11.02.2025 Teisipäev
Õigus

Isikuandmete edastamise põhimõtted

Isikuandmete edastamine asutuste ja ettevõtete vahel on tänapäeva ühiskonnas vältimatu ning igapäevane praktika. See on aga andmetöötlustoiming, mis võib tekitada rohkelt küsimusi ja probleeme, kuna alati ei ole lihtne määrata, kellele, milliseid andmeid ja millises vormis edastada tohib.

TGS Balticu jurist Hannamari Bachmann selgitab isikuandmete edastamise olulisi põhimõtteid.
TGS Balticu jurist Hannamari Bachmann selgitab isikuandmete edastamise olulisi põhimõtteid. Foto: TGS Baltic

Mõnel juhul võib olla keeruline isegi märgata, et tegemist on isikuandmete edastamisega. Seetõttu on oluline aeg-ajalt üle vaadata peamised põhimõtted, mis tagavad andmete turvalise ja korrektse edastamise.

Isikuandmete edastamine ja selle roll andmetöötluses

Isikuandmete edastamine hõlmab iga toimingut, millega tehakse isikuandmed kättesaadavaks kolmandatele isikutele. See kehtib ka siis, kui dokument või andmekogu sisaldab vaid vähesel määral isikuandmeid ning edastamise eesmärk ei ole otseselt nendega seotud.

Lisaks dokumentide ja muude andmete edastamisele kolmandatele isikutele või ettevõtetele loetakse isikuandmete edastamiseks ka nende sisestamist erinevatesse pilveteenustesse (nt Google Drive) või tehisintellekti rakendustesse (nt ChatGPT). Sellisel juhul muutuvad andmed kättesaadavaks ka vastavatele teenusepakkujatele, mis võib mõjutada andmete turvalisust ja privaatsust.

Kõige selgem on olukord siis, kui päringu esitaja soovib koopiat oma isikuandmetest. Sellisel juhul kasutab ta isikuandmete kaitse üldmäärusest (IKÜM) tulenevat õigust saada teavet enda andmete töötlemise kohta. Andmetöötlejal on kohustus sellele päringule vastata ja esitada soovitud isikuandmete koopia, sõltumata sellest, kas andmeid vajatakse näiteks ettevõtte peale kaebuse esitamiseks või kohtusse pöördumiseks.

Oluline on arvestada, et isikuandmeteks loetakse ka inimese kohta tehtud märkmeid, olgu need andmebaasis, koosoleku protokollis või asutusesiseses e-kirjavahetuses. Seega võib isikuandmete edastamine toimuda ka olukordades, mida esmapilgul ei pruugita sellisena tajuda. Õiguslikult toetub isikuandmete edastamine andmetöötleja kohustusele täita juriidilisi nõudeid.

Samasuguse taotluse võib andmesubjekti eest esitada ka tema seaduslik või lepinguline esindaja, näiteks lapsevanem oma alaealise lapse eest või advokaat oma kliendi eest. Sellisel juhul on tähtis meeles pidada, et esindajal on esindatavaga võrdsustatud õigused. Nii ei ole näiteks advokaadil üldjuhul õigust ligi pääseda rohkematele isikuandmetele kui on tema kliendil. 

Esindamise puhul on oluline kontrollida ka andmete küsija esindusõigust (sh seda, kas nt volikiri hõlmab andmete saamise õigust). Laste puhul on tuleb arvestada, et õed-vennad, vanavanemad ja lapsehoidjad või naabrinaised ei ole lapse seaduslikud esindajad ning formaalselt on vaja nendele andmete edastamiseks lapsevanema allkirjastatud volikirja.

Kui isikuandmeid soovitakse kolmanda isiku kohta (kes ei ole esindatav), võib neid edastada ainult juhul, kui on kindlaks tehtud, et päringul on õiguslik alus. See ei tähenda, et andmetöötleja peaks kontrollima kogu edasist kavandatud andmetöötlust ja selle õiguspärasust, vaid üksnes seda, et edastamise toiming ise põhineb kehtival õiguslikul alusel.

Isikuandmete edastamise õiguslik alus

Edastamise alus võib tuleneda näiteks seadusest, lepingulisest kohustusest, andmesubjekti nõusolekust või andmete küsija õigustatud huvist. Sageli on päringus juba viidatud õiguslikule alusele, mille puhul tuleb selle korrektsust mõistlikus ulatuses kontrollida. Näiteks kui päringu esitaja viitab juriidilisele kohustusele, on soovitatav üle vaadata vastav seadusesäte, millele ta tugineb.

Kui päring tuleb avaliku sektori asutuselt või kohtult, tuleb samuti kontrollida õigusliku aluse olemasolu. Praktika näitab, et ka riigiasutused võivad küsida andmeid, mille saamiseks neil tegelikult õigust ei ole. Seetõttu ei saa andmete edastamisel lähtuda vaid küsija autoriteedist, kuna õigusliku aluseta andmete edastamine võib kaasa tuua vastutuse rikkumise eest.

Kui on veendumus, et päringu saatjal on õigus isikuandmeid saada, tuleb järgmiseks välja selgitada, milliseid andmeid, mis kujul ja mahus edastada võib. Selleks on oluline mõista, mis eesmärki andmete edastamine täidab. Isikuandmete töötlemisel kehtib minimaalsuse põhimõte, mille kohaselt võib töödelda isikuandmeid nii palju, kui on vaja eesmärgi täitmiseks, kuid samal ajal nii vähe kui võimalik.

Edastada tohib ainult neid isikuandmeid, mis on eesmärgi saavutamiseks tõesti vajalikud. See tähendab ennekõike, et andmeid ei tohi edastada rohkem, kui on küsitud. Samas tuleb ka päringu piires kriitiliselt hinnata, kas kõik taotletud andmed on tegelikult vajalikud või kas nende edastamine on põhjendatud.

Kui päringu esitaja soovib ligipääsu kõigile konkreetse isiku andmeid sisaldavatele dokumentidele teatud ajavahemikus, aga mitte kõik need dokumendid ei ole taotletava eesmärgi saavutamiseks vajalikud, tohib edastada ainult need, mis aitavad soovitud eesmärki täita.

Näiteks videokaamera salvestise puhul ei ole alati põhjendatud kogu materjali edastamine. Selle asemel tuleks jagada vaid see salvestise osa, kus on näha sündmus, mille tõendamiseks andmeid küsitakse. See aitab tagada minimaalsuse põhimõtte järgimise ja isikuandmete liigse avaldamise vältimise.

Kui andmete edastamine toimub andmekandjate kaudu, mis sisaldavad mitme inimese isikuandmeid, tuleb enne edastamist eraldi hinnata iga isiku andmete edastamise vajalikkust. Kui puudub õiguslik alus kõigi isikute andmete edastamiseks, tuleb eemaldada või muuta tuvastamatuks need andmed, mille saajal puudub põhjendatud vajadus.

Näiteks telefonikõne salvestis sisaldab tavaliselt vähemalt kahe inimese vestlust. Kui sellise salvestise väljanõudmine on õigustatud, võib olenevalt olukorrast olla vajalik teise osapoole hääle moonutamine või tema jutu eemaldamine, et tagada teiste isikute andmekaitse ja minimaalsuse põhimõtte järgimine.

Lisaks sõltub edastatavate isikuandmete ulatus konkreetsest õiguslikust alusest. Näiteks ei tohi eriliiki isikuandmeid – nagu terviseandmed või andmed usuliste ja poliitiliste tõekspidamiste või seksuaalse orientatsiooni kohta – edastada pelgalt andmete saaja õigustatud huvi või lepingu täitmise alusel. Kuna need andmed on eriti tundlikud, kehtivad nende edastamisel ja töötlemisel rangemad erinõuded, mida tuleb alati järgida.

Andmete edastamise turvalisus

Isikuandmete edastamise korrektsuse tagamiseks ei piisa vaid sellest, et on selgelt määratletud, kellele, mida ja miks edastada võib. Samavõrd oluline on ka edastamise protsessi hoolikas läbimõtlemine ning andmete turvalisuse tagamine. Konkreetse olukorra puhul kõige sobivam edastusviis sõltub mitmest tegurist, sealhulgas andmete tundlikkusest, mahust ja kasutatavatest edastusmeetoditest.

Isikuandmeid tuleks üldjuhul edastada krüpteeritud kujul, et vältida nende sattumist kõrvaliste isikute kätte. Tavapärase e-kirja teel andmete saatmist tuleks võimalusel vältida, kuna see ei pruugi tagada piisavat turvalisust.

Näiteks võib tekkida andmekaitserikkumine olukorras, kus andmesubjekt palub oma andmeid tööandjalt sõnumi või e-kirja teel. Kuigi kiusatus võib olla vastata samal viisil, peab andmete edastaja olema hoolikas ja valima sõltuvalt andmete tundlikkusest turvalise edastusviisi. Andmekaitse põhimõtete järgimine aitab ennetada võimalikke riske ning tagada isikuandmete konfidentsiaalsuse.

Eelneva illustreerimiseks võib tuua näite praktikas sageli esinevast isikuandmete edastamisest – valvekaamerate salvestiste väljastamisest. Valvekaamera salvestised on olulised tõendid erinevate intsidentide puhul ning neid võivad taotleda näiteks juhtunu osapooled, õiguskaitseasutused või kindlustusandjad.

Kõigil neil juhtudel on valvekaamera kasutajal seadusest tulenev kohustus salvestis väljastada. Siiski, kuigi taotletavad isikuandmed, edastamise eesmärk ja õiguslik alus on kõigil kolmel juhul samad, võib konkreetne salvestis, mida edastada tohib, erineda. See sõltub sellest, kellele ja millisel eesmärgil andmeid edastatakse, ning alati tuleb hinnata minimaalsuse põhimõtte järgimist, et tagada nii andmekaitsenõuete täitmine kui ka asjaosaliste õiguste kaitse.

Valvekaamera salvestiste edastamise piirangud ja nõuded

Juhtunu osapoolel on õigus saada isikuandmeid ainult enda kohta – teise osapoole andmetele ligipääsuks tal õiguslik alus puudub. See tähendab, et salvestise väljastamisel andmesubjektile tuleb enne edastamist kõik teised salvestisele jäänud isikud muuta tuvastamatuks. Kuigi see võib muuta video kasutamise tõendina keeruliseks või isegi võimatuks, on see ainus õiguspärane lahendus. Isikuandmete kaitse üldmääruse (IKÜM) eesmärk ei ole võimaldada andmesubjektil oma õiguste teostamist teiste isikute arvelt – iga edastamine peab kaitsma ka teiste isikute õigusi ja vabadusi.

Kui salvestist on vaja kasutada tõendina, peaks juhtunu osapool pöörduma politsei või kindlustusandja poole, kellel on laiem õigus andmeid töödelda juhtumi lahendamise eesmärgil. Politseile võib videosalvestise edastada muutmata kujul, kus kõik videole jäänud isikud on äratuntavad. Kindlustusandjale võib edastada salvestise kujul, kus juhtunu osapooled on tuvastatavad, kuid üldjuhul ei ole kindlustusandjal vajadust tuvastada kõrvalisi isikuid. Seetõttu tuleks enne salvestise edastamist eemaldada või hägustada kõik juhuslikud möödujad.

See näide illustreerib, miks on isikuandmete edastamisel oluline igal juhul hoolikalt läbi mõelda, kes, milliseid andmeid ja mis eesmärgil on õigustatud saama. Isegi väga sarnaste päringute puhul võib andmete edastamise maht ja ulatus märgatavalt erineda olenevalt sellest, kes päringu esitas.
Märksõnad

Seotud artiklid

Ohtlik trend sotsiaalmeedias: isikuandmete jagamine
Jurist: laste isikuandmete avaldamine eeldab hoolikat kaalumist
Töötasusüsteem õiglaseks
Õigus tutvuda isikuandmeid sisaldavate dokumentidega
Advokaadibüroode TGS Baltic ja PwC Legal advokaadid ühendavad jõud
Linn kahtlustab spordiseltsi isikuandmete omavolilises kasutamises
Soovid olla kursis kõige tähtsamate uudistega?

LOETUMAD UUDISED

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
Kirjuta
430824810 430800019636154 7356040320163199917 n255

  • Pilvetehnoloogiat kasutav raamatupidamisprogramm. Aktiva kõige tähtsam omadus on kasutamise lihtsus. Hoiame kokku teie aega!

    Lähemalt

  • MRPeasy on lihtsasti kasutatav ERP/MRP tarkvara väiketootjatele ja hulgikauplejatele (10-200 töötajat). Müük, ostud, ladu, tootmine, raamatupidamine – kõik ühes kohas!

    Lähemalt

  • 1С:RAAMATUPIDAMINE Eestis

    Universaalne programm raamatupidamis- ja maksuarvestuse automatiseerimise massiliseks kasutamiseks.

    Lähemalt

  • Inv24

    Inv24 on arve koostamise tarkvara, mis säästab aega ja võimaldab teil tööd teha igalt poolt, see teeb raamatupidamise lihtsaks.

    Lähemalt

  • Tipptasemel end 20 aastat õigustanud usaldusväärne äritarkvara ja e-pood parima hinnaga!

    Lähemalt

  • e-arveldaja on veebis asuv raamatupidamistarkvara, mis aitab ettevõtjal raamatupidamise korraldamisega mugavalt hakkama saada.

  • 1S:RAAMATUPIDAMINE

    1S:Ettevõte on süsteem, mis on ette nähtud erinevais tegevussuundades ja omandivormides tegutsevate ettevõtete töö automatiseerimiseks.

    Lähemalt

  • 1S:Ettevõte 8. Kaubanduse juhtimine

    Lahendab kompleksselt juhtimise arvestuse ja operatiivse arvestuse ülesanded, analüüsi- ning planeerimisülesanded, automatiseerib kaubandus-, finants- ja laooperatsioone.

    Lähemalt

  • ERP programmi Monitor tootmisettevõtetele. Monitor sobib kõige rohkem ettevõtetele, kes vajavad täielikku ERP süsteemi, mis sisaldab kõiki tööstusettevõttele vajalikke mooduleid.

    Lähemalt

  • TAAVI Majandustarkvara on Eesti turul olnud juba üle 20 aasta, mille jooksul on kasutajate arv kasvanud üle 1500. Tarkvara on mõeldud igasuguses suuruses ettevõtetele.

    Proovi

  • KMD INF ja firmaautode käibemaks majandustarkvaras TAAVI Finants. Taavi Tarkvara on alati kaasas käinud pidevalt muutuva seadusandlusega ning viinud oma programmidesse sisse kõik muudatused.

    Proovi

  • Taavi Tarkvara on käinud kaasas kõigi viimaste aastate uuendustega palgaarvestuses ja suudab automaatselt hallata kogu töötasude arvestamise keerulist valdkonda.

    Proovi

  • Merit Palk on ainuke palgaprogramm Eestis, kus maksuarvestus on alati 100% korrektne. Seda tänu internetist automaatselt uuenevatele maksumääradele.

    Proovi

  • Tõenäoliselt lihtsaim raamatupidamistarkvara Eestis. Juba üle 10 000 kasutaja (EST, RUS, ENG, FIN.

    Proovi tasuta

  • SmartAccounts on online majandustarkvara, kus kõik Sinu raamatupidamiseks vajalik on mugavalt koos. Proovi kohe tasuta!

    Proovi

  • Suno365 on mugav teenus, mis on kiirelt kasutusele võetav, alati ajakohane ning kergelt ühenduv ka kolmandate osapoolte lahendusega. Hea valik nii tänasesse päeva, kui tulevikku.

    Proovi

  • Excellent pakub spetsiaalselt Eesti turu jaoks kohandatud Books 8 ja Standard ERP pilvepõhiseid äritarkvara lahendusi, mis pärinevad HansaWorldi tooteperekonnast ja pakuvad sobiva lahenduse nii raamatupidamiseks kui ka müügi- ja laohalduseks.

    Proovi

  • NOOMi puhul on tegemist keskse tarkvaralahendusega, mis sobib hästi iga suurusega ettevõttele. NOOMi eeliseks on selle väga kõrge paindlikkustase, funktsionaalsuste rohkus ning kodumaine klienditugi.

    Proovi

  • Juba 25 aastat Eesti turul tegutsenud Unifiedpost (varem Fitek) pakub e-arve ja makseteenuseid nii väikestele kui suurtele ettevõtetele kui ka avalikule sektorile.

    Uuri lähemalt

  • Parim Eestis loodud veebipõhine äritarkvara terviklahendus.

    Vapustavalt võimekas, uskumatult lihtne!

    Lähemalt