kus seaduses on määratletud maksimaalne tähtaeg), siis ei ole ka ministri määrusega võimalik tähtaegu sätestada (vt ka järgmine lõik). Seega tuleb kogu andmetöötluse protsess paralleelselt õigusloomega läbi mõelda ja kõik see, mida soovitakse reguleerida madalama taseme õigusaktiga, täpselt seaduse volitusnormi kirja panna.

Säilitustähtajad. Isikandmete säilitamine kindlalt määratud tähtajaga – sealjuures arvestades, et andmeid ei tohi töödelda (sh säilitada) pikemalt kui eesmärgi täimiseks vajalik – on üks IKÜM­i (ar­ tikkel 5) isikuandmete töötlemise aluspõhimõte. Kuna alati ei ole seaduse tasandil võimalik täpset säilitustähtaega määrata, võib seadusesse kirja panna maksimaalse tähtaja ning seda küsimust de­ tailsemalt reguleerida näiteks ministri määrusega, eeldusel, et seaduses on olemas selge volitusnorm (vt ka eelmine lõik). Kui andmete kustutamine toi­ mub perioodiliselt, tuleb ära kirjeldada, milline on kustutamise protsess ja see peab alati toimuma maksimaalse tähtaja sees. Andmete kustutamata jätmine pärast tähtaja saabumist tähendab andme­ te edasist töötlemist, kuid seda juba ilma õigusliku aluseta. Seega juhul, kui andmete kustutamine toi­ mub kindlaksmääratud perioodi jooksul (nt üks kord kuus või aastas), siis tuleb ka kustutamise tähtaega eraldi reguleerida.

18

46

18 Andmekogude osas tasub välja tuua veel paar täiendavat mõtet nende spetsiifikast tulenevalt.

1 Esiteks, kuna AvTS keelab samade andmete kogumise eri andmekogude põhiandmetena, tuleb välja tuua, mis on selle andmekogu unikaalsed põhiandmed ja millised andmed on saadud

teistest andmekogudest. Sealjuures on oluline mainida, et kui samu andmeid kogutakse juba teise andmekogusse, tuleb need võtta sealt, mitte hakata looma nende kogumiseks uut paralleelset and­ mekogu. See omakorda tähendab, et põhimääruses tuleb selgelt ära reguleerida, millistest teistest andmekogudest (andmeandjad) milliseid andmeid saadakse (andmekoosseis).

2 Teiseks, andmekogu põhimääruses peab kindlasti kirjas olema see, milline asutus millist rolli seoses andmekogu pidamisega täidab ning millised on tema rolliga seotud ülesanded. See

tähendab, et tuleb kirjeldada, milliseid ülesandeid täidab andmekogu vastutav töötleja ja milliseid volitatud töötleja, kui ta on määratud (näiteks kes haldab kasutajaõigusi, kes vastab päringutele, kes arendab andmekogu jne). Siinjuures tuleb aga eristada IKÜM­ist tulenevat isikuandmete vastutava töötleja rolli ja AvTS­ist tulenevat vastutava töötleja ehk andmekogu haldaja rolli. Kui andmekogu kau­ du täidavad seadusest tulenevat ülesannet mitu asutust, siis võib tegemist olla isikuandmete kaas­ vastutavate töötlejatega ning sellisel juhul tuleb isikuandmete kaasvastutavad töötlejad juba seaduse tasandil kindlaks määrata. Andmekogu põhimääruses tuleb sätestada, milliseid IKÜM­ist tulenevaid kohustusi milline kaasvastutav töötleja täidab. See on muu hulgas oluline nende ülesannete osas, mis puudutavad andmesubjektide õigusi ja nende teostamist (näiteks kes vastab IKÜM­i artiklis 15 kirjeldatud juurdepääsutaotlustele, kes teavitab vajadusel andmesubjekte andmelekkest jms).

3 Kolmandaks on meile silma jäänud, et tihti ei käi andmekogu arendamine käsikäes õigusloo­ mega. Näiteks on 2025. aastast välja tuua juhtum, kus andmekogu varasemalt kehtivad sätted

tühistati seoses uue andmekogu arendamisega, mis ei saanud aga tähtaegselt valmis. Kuna uut põhimäärust vastu ei võetud, toimus andmetöötlus edasi, sh andmevahetus teiste osapooltega, kuid mingil perioodil puudusid reeglid, kuidas ja millistel tingimustel andmevahetus toimub.

47

18

Lõpetuseks toome välja veel üks markantse näite, kus just ühe sellise andmekoguga seotud muudatused jõudsid meie lauale, aga üllatuslikult ei olnud eelnõuga esialgu plaanis põhimääruses vananenud ja andme­ töötluse tegelikkusele mittevastavaid sätteid muuta.

4 Neljandaks on täiesti omaette küsimus kõikide nende andmekogudega, mille põhimäärused on tehtud nii ammu, et need baseeruvad veel kunagi kehtinud andmekogude seadusel. Need

põhimäärused ei ole tihti kooskõlas tänaste nõuetega, mis põhimäärustele ette on nähtud ja tuleks tegelikult andmekogu haldajatel uuendada.

48

Andmed on tänapäeva majanduse vereringe, mis on oluline innovatsiooniks, konkurentsivõimeks ja parimate teenuste loomiseks pea igas sektoris. See, kui palju on meil praegu andmeid, milline on mahuline võimekus neid töödelda ja milleks kõi­ geks neid kasutada saab, oleks veel paar dekaadi tagasi kuulunud pigem ulmeklassika valdkonda. Andmeinnovatsiooniga käsikäes on käinud aga ka ohud, mis murendavad inimeste usaldust and­ metöötlejate vastu – küberkurjategijad on pea sama nutikad kui parimad innovaatorid ja ük­ sikisikul on juba pea võimatu pidada järge, kes, mida ja kui palju tema kohta teab ning mida selle alusel järeldada suudab. Seega peab andmetest suurima väärtuse loomiseks leidma tasakaalu, kus privaatsus ja innovatsioon käivad käsikäes, turvalisus on tagatud ja andmesubjektid teadli­ kud, kuidas nende andmeid töödeldakse. Üheks instrumendiks kõige eeltooduga tegelemiseks Euroopa Liidu tasandil oli õigusettepanekute pa­

kett, mida tuntakse suure viisiku (big 5) nime all ning mis sisaldas endas (ettepanekute tegemise järjekorras) andmehalduse määrust, digiturgu­ de määrust, digiteenuste määrust, tehisintellekti määrust ja andmemäärust. Praeguseks on kõik viidatud aktid läbinud edukalt Euroopa Liidu kaa­ sotsustusmenetluse ning suurem osa neist üle­ tanud ka rakendustähtaja finišijoone. Järgnevalt leiate lugemist nelja määruse kohta – eesmärgiks on aidata kaasa nende sisu ja mõju mõistmisele. Lõpetuseks olgu mainitud, et Euroopa andme­ majanduskeskkond ei ole veel kaugeltki valmis ja areneb tempokalt edasi. Selleks et kiiresti muutu­ va maailmaga sammu pidada, on Euroopa Komis­ jon eelmise aasta novembris tulnud välja digitaal­ se ja tehisintellekti omnibussi algatusega, mille eesmärgiks on ettevõtjate jaoks majanduskesk­ konda lihtsustada ja innovatsiooni toetada. Muu hulgas on selle raames tehtud ettepanek muuta

Privaatsust austava turvalise Euroopa andmemajanduse kujundamine19

49

osasid isikuandmete kaitse üldmääruse funda­ mentaalseid sätteid. Kuigi oleme aastaraamatu kirjutamise hetkel veel oma seisukohta nende muudatusettepanekute suhtes kujundamas, siis ühte võib juba kindlasti öelda: aasta 2026 saab olema andmemaailmas sama põnev ja toimekas, kui seda on olnud paar eelnevat aastat.

19

50

Üks õigusakt, mis kuulub hiljuti vastu võetud Euroo­ pa Liidu andmealaste õigusaktide „suurde viisikus­ se“, on eelmisest aastast kohaldatav digiteenuste määrus. Digiteenuste määruse eesmärk on luua Euroopa Liidus tarbijatele ja ettevõtjatele turvalisem veebikeskkond. Selleks kehtestab määrus raamis­ tiku ebaseadusliku sisuga võitlemiseks, andes ka­ sutajatele suurema kontrolli selle üle, mida nad in­ ternetis näevad. Muu hulgas tagatakse kasutajatele võimalus ebaseaduslikku sisu (näiteks vihakõne ja desinformatsiooni) kergesti märgistada ning keh­ testatakse kohustused seoses kauplejate jälgitavu­ sega internetipõhistes kauplemiskohtades. Teatud olukordades võib digiteenuste määruse nõuete täitmine kaasa tuua ka vajaduse isikuandmeid töö­ delda. Sellisel juhul on vajalik täiendavalt arvesse võtta ka isikuandmete kaitse üldmäärusest (IKÜM) tulenevaid nõudeid. Euroopa Andmekaitsenõuko­ gu (andmekaitsenõukogu) on digiteenuste määru­ se ning isikuandmete kaitse koosmõju käsitlenud 2025. septembris vastu võetud suunistes. Käesole­ vas artiklis avatakse olulisemaid suunistes käsitle­ tud puutekohti, millele vahendusteenuste osutajad tähelepanu pöörama peaksid.

Ebaseadusliku sisu tuvastamine ja selle vastu meetmete võtmine

Digiteenuse määrus käsitleb vabatahtlikke meet­ meid ebaseadusliku sisu tuvastamiseks. Andme­ kaitsenõukogu suunistes selgitatakse, et ebasea­ dusliku sisu tuvastamine ja sellega seonduvate

meetmete võtmine võib hõlmata isikuandmete tööt­ lemist. Igasuguseks isikuandmete töötlemiseks on vajalik aga IKÜM­i artikli 6 kohane õiguslik alus. Ebaseadusliku sisu modereerimise kontekstis võib olenevalt olukorrast sobivaks aluseks olla IKÜM­i artikli 6 lõike 1 punkt c või f.

Teavitus- ja meetmete võtmise mehhanismid ning ettevõttesisesed kaebuste menetlemise süsteemid

Digiteenuste määrus nõuab, et vahendusteenu­ se osutajad looksid süsteemid, mis võimaldaksid kasutajal lihtsal ja kasutajasõbralikul viisil teata­ da teenusekeskkonnas leiduvast ebaseaduslikust sisust. Teavituse esitajaid tuleb teavitada otsus­ test, mis on teates käsitletud teabega seoses teh­ tud. Digiplatvormidest vahendusteenuse pakkujad peavad lisaks tagama võimaluse sellised otsused ettevõttesisese kaebuste menetlemise süstee­ mi kaudu vaidlustada. Siinkohal on oluline silmas pidada võimalikult väheste andmete töötlemise põhimõtet ning koguda üksnes eelkirjeldatud toi­ mingute jaoks vajalikke isikuandmeid. Teate esita­ ja isiku tuvastamine peaks olema nõutav üksnes juhul, kui see on vajalik, et teha kindlaks, kas teave kujutab endast ebaseaduslikku sisu. Lisaks on olu­ line tähele panna, et digiteenuste määruse kohaste kaebuste menetlemise süsteemide kasutuselevõt­ mine ei piira andmesubjektide IKÜM­ist tulenevaid õigusi digiplatvormide kui vastutavate töötlejate suhtes.

Digiteenuste määruse nõuete ja isikuandmete kaitse koosmõju20

51

Kasutajaliides: petlikud kujundusmustrid, soovi- tussüsteemid, reklaamide läbipaistvus

Digiteenuste määrusega keelatakse petlike kujun­ dusmustrite kasutamine, kuid erandina ei kohal­ data seda tavadele, mis kuuluvad IKÜM­i kohalda­ mise alasse. Seetõttu on oluline analüüsida, kas kujundusmuster hõlmab isikuandmete töötlemist ja mõjutab andmesubjekti käitumist. Samuti kee­ latakse määruses eriliiki isikuandmete kasutamine profiilianalüüsil põhinevate reklaamide näitami­ seks. Selline keeld täiendab IKÜM­i artikleid 9 ja 22, mis tähendab, et keeld kohaldub ka olukorras, kus vahendusteenuse osutajal võiks muul juhul olla IKÜM­ist tulenev õiguslik alus ning sobiv erand isikuandmete töötlemiseks. Sageli kasutatakse digi platvormide kasutajaliideses ka isikuandmetel põhinevaid soovitussüsteeme, et kasutajale näi­ datava sisu järjekorda isikupärastada või kindlat sisu esile tõsta. Oluline on tähele panna, et sellise soovitussüsteemi kaudu sisu esitamine võib olla „otsus“ IKÜM­i artikli 22 tähenduses siis, kui sellel on kasutajale märkimisväärne mõju. Kui pakutakse eri soovitussüsteeme, siis tuleks valikud esitada ka­ sutajale neutraalselt, st kasutajat ei tohiks kallutada valima profiilianalüüsil põhinevat soovitussüsteemi.

Alaealiste kaitse

Digiteenuse määruses pööratakse eraldi tähele­ panu ka alaealiste kaitsele. Määrus kohustab digi­ platvormide pakkujaid kehtestama meetmeid, et tagada alaealistele kõrge kaitsetase, lisaks keela­ takse alaealistele profiilianalüüsil põhineva reklaa­ mi esitamine. Andmekaitsenõukogu möönab oma suunistes, et digiteenuste määruse vastavad sätted võivad kvalifitseeruda isikuandmete töötlemise õi­ guslikuks aluseks IKÜM­i artikli 6 lõike 1 punkti c alu­ sel. Selline töötlemine peab aga olema vajalik ning proportsionaalne, seejuures peab vastutav töötleja suutma tõendada nende tingimuste täitmist. Alaea­ liste kaitse vajadust tuleb tasakaalustada vajaduse­ ga kaitsta kõigi veebiplatvormide kasutajate eraelu puutumatust. Seetõttu tuleks vältida vanusekontrol­ li käigus kasutajate isiku täpset tuvastamist ning va­ nusekontrolli protsessi tulemusel kogutud andmete püsivat säilitamist.

Täpsema ülevaate saamiseks digiteenuste määru­ se ja IKÜM­i koostoime kohta soovitame tutvuda andmekaitsenõukogu suunistega.

20

¹ European Data Protection Board. Guidelines 3/2025 on the interplay between the DSA and the GDPR Version 1.1. Adopted on 11 September 2025.

² Tutvu ka Andmekaitsenõukogu suunistega 03/2022: Petuelemendid sotsiaalmeediaplatvormide kasutajaliidestes: kuidas neid ära tunda ja vältida. Versioon 2.0. Vastu võetud 14. veebruaril 2023. Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them | European Data Protection Board.

52

Euroopa Liidu digiandmeid reguleerivate õigusaktide ja isikuandmete kaitse koosmõju

Andmemäärus: õiglase andmete jagamise raamistik. Andmemääruse peamine eesmärk on tagada õiglane juurdepääs andmetele ja nende jaga­ mine digitaalses majanduses olukordades, kus andmed tekivad ühendatud seadmete või seotud teenuste kasutamisel. Määrus loob raamistiku, mis võimaldab andmesubjektidel (andmemääruse mõistes ka kui tarbija) kont­ rollida oma andmete kasutamist ja jagamist ning määrab andmevaldajatele selged kohustused andmete turvaliseks ja õiguspäraseks haldamiseks. Sa­ muti toetab andmemäärus innovatsiooni ja konkurentsi, luues kindla ja lä­ bipaistva aluse andmete jagamiseks kolmandate isikutega tarbija taotlusel. Määrus reguleerib lisaks (isiku)andmete jagamist avaliku sektori asutuste­ ga erakorralise vajaduse korral.

Euroopa Liidu õigusruum on viimastel aastatel kiiresti kujunenud ühtseks ja mitmekihiliseks andmemajan­ duse raamistikuks. Kui isikuandmete kaitse üldmääruse (edaspidi IKÜM) rakendumine 2018. aastal tähistas murrangut andmekaitseõiguses, siis praeguseks on sellele lisandunud mitu uut õigusakti, mille eesmärk on kõikide digitaalsete andmete kasutamist ja haldamist reguleerida.

Selle artikli keskmeks on uutest õigusaktidest andmemäärus (Data Act, edaspidi DA) ja andmehalduse mää­ rus (Data Governance Act, edaspidi DGA). Mõlemad õigusaktid mõjutavad ettevõtjate andmekäitlust ning loovad uusi kohustusi ja võimalusi, mis omakorda peavad olema kooskõlas isikuandmete kaitse üldpõhimõ­ tetega. IKÜM on samal ajal oluliseks alusraamistikuks, millega uued õigusaktid horisontaalselt suhestuvad.

21

1

53

1.2

1.1 Kasutaja õigus ühendatud toote kasutamisel loodud andmetele. IKÜM regu­ leerib andmesubjekti juurdepääsu oma isikuandmetele. Andmemäärus regu­ leerib juurdepääsu ühendatud toodete kasutamisel loodud andmetele laiemalt, andes kasutajale võimaluse ligi pääseda ka isikustamata andmetele, mis on loodud kasutajaga seotud ühendatud toote või seotud teenuse kasutamisel. Selline juurdepääs andmetele peab kasutajal olema reaalajas või taotluse alu­ sel masinloetaval kujul.

Ettevõtted peavad oma läbipaistvustingimustes juba enne ühendatud toote müüki või teenuselepingu sõlmimist selgelt teatama, milliseid andmeid on või­ malik taotleda, et tagada kasutajale teadlik ligipääs oma andmetele.

Kasutajaks ei ole alati vaid tarbija. Näiteks võib tarbija kasutada ühendatud too­ det rendilepingu alusel, kuid ühendatud toode ei kuulu talle. Sellisel juhul on ka­ sutajaks nii tarbija kui ka toote omanik. Mõlemal kasutajal on õigus ühendatud toote kasutamise käigus tekkinud (isiku)andmetele.

Andmesubjekti õigus andmete jagamisele kolmandatele isikutele. Andme­ määruse üks keskseid uuendusi on tarbija õigus nõuda oma andmete jagamist kolmandale isikule. Tarbija võib määrata, milliseid andmeid jagatakse ja kellele, ning andmevaldajal on kohustus need andmed kättesaadavaks teha. Selline jagamine kolmandale isikule toimub IKÜM­i mõistes nõusoleku alusel, kuna oluliseks faktoriks on tarbija taotlus andmete jagamiseks.

Jagatavad andmed peavad olema samaväärsed nendega, mida andmevaldaja jagaks otse tarbijale. Andmevaldaja saab andmed kolmandale isikule kättesaa­ davaks teha näiteks andmehalduse määruses reguleeritud turvalise andmeva­ hendusplatvormi kaudu.

21

54

1.3

2

2.1

21 Avaliku sektori vajadused ja erakorralised olukorrad. Andmemäärus sätes­ tab ka kohustuse jagada andmeid avaliku sektori asutustega vastava taotluse alusel erakorralise vajaduse korral, kui andmeid ei ole võimalik muul viisil õigel ajal ja tulemuslikult hankida. Määruse kohaselt peab selline erakorraline vaja­ dus olema ajaliselt ja ulatuselt piiratud. Juhul, kui tegemist on eriolukorraga, on avaliku sektori asutusel õigus taotleda isikustatud andmeid. Ettevõtted peavad tagama, et selliste olukordade korral oleks loodud selged protsessid, mis või­ maldavad isikuandmete turvalist ja kontrollitud edastamist, sealhulgas tehnili­ sed ja korralduslikud meetmed, et tagada andmete terviklikkus, konfidentsiaal­ sus ja jälgitavus. Võimaluse korral tuleb isikuandmete edastamisel kohaldada kaitsemeetmeid, näiteks andmed pseudonüümida .

Andmehalduse määrus: usalduse ja läbipaistvuse raamistik. Andmehalduse määrus täiendab andmemäärust, luues mehhanismid andmete jagamise usal­ dusväärsuse suurendamiseks. Määrus reguleerib ettevõtjate poolelt andmete vahendajaid ja andmealtruismi organisatsioone ning avaliku sektori poolelt või­ malust anda juurdepääsupiiranguga andmeid taaskasutamiseks.

Andmevahendusteenuse osutajad ning andmealtruismi organisatsioonid. Andmevahendusteenuse osutajad tegutsevad sõltumatute vahendajatena, kelle ülesanne on luua ettevõtjatele ja üksikisikutele usaldusväärsed ning tur­ valised andmete jagamise mehhanismid. Andmealtruismi organisatsioonid võimaldavad seevastu isikuandmete loovutamist näiteks nõusoleku alusel, eeskätt teadusuuringuteks, innovatsiooniks või avalike teenuste arendamiseks. Nõusoleku standardvormi kehtestab Euroopa Komisjon.

Isikuandmete kontekstis tähendab see, et andmete vahendamine ega altruistlik kasutamine ei tohi toimuda väljaspool IKÜM­i raamistikku ning isikuandmete töötlemisel peab andmetöötleja olema veendunud õigusliku aluse olemasolus.

55

2.2

3

21 Avaliku sektori juurdepääsupiiranguga andmete taaskasutamine. Andme­ halduse määruse avaliku sektori andmete taaskasutamise regulatsioon kuju­ tab endast sisulist täiendust avaandmete direktiivile. Kui avaandmete direktiivi eesmärk on tagada, et avaliku sektori valduses olevad juurdepääsupiiranguta andmed oleksid ühiskonnale võimalikult laialdaselt kättesaadavad, siis and­ mehalduse määrus laiendab seda lähenemist valdkondadesse, kus andmete täielik avalikustamine ei ole lubatud ärisaladuse, intellektuaalomandi kaitse, statistilise konfidentsiaalsuse või isikuandmete kaitse tõttu.

Andmehalduse määrus reguleerib piiratud juurdepääsuga andmestike kasuta­ mise võimalust juhul, kui avaliku sektori asutus on selle andmestiku taaskasu­ tamise tingimused ette näinud. Taaskasutaja võib taotleda, et avaliku sektori asutus annaks andmed taaskasutamiseks pseudonüümitud kujul, kui taaska­ sutaja on teinud IKÜM­i kohase mõjuhinnangu, konsulteerinud inspektsiooniga ning isikuandmete töötlemiseks on olemas õiguslik alus.

Pilk tulevikku. Digitaalsete õigusaktide rägastikus orienteerumine nõuab ette­ võtjatelt olulist ressurssi. Selle lihtsustamiseks avaldas Euroopa Komisjon 19. novembril 2025 digitaalsete õigusaktide lihtsustamise ettepaneku, mis pakub välja muudatused muu hulgas andmemääruse, andmehalduse määruse ja isi­ kuandmete kaitse üldmääruse muutmiseks.

¹ Alates 2019. aastast on lisandunud üle 100 digitaalsete andmete käsitlemist reguleeriva õigusakti. Andmemäärus, andmehalduse määrus ja digiteenuste määrus on omavahel tihedalt seotud.

² Pseudonüümimise kohta on Euroopa Kohus 04.09.2025 öelnud lahendis SRB vs EDPS, kui saaja ei oma ligipääsu lisateabele ega tehnilisi ega õiguslikke võimalusi isikuid taasidentifitseerida, võib pseudonüümne teave tema jaoks muutuda selliseks, et andmesubjekti ei peeta enam identifitseeritavaks (st tegemist oleks anonüümsete andmetega).

56

2025. aastal kulmineerus Euroopa Andmekaitse­ nõukogu (EAKN) ja Euroopa Komisjoni ühine pro­ jekt Digiturgude määruse (DMA) ja Isikuandmete kaitse üldmääruse (IKÜM) koosmõju suuniste alal. Ühised suunised selgitavad, kuidas pääsuvalitsejad saavad DMA sätteid kooskõlas EL­i andmekaitseõi­ gusega rakendada.

Suunised kirjutati algselt ainult EAKN­i siseselt selle konkurentsiõiguse ja tarbijakaitse õiguse alagrupis ja selle liikmete panustel, kuid kahe aasta jooksul ühines kirjutamisega Euroopa Komisjon. Suuniste kirjutamisse panustas ka Andmekaitse Inspekt­ sioon. Kuna õigusakt puudutas üksikasjalikult nii andmekaitseõigust ja selle mõisted, mis on EAKN­i pädevuses, kui ka konkurentsiõigust, mis on Komis­ joni pädevuses, otsustati, et ühiste koosmõju suu­ niste valmistamine, kus üksmeelt ja vastastikust mõistmist leitakse võimalikult vara, on õige tee.

DMA on eelkõige konkurentsiõiguse instrument, mille eesmärk on tagada Euroopa Liidu digisekto­ ris konkurentsile avatud ja õiglased turud, millest saavad kasu füüsilistest või juriidilistest isikutest tavalised kasutajad (lõppkasutajad) ja ettevõtted, kes kasutavad digiplatvorme ärilistel eesmärkidel (ärikasutajad). DMA seab kohustusi suurtele teh­ noloogiaettevõtetele, kes haldavad digiplatvorme ja pakuvad põhiplatvormiteenuseid nagu sotsiaal­ meediateenused, veebibrauserid, sõnumiteenused, otsingumootorid ja muud veebipõhised teenused. Põhiplatvormiteenused on suurte kasutajaskonda­ dega platvormid, mille kaudu pääsuvalitsejad on saanud digiturge oma huvides mõjutada.

Pääsuvalitsejate hulka kuulub näiteks selline ette­ võtte nagu Meta, kes pakub muuhulgas põhiplat­

vormiteenuseid nagu sotsiaalmeediateenused (Facebook, Instagram), sõnumiteenuseid (Messen­ ger, Whatsapp) ja internetireklaamteenused (Meta Ads). Teiselt poolt on pääsuvalitsejate hulgas ka ettevõtteid, kes pakuvad ainult ühte põhiplatvormi­ teenust – näiteks Booking.com, kes pakub ainult veebipõhist vahendusteenust (vahendusteenust majutuste leidmiseks).

Uued õigused ja kohustused

Uus määrus lisab kohustusi digihiiglastele ning pa­ kub ka tarbijatele ehk lõppkasutajatele hulga uusi õiguseid, mis täiendavad nende IKÜM­ist tulene­ vaid õigusi. Üks olulisemaid sätteid DMA­s on artikli 5 lõige 2, mis keelab pääsuvalitsejal lõppkasutajate isikuandmetega teatud töötlemistoiminguid teha, sealhulgas:

• töödelda kolmandate isikute teenustelt saadud lõppkasutajate isikuandmeid reklaamide pakkumiseks;

• kombineerida isikuandmeid eri põhi­ platvormiteenuste vahel või kolmandate isikute teenustelt saadud andmetega;

• ristkasutada põhiplatvormiteenuse kau­ du saadud isikuandmeid muude teenus­ te puhul, mida pääsuvalitseja eraldi osu­ tab;

• logida lõppkasutajaid automaatselt sisse pääsuvalitseja muudesse teenus­ tesse, et isikuandmeid kombineerida.

22 Andmekaitse ja konkurentsi- õiguse põimumine digimaastikul: Isikuandmete kaitse üldmääruse ja Digiturgude määruse koosmõju suunised

57

22 Kohustus nendest toimingutest hoiduda aga ei keh­ ti, kui kasutajale on antud selge valikuvõimalus ja ta annab oma nõusoleku, mis vastab IKÜM­i nõuetele (vabatahtlik, konkreetne, teadlik ja ühemõtteline tah­ teavaldus). Suunistes täpsustatakse üksikasjaliku­ malt, kuidas pääsuvalitsejad peaksid neid elemente arvesse võtma, et IKÜM­ist tulenevaid nõudeid täita.

DMA on seadnud eesmärgiks tagada, et isikuand­ mete töötlemisest keeldumisel ei pea kasutajad siiski loobuma mõne teenuse kasutamisest. Kui lõppkasutaja keeldub oma isikuandmetega nime­ tatud toimingute tegemisest, peab pääsuvalitseja pakkuma oma platvormil vähem isikustatud, kuid samaväärset alternatiivi ilma, et teenus või selle funktsioonide kasutamine lõppkasutaja nõusole­ kust sõltuks. IKÜM­i vaatest on see hea eesmärk ja tervitatav areng, et teenuse kasutamise võimalus ja kvaliteet ei sõltuks isikuandmete töötlemisest.

DMA tutvustas ka uut õigust andmete ülekantavu­ sele DMA alusel, mis on mõeldud täiendama IKÜM­ ist tulenevat õigust andmete ülekantavusele. Selle kohustuse eesmärk on võimaldada lõppkasutajal tõhusalt platvorme vahetada või samal ajal mitut platvormi kasutada. Taotluse ülekantavusele võib teha nii lõppkasutaja kui ka tema volitatud kolmas isik selliste andmete kohta, mida kasutaja on esita­ nud või mis on loodud tema platvormi kasutamise tulemusena.

DMA täitmine

Komisjon on valvanud pääsuvalitsejate kohustuste täitmist põhiplatvormiteenustel ning 2025. aasta jooksul kuulutanud välja paar DMA täitmata jätmist käsitlevat otsust. Märkimisväärne otsus 2025. ap­

rillist puudutab Meta nõustu­või­maksa­mudelit. Meta tutvustas 2024. aasta märtsis Facebookis ja Instagramis mudelit, kus kasutajad pidid kas andma nõusoleku oma isikuandmete kombinee­ rimiseks isikupärastatud reklaamide pakkumise eesmärgil või maksma reklaamivaba teenuse eest tasu. Komisjon leidis, et sellise mudeliga ei pakku­ nud Meta lõppkasutajatele piisavat valikuvõima­ lust ning trahvis ettevõtet 200 miljoni euroga. Sar­ nase kriitilise hinnangu andis ka EAKN oma 2024. aprilli arvamuses, kus järeldas, et enamikul juhtu­ del ei ole suurtel digiplatvormidel võimalik kehtiva nõusoleku nõudeid täita, kui nad seavad kasutajad vaid kahe valiku ette: kas nõustuda isikuandmete töötlemisega käitumispõhise reklaami eesmärgil või maksta tasu.

Piisava valikuvõimaluse andmine on ettevõtetele kohustuslik nii IKÜM­i kui ka DMA kontekstis. Sar­ nased otsused näitavad, et lõppkokkuvõttes seis­ takse kahes asutuses sarnaste eesmärkide eest, kuid kasutades erinevaid õigusinstrumente.

Need ühised suunised rajavad teed ka teistele koostööprojektidele andmekaitseasutuste ja ko­ misjoni vahel tänapäeva õigusmaastikul, kus õi­ gusvaldkonnad kattuvad aina tihemini. Andmekait­ senõukogu ja komisjon on hetkel välja töötamas ka ühiseid tehisintellekti määruse ja andmekaitse­ õiguse koosmõju suuniseid.

58

20 25

Te ge

vu sn

äi ta

ja d

2025. aasta sissetulnud selgitustaotluste (selgitus- taotlused, märgukirjad, nõudekirjad, teabenõuded, sh meediapäringute arv) sisuline jaotus

Kaamera 7%

Sotsiaalmeedia 5%

Haridus 5%

Korteriühistud 4% * kokku 1784

Muu 69%

Tervishoid 9%

Selgitustaotlused, märgukirjad, nõudekirjad, teabe- nõuded, sh meediapäringute arv viie aasta võrdluses

0 20242021 2022 2023

500

1000

1500

2000

2500

1742

2025

1784 1923

1399

2052

2025

59

20 25

Te ge

vu sn

äi ta

ja d

Nõuandetelefonile tulnud kõned

Muu 12,4%

IKS (isikuandmete kaitse seadus) 77,2%

* kokku 1383 * kokku 46

AvTs (avaliku teabe seadus) 9%

ESS (elektroonilise side seadus) 1,4%

Omaalgatuslikud järelevalvemenetlused viie aasta võrdluses

2025. aasta omaalgatuslike järelevalvemenetluste valdkondlik jaotus

2021 2022 2023 0

10

20

30

40

50

60

70

30

37

53

2024

73

2025

46

Tervishoid 13%

Haridus 11%

Muu 46%

Andmeleke 30%

Nõuandetelefonile tulnud kõned viie aasta võrdluses

2021 2022 2023 0

250

500

750

1000

1250

1500

1750

1350

1028

1182

2024

1531

2025

1383

20 25

2025

60

Nõuandetelefonile tulnud kõned

Muu 12,4%

IKS (isikuandmete kaitse seadus) 77,2%

* kokku 1383 * kokku 46

AvTs (avaliku teabe seadus) 9%

ESS (elektroonilise side seadus) 1,4%

Omaalgatuslikud järelevalvemenetlused viie aasta võrdluses

2025. aasta omaalgatuslike järelevalvemenetluste valdkondlik jaotus

2021 2022 2023 0

10

20

30

40

50

60

70

30

37

53

2024

73

2025

46

Tervishoid 13%

Haridus 11%

Muu 46%

Andmeleke 30%

Nõuandetelefonile tulnud kõned viie aasta võrdluses

2021 2022 2023 0

250

500

750

1000

1250

1500

1750

1350

1028

1182

2024

1531

2025

1383

20 25

2025

61

2025. aasta enim rikkumisteateid edastanud valdkondade jaotus

Muu 38%

Haridus 6%

Tervishoid 11%

* kokku 251

Puudutatud isikute arv Eestis ja välismaal kokku 3 030 325

* kokku 1380

Transport ja logistika 4%

IKT 16% (info- ja kommuni-

katsioonitehnoloogia)Finants 25% (krediidiinfo, finants- ja kindlustustegevus)

2021 2022 2023

Rikkumisteadete arv viie aasta võrdluses

250

200

150

100

50

0 2024

145 154

197 184

2025

251

Kaebuste ja vaiete (sh AKI otsuste osas) arv viie aasta võrdluses

2021 2022 2023 0

200

400

600

800

1000

1200

1400

1600

693

936

1068

2024

889

2025

1568

2025. aasta kaebuste sisuline jaotus

Otseturustus 4%

Maksehäireregistrid 7%

Sotsiaalmeedia 17%

Muu 20%

Ajakirjandus 4%

Tervishoid 8%

Avalik sektor 13%

Erasektor 13%

Töösuhted 3%

Infoportaalid 2%

Jälgimisseaded 9%

20 25

2025

62

2025. aasta enim rikkumisteateid edastanud valdkondade jaotus

Muu 38%

Haridus 6%

Tervishoid 11%

* kokku 251

Puudutatud isikute arv Eestis ja välismaal kokku 3 030 325

* kokku 1380

Transport ja logistika 4%

IKT 16% (info- ja kommuni-

katsioonitehnoloogia)Finants 25% (krediidiinfo, finants- ja kindlustustegevus)

2021 2022 2023

Rikkumisteadete arv viie aasta võrdluses

250

200

150

100

50

0 2024

145 154

197 184

2025

251

Kaebuste ja vaiete (sh AKI otsuste osas) arv viie aasta võrdluses

2021 2022 2023 0

200

400

600

800

1000

1200

1400

1600

693

936

1068

2024

889

2025

1568

2025. aasta kaebuste sisuline jaotus

Otseturustus 4%

Maksehäireregistrid 7%

Sotsiaalmeedia 17%

Muu 20%

Ajakirjandus 4%

Tervishoid 8%

Avalik sektor 13%

Erasektor 13%

Töösuhted 3%

Infoportaalid 2%

Jälgimisseaded 9%

20 25

2025

63

64

2025. aasta järelevalve otsused arvudes

Kirjeldus Arv

noomitus 31

tähelepanujuhtimine 135

ettepanekud 74

hoiatus 4

ettekirjutused 13

väärteomenetlused 6

määratud trahvid ja sissenõutud sunnirahad 5

määratud trahvid ja sissenõutud sunnirahad kokku summas 3 088 100 €

Oleme oma arvamust avaldanud 56 õigusakti eelnõu osas.

2025. aastal sai tegeletud 50 kohtuasjaga.

Oleme olnud Euroopa Andmekaitsenõukogu juhendiloome kaasautorid 3 korral.

Sellel aastal oleme läbi viinud 58 koolitust ja nõustanud 74 korral.

Sellel aastal oleme produtseerinud 11 Andmehäälingu episoodi.

Noppeid numbrites

20 25

66

Täname! Aari Helmelaid Agnes Järvela

Andra Kask Andres Kudrjavtsev

Annika Kaljula Eleri Karu

Elve Adamson Geili Keppi

Grete­Liis Kalev Irina Meldjuk

Jaana Sahk­Labi Jekaterina Aader

Katrin Haug Kirsika Kuutma

Kirsika Nigul Liina Kroonberg

Maarja Kirss Maire Iro

Mari­Liis Uprus Mona­Reti Pavlov

Pille Lehis Urmo Parm Virve Lans

Toimetaja Marilis Ehvert

Küljendus, illustratsioonid, trükk Ain Kaldra, Andre Poolma, Iconprint OÜ

Fotod Inga Mattiesen (Pille Lehis foto), Shutterstock, Iconprint

Andmekaitse Inspektsioon 2025

Maire Iro - AKI

Saatja: Maire Iro - AKI Saatmisaeg: teisipäev, 31. märts 2026 12:58 Adressaat: press - AKI Teema: AKI aastaraamat: rekordarv kaebuseid ja kasvavad ootused digiajastul Manused: AKI_Aastaraamat_2025.pdf

Andmekaitse Inspektsioon avaldas 2025. aasta aastaraamatu: rekordarv kaebuseid ja kasvavad ootused digiajastul

Andmekaitse Inspektsioon avaldas 2025. aasta aastaraamatu, mis toob esile nii rekordilise kaebuste arvu kui ka kiiresti kasvavad ootused andmekaitsele digiajastul. Peadirektor Pille Lehis rõhutab eessõnas, et inspektsioon tegutseb üha keerukamas õigusruumis, kus Euroopa Liidu uued digiregulatsioonid toovad asutusele kaasa uusi rolle ja suurema vastutuse.

Aasta jooksul esitati inspektsioonile rekordarv kaebuseid, mis peegeldab inimeste teadlikkuse kasvu ja ootust, et riik reageeriks andmekaitse rikkumistele kiiremini ja ühtlasemalt. Samal ajal suurenes vajadus ennetustöö järele: inspektsioon korraldas regionaalseid koolitusi, arendas andmekaitsevõrgustikke ning keskendus muu hulgas haridusvaldkonnale ja tehisintellekti kasutamisele koolides.

Aastaraamat toob esile ka peamised järelevalveteemad, sealhulgas töötajate jälgimise, joobekontrolli õigusliku raamistiku ning kohalike omavalitsuste dokumendiregistrid, kus esineb jätkuvalt tundlike isikuandmete avalikustamist. Olulisema juhtumina käsitletakse Apotheka kliendiandmete leket, mille väärteomenetlus lõppes 2025. aastal rekordilise trahviga ning tõi esile tõsised puudused turvameetmete rakendamises.

Inspektsioon rõhutab, et andmekaitse ei ole pelgalt tehniline nõue, vaid usalduse ja läbipaistvuse küsimus. Uue strateegiaperioodi fookuses on riskipõhine lähenemine ja ennetustegevuse tugevdamine, et inimeste õigusi kiiresti muutuvas digikeskkonnas paremini kaitsta.

Aastaraamatut saab sirvida inspektsiooni veebilehel aastaraamat.aki.ee. Maire Iro Avalike suhete nõunik [email protected] 5385 4644, 627 4136 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn | YouTube