Sa oled siin

Küsimus-vastus

26.03.2021

Küsimus-vastus eraelu kaitse teemal

Korduma kippuvad küsimused

Kas tööandjal on õigus lugeda minu e-kirju?


Eestis on praktikas kujunenud tavapäraseks, et töötajad kasutavad tööandja domeeniga e-postiaadresse muuhulgas ka oma erakirjade saatmiseks ja saamiseks, kui tööandja ei ole kehtestanud muid reegleid töökorraldusele. Tööandjal on õigus kehtestada nõue, et tööandja domeeniga e-posti ei või töötajad kasutada isiklike e-kirjade saatmiseks.

Kui töötajal on lubatud kasutada töö e-posti ka erasuhtluseks, peab olema kehtestatud reegel, et erakirjad tuleb postkastist kustutada või tõsta spetsiaalselt loodud alamkausta, mis oleks selgelt eristatud nt pealkirjaga „Isiklik". Tööandja võib töötaja e-kirjadega tutvuda nõusoleku alusel või töölepingu täitmiseks, aga tööandja ei või riivata töökohustuste täitmise kontrollimise käigus töötaja põhiõigusi ülemääraselt. Lihtsaim viis on reguleerida töötaja e-posti kasutus töökorralduse reeglites või arvuti kasutamise eeskirjades. Täpsema informatsiooni saamiseks loe Andmekaitse Inspektsiooni koostatud juhist.

Kas isikukood on delikaatne?

Isikukood kuulub tavaliste isikuandmete hulka. Isikukood avalikustatakse, kui on vaja konkreetset isikut tuvastada (ühenimeliste isikute puhul). Samuti võib isikukoodi asemel avalikustada vaid sünniaeg.
Miks mu andmeid vaadatud on?
 
Kontrollisin riigiportaalis eesti.ee oma isikuandmete kasutamist ja avastasin, et minu kohta on teinud päringuid asutused-ettevõtted, kellega mul enda teada mingit seost ei tohiks olla. Miks minu andmeid on vaadatud?
 
Kui mõne päringu puhul jääb arusaamatuks, miks andmeid vaadatud on, tuleb seda esmalt küsida päringu teinud asutuselt. Paljudel juhtudel selgub, et küsimusi tekitanud päring on olnud igati õiguspärane. Kui aga ka pärast asutuselt vastuse saamist jääb püsima kahtlus, et sinu andmetega on tutvutud põhjendamatult, siis tasub kaebusega pöörduda Andmekaitse Inspektsiooni.
 
NB! Ei tasu unustada, et riigiportaalis päringute ajalugu vaadates kuvatakse loetelus ka inimese enda tehtud päringud oma andmete kohta (nt see sama isikuandmete kasutamise päring eesti.ee portaalis).
Mida pean tegema, kui saan oma e-mailile rämpsposti?
 
Kui Teie e-posti aadress on internetis avalikult kättesaadav ja sellele on kommertsteadaandeid saadetud, saate nõuda edasise reklaami saatmise lõpetamist. Mainitu kehtib ka juhul, kui e-posti aadress oligi avalikustatud kommertsteadaannete saamise eesmärgil.
 
Soovitame oma elektronposti aadressi ise mitte avaldada või siis juba avaldatud lehekülgedelt eemaldada. Samuti kasutada @-märgi asemel muid sümboleid, et aadress ei satuks otsingurobotite poolt koostatud nimekirjadesse. Sellega saate ise vähendada soovimatute kirjade hulka. Ühtlasi on loonud taolise võimaluse meilikasutajale kõik teenuse osutajad ja isik saab kasutada erinevaid filtreid ja soovi korral ka aadresse blokeerida.
Kas andmetöötleja peab andma inimesele infot tema andmete töötlemise kohta?
Igal inimesel on õigus omada ülevaadet: milliseid isikuandmeid, millistel eesmärkidel ja õiguslikel alustel töödeldakse. Selle õiguse tagamiseks tuleb andmetöötlejal teha esmalt kättesaadavaks andmekaitsetingimused ning lisaks sellele tuleb olla valmis info jagamiseks inimeselt saadud taotluse alusel.
 
Andmekaitsetingimustest teavitamisel võib olla mitmeid variante. Kõige enamlevinud viis on teavitada andmekaitsetingimustest organisatsiooni veebiküljel, kuid teavet saab anda ka kirjalikult vabalt valitud kanali või teabekandja kaudu. Kui inimene soovib, võib teavet anda suuliselt. Lähtuma peab mõistlikkusest ning kasutajamugavusest.
 
Kui inimene soovib saada andmetöötlejalt konkreetset ülevaadet oma isikuandmete kasutamise kohta näiteks kindla ajavahemiku ja andmetöötlustoimingu lõikes, peab organisatsioon seda samuti võimaldama.
 
Inimene võib andmetöötlejale taotluse esitada kas suuliselt või kirjalikult. Oluline, et selles on selgesõnaliselt kindlaks määratud, millist infot täpselt soovitakse ning millise tähtaja või perioodi jooksul. Kirjaliku taotluse eeliseks on see, et toimingust jääb maha jälg. Andmetöötlejal on õigus nõuda küsijalt isiku tuvastamist.
 
Küsitud info tuleb anda inimesele esimesel võimalusel, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Andmetöötlejal on õigus taotlust täpsustada ning paluda ka tähtaja pikendust. Keeruliste ja mahukate taotluste korral võib ühekuulist tähtaega pikendada kuni kahe kuu võrra.
 
Info väljastatakse tasuta
 
Tasu andmete väljastamise eest ei ole lubatud üldjuhul küsida – seda nii andmekaitsetingimuste teavitamisel kui inimese taotluse läbi vaatamise eest. Erisus kehtib olukorrale, kus inimese taotlus on selgelt põhjendamatu või ülemäärane eelkõige korduvuse mõttes. Sel juhul on võimalik küsida mõistlikku tasu halduskulude katmiseks või keelduda andmete väljastamisest. Kui andmetöötleja leiab, et inimese taotlus on selgelt põhjendamatu või ülemäärane, on tal kohustus seda tõendada.
 
Keelduvast otsusest tuleb inimest teavitada ühe kuu jooksul taotluse saamisest.
 
Abistav materjal andmetöötlejale
 
Isikuandmete töötleja üldjuhend, peatükk 10 Läbipaistvus
 
 
Kas isikuandmete kaitse üldmäärus annab tõepoolest inimesele õiguse nõuda kõigi enda kohta käivate andmete unustamist ehk isikuandmete kustutamist?
Ühiskonnas kohati liigseid ootusi tekitanud unustamise õigus on paljudel juhtudel piiratud õigus. Inimene saab andmetöötlejalt nõuda ainult selliste andmete kasutamise lõpetamist, mida kas pole enam vaja või mille edasiseks kasutamiseks puudub alus. Õigus tuleneb andmetöötluse eesmärgipärasuse ja minimaalsuse põhimõttest.
 
Igal andmetöötlejal on vaja andmete saamiseks, kasutamiseks, avaldamiseks või avalikustamiseks ja samuti edasiandmiseks põhjust, ehk õiguslikku alust ning seda iga tehtava toimingu jaoks eraldi. Näiteks, kui üks andmetöötleja teeb isikuandmetega kolme erinevat toimingut, on reeglina vaja kolme õiguslikku alust.
 
Juhul, kui andmetöötleja saab kustutamise nõude, aga reaalsuses on andmetöötluseks olemas õiguslik alus, ei pea taotlust rahuldama. Igat keeldumist peab põhjendama (ÜM art 6 isikuandmete töötlemise seaduslikkus).
 
Mõnikord võib olla andmetöötlus seotud ühiskonna avalike huvidega. Näiteks, kui andmetöötlus toimub rahvatervise ja teadus- või ajaloouuringute eesmärgil, võib töötlejal olla õigus andmete kustutamisest keelduda. Olukorras, kus töötlemine on vajalik sõna- ja teabevabaduse õiguse teostamiseks, tuleb kaalutleda, kumb õigus on suurem, kas inimese õiguse privaatsusele või sõnavabadus.
 
Inimesel on õigus isikuandmete kustutamisele:
 
1) tema isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
 
2) inimene võtab töötlemiseks antud nõusoleku tagasi ning puudub muu õiguslik alus isikuandmete töötlemiseks;
 
3) tema isikuandmeid on töödeldud ebaseaduslikult.
 
Isikuandmete kustutamist reguleerib üldmääruses artikkel 17. Kustutamise nõue tuleb esitada andmetöötlejale, kellel on vastutus andmete nõuetekohase töötlemise ees (vastutav töötleja)
Kuidas küsida nõusolekut?
Nõusolek on vaid üks võimalikest õiguslikest alustest isikuandmete töötlemisel ning seda enamkasutavate variantide - seaduse, juriidilise kohustuse ja lepingu täitmise kõrval. Nõusolekut tuleb inimeselt küsida siis, kui muud õiguslikku alust andmetöötluseks ei ole. Selle kasutamine andmetöötluses on alati ebakindel, sest nõusolekut saab igal ajal tagasi võtta. 
 
Küsides tuleb arvestada mitme nõudega. See peab olema ühemõtteline, selge, lihtsas ja arusaadavas sõnastuses ning seisma eraldi muust infost või tingimustest. Kindlasti ei tohi küsija ära unustada selgitust, milleks täpselt nõusoleku alusel andmeid kasutatakse. Nõusolekut küsides ei tohi seada tingimusi ning küsija peab olema kindel, et see on antud teadlikult ja vabatahtlikult. 
 
Isikuandmete kaitse üldmäärusega kooskõlas oleva nõusoleku taotlemise kuus punkti:
 
1) esitatud peavad olema andmed: töötleva organisatsiooni nimi ja kontaktandmed;
 
2) teave, milliste isikuandmete töötlemiseks luba küsitakse;
 
3) eesmärk, milleks andmeid töödeldakse;
 
4) antud nõusoleku tagasivõtmise võimalus (nt saates e-kirja nõusoleku tagasivõtmiseks);
 
5) asjakohasel juhul teade selle kohta, et andmeid kasutatakse üksnes automatiseeritud töötlemisele (sh profiilianalüüsile) toetuvate otsuste tegemiseks;
 
6) teave selle kohta, kas nõusolek on seotud ka andmete rahvusvahelise edastamisega. Tuleb mainida ELi mittekuuluvatesse riikidesse andmete edastamise võimalikke riske, kui ei ole Euroopa Komisjoni kaitse piisavuse otsust või asjakohaseid kaitsemeetmeid.
 
P.S Kahte õiguslikku alust andmetöötluseks olla ei tohi.
 
 
Kas tohin jagada teistele sünnipäevapeol tehtud pilti?

Kui on kavas pildistada eesmärgiga seda pilti teistega jagada, siis tuleb arvestada, et kõigil pildile jäävatel inimestel on õigus privaatsusele. See aga tähendab ühtlasi, et inimene peab saama võimaluse loobuda pildil olemisest. Teised inimesed kindlasti hindavad väga sinu viisakat teavitust, kui soovid nendest pilti teha ja seda ka hiljem sotsiaalmeedias jagada. Kui teavitad, annad ühtlasi ka võimaluse sellest koheselt keelduda.

Andmetöötluse reegleid arvestades, käitud alati korrektselt siis, kui avaldamiseks tehtud pildi jaoks küsid pildile jäävatelt inimestelt nõusolekut (suuliselt sobib hästi), sest teise inimese isikuandmeid tohib eraisikute vahelises suhtlemises jagada tema enda nõusolekul. Kui vahest ei ole võimalik pildile jäävatelt inimestelt nõusolekut küsida, siis kadreeri parem juba oma foto selliselt, et võõrad jääksid Sinu pildil tuvastamatuks või veel parem, hoopis pildilt välja.

Kui teed pildi vaid isiklikuks kasutamiseks, näiteks endale mälestuseks, siis pole teiste nõusolekut vaja. Isiklikuks kasutamiseks loetakse teinekord ka pildi jagamist sõprade ja pereliikmetega, aga kui pilt jõuab juba sotsiaalmeediasse, hakkab see elama oma elu, mida sina ei kontrolli. Sel juhul tekib sinu jaoks juba uus ja sinu vastu pöördumist võimaldav olukord, kuna oled avaldanud teise isikuandmed ilma tema nõusolekuta, mis tähendab - seadusevastaselt.

Meedia ja sotsiaalmeedia

Mida teha, kui ajakirjandusväljaanne on avalikustanud minu andmed?

Inimesel on alati õigus esitada vastuväide väljaandele, kui ta leiab, et tema isikuandmete avaldamine kahjustab tema õigusi ja vabadusi. Väljaanne peab lõpetama isikuandmete töötlemise, välja arvatud juhul, kui ta tõendab, et andmete avaldamine toimub mõjuval õiguspärasel põhjusel, mis kaalub üles inimese huvid, õigused ja vabadused.

Esimene samm oma õiguste kaitsel on pöörduda väljaande poole ja esitada põhjendatud vastuväide ning milline on soovitud lahendus. (Õigus esitada vastuväiteid tuleb isikuandmete kaitse üldmääruse lühendatud IKÜM artiklist 21). Vastuväitele tuleb väljaandel vastata ühe kuu jooksul. Kui väljaanne ei anna vastust ühe kuu jooksul või see ei ole rahuldav, on võimalus pöörduda kaebusega väljaande vastu Andmekaitse Inspektsiooni poole. Kaebusele tuleb lisada kirjavahetus väljaandega ja kaebus peab olema allkirjastatud, et inspektsioon saaks veenduda kaebaja isikusamasuses.

Inspektsioon kontrollib, kas isikuandmete avalikustamiseks on olemas õiguslik alus, sh seda, kas konkreetsel juhul kaalub sõnavabadus üle eraelupuutumatuse või mitte. Selleks pöördume selgituste saamiseks ka väljaande poole. Kui andmete avalikustamiseks õiguslikku alust ei ole, kohustab inspektsioon isikuandmete avalikustamine lõpetada.
Inspektsioonil ei ole pädevust välja mõista kahjuhüvitisi. Kui andmete avalikustamise järel on tekkinud kahju, saab kahju hüvitamise hagiga pöörduda maakohtusse.

Loe vastuse õigusliku tausta
Isikuandmete kaitse üldmääruse preambula punkt 4 selgitab, et õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Üldmääruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, sh sõna- ja teabevabadusest.
Seetõttu on ka isikuandmete kaitse seaduse §-s 4 nähtud ette võimalus andmeid avaldada nõusolekuta ajakirjanduslikul eesmärgil, kui selleks on avalik huvi, see on kooskõlas ajakirjanduseetika põhimõtetega ning ei kahjusta isiku õigusi ülemääraselt.
Avalikku huvi saab eeldada teemade osas, mis aitavad kaasa debatile demokraatlikus ühiskonnas. Pelgalt avalikkuse uudishimu rahuldamine kellegi eraelu detailide osas ei ole aga käsitletav avaliku huvina.
Riigikohus on selgitanud, et isiku kujutise kasutamine ilma tema nõusolekuta on siiski üldjuhul lubatav vaid selle isiku endaga seotud aktuaalse päevasündmuse kajastamiseks. Sellele lisandub eeldus, et isiku kujutise kasutamine on päevasündmuse kajastamiseks vajalik ning avalikkuse huvi kaalub üles isiku huvi [1].

Rõhutama peab, et isikuandmetega on tegu, kui selliste andmete alusel on võimalik konkreetset isikut tuvastada. Kui avalikustatud on andmed (nt selja tagant tehtud pilt), mille alusel tunneb inimene ise või tema lähikondne ta ära, kuid ülejäänud inimesed selliste andmete alusel kedagi konkreetset ära ei tunneks, siis ei ole tegemist isikuandmetega ning andmekaitse reeglid ei kohaldu.

[1] Riigikohtu otsus kohtuasjas nr 3-2-1-152-09.

Mida teha, kui sotsiaalmeedias on avaldatud minu andmeid?

Inimesel on alati õigus esitada vastuväide postitajale, kes on sotsiaalmeedias (nt Facebook, Instagram, Twitter, aga ka blogides) tema isikuandmed avaldanud, kui ta leiab, et tegevus kahjustab tema õigusi ja vabadusi. Postitaja peab lõpetama isikuandmete töötlemise, välja arvatud juhul, kui ta tõendab, et avaldab andmeid mõjuval õiguspärasel põhjusel, mis kaalub üles inimese huvid, õigused ja vabadused.
Esimene samm oma õiguste kaitsmisel on pöörduda postitaja poole ja esitada põhjendatud vastuväide ning milline on soovitud lahendus.  (Õigus esitada vastuväiteid tuleb isikuandmete kaitse üldmääruse, lühendatult IKÜM artiklist 21). Vastuväitele peab avaldaja vastama ühe kuu jooksul. Kui postitaja ei anna vastust ühe kuu jooksul või see ei ole rahuldav, on võimalus pöörduda kaebusega Andmekaitse Inspektsiooni poole. Kaebusele tuleb lisada kirjavahetus postitajaga ja kaebus peab olema allkirjastatud, et inspektsioon saaks veenduda kaebaja isikusamasuses.

Inspektsioon kontrollib, kas isikuandmete avalikustamiseks on olemas õiguslik alus, sh seda, kas konkreetsel juhul kaalub sõnavabadus üle eraelupuutumatuse või mitte. Selleks pöördume selgituste saamiseks ka postitaja poole. Kui andmete avalikustamiseks õiguslikku alust ei ole, kohustab inspektsioon isikuandmete avalikustamine lõpetada. Inspektsioonil ei ole pädevust välja mõista kahjuhüvitisi. Kui andmete avalikustamise järel on tekkinud kahju, saab kahju hüvitamise hagiga pöörduda maakohtusse.

Loe vastuse õigusliku tausta
IKÜM preambula punkt 4 selgitab, et õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Üldmääruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, sh sõna- ja teabevabadusest.
Seetõttu on ka isikuandmete kaitse seaduse §-s 4 nähtud ette võimalus andmeid avaldada nõusolekuta ajakirjanduslikul eesmärgil, kui selleks on avalik huvi, see on kooskõlas ajakirjanduseetika põhimõtetega ning ei kahjusta isiku õigusi ülemääraselt.
Euroopa Kohtu praktika kohaselt on „ajakirjanduslik tegevus“ selline tegevus, mille eesmärk on teabe, arvamuste või mõtete üldsusele avalikustamine, olenemata edastamise vahendist.[1] Seega saab ka sotsiaalmeedias andmete avaldamine toimuda ajakirjanduslikul eesmärgil.
Avalikku huvi saab eeldada teemade osas, mis aitavad kaasa debatile demokraatlikus ühiskonnas. Pelgalt avalikkuse uudishimu rahuldamine kellegi eraelu detailide osas ei ole aga käsitletav avaliku huvina ja sellisel juhul ajakirjanduslikul eesmärgil isikuandmete avalikustamine lubatud ei ole.
IKÜM artikkel 6 näeb isikuandmete töötlemise õigusliku alusena ette ka õigustatud huvi, mille kohaselt on isikuandmete töötlemine lubatud, kui see on vajalik andmete töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused. Sisuliselt tähendab see seda, et kui kellelgi on kaalukas eesmärk, mille saavutamiseks on vaja töödelda isikuandmeid ning läbi on viidud analüüs, millest nähtub, et eesmärk kaalub üles inimese õiguse eraelupuutumatusele, siis on isikuandmete töötlemine lubatud. Täpsemalt saab lugeda õigustatud huvi juhisest (PDF).
Rõhutama peab, et isikuandmetega on tegu, kui selliste andmete alusel on võimalik konkreetset isikut tuvastada. Kui avalikustatud on andmed (nt selja tagant tehtud pilt), mille alusel tunneb inimene ise või tema lähikondne ta ära, kuid ülejäänud inimesed selliste andmete alusel kedagi konkreetset ära ei tunneks, siis ei ole tegemist isikuandmetega ning andmekaitse reeglid ei kohaldu.

[1] Euroopa Kohtu 16.12.2008 otsus C-73/07 Satakunnan Markkinapörssi ja Satamedia, p 61. 

Mida teha, kui keegi on loonud suhtlusportaalis minu andmeid kasutades konto?
 
Sel juhul on õigus Teil rikkuja välja selgitamiseks pöörduda politseisse.
Tegemist on identiteedivargusega, mille uurimine kuulub politsei pädevusse. Teatada saab https://cyber.politsei.ee/
Kuidas oma andmeid Google otsingust eemaldada? 

Olukorras, kus otsingumootor toob välja võrgulehel avaldatud inimese andmed, mida ei soovita seal näha, tuleb esmalt pöörduda andmete avaldaja poole ehk võtta ühendust võrgulehe pidajaga. Näiteks vana töökoha võrgulehelt soovivad paljud oma andmeid kustutada ja seda soovi saab täita vana tööandja.

Kui andmete avaldajal pole olnud õiguslikku alust andmete avaldamiseks, on inimesel õigus nõuda avaldajalt oma isikuandmete kustutamist. Pärast muutuse tegemist võrgulehel, uuendab end teatud ajatsükli jooksul ka otsingumootor. Alati võib ka otse otsingumootori poole pöörduda, kasutades selleks ette antud vormi. Kui inimene pöördub otse, peab ta arvestama, et otsingumootor ootab põhjendamist ja tõendamist, miks peaks andmed kustutama.
Isikuandmete kaitse üldmäärus annab võimaluse nõuda ka andmete töötlemise piiramist. See tähendab, et inimene saab nõuda oma andmete mittekuvamist ja seda kas võrgulehel või otsingumootoris. Igal juhul tuleb olla valmis põhjendamiseks ja kui vaja siis ka tõendamiseks.

Millest alustada?
1. Tee kindlaks, kes on andmete avaldaja või milliselt veebilt andmed on pärit. Kui võrgulehe omanik pole teada, siis võrgulehe registreerijat on enamasti võimalik tuvastada kasutades erinevaid whois-otsinguid, nt https://www.whois.com/whois, https://uk.godaddy.com/whois ning .ee domeenide puhul www.eis.ee ja .eu domeenide puhul www.eurid.eu.
2. Uuri välja põhjus, miks andmed on avaldatud. Igal avaldamisel peab olema eesmärk. Näiteks, kui on avaldatud foto tagaotsitavana politsei veebis või ajakirjanduses, on avaldamisel eesmärk inimene üles leida. Kui inimene on üles leitud, kaob ära avaldamise eesmärk.
3. Nüüd kui tead avaldajat ja põhjust, miks on andmed avaldatud, hinda olukorda edasise sammu astumiseks. Õigus andmed kustutada on reeglina Sinu poolel, kui andmete avaldamisel pole olnud seaduse sätet või eesmärki või on see juba täidetud. Võid olla kindel, et isikuandmete kaitse põhimõtted annavad inimesele õiguse olla unustatud nende andmete osas, mida enam ei ole vaja või mis on avaldatud seadusevastaselt. Lisaks on sul õigus andmete töötlemist piirata, näiteks ei pea olema avalikkusele teada, millises lasteaias või koolis oled käinud. Andmete töötlemise piiramine on ka oma nime initsiaalide vastu asendamine, mis teinekord on hea lahendus, kui ilmtingimata on vaja mõnda dokumenti avaldatuna hoida. Töötlemise piiramine on hea võimalus leida kompromisslahendus andmetöötleja ja inimese vahel, s.t andmeid saab edasi kasutada, aga need ei ole leitavad otsingumootorist.
4. Kui leiad, et sul on õigus saada unustatuks ehk andmed kustutada või nende töötlemist piirata, pöördu avaldaja poole. Selleks tuleb võtta ühendust veebikülje omanikuga, teisisõnu andmete algallikaga ning talle põhjendada, miks nii arvad. Kui näed, et avaldamine on olnud ebaseaduslik, ole valmis seda ka tõendama. Otsingumootor uuendab end peale muutusi reeglina ise, aga kui soovid olla kindel, et andmed otsingumootorist kindlalt maha saaks, võid pöörduda taotlusega ka ise. Euroopa Kohtu otsuse (24. septembril 2019/ kohtuasi C-507/17) järgi peab otsingumootor andmed kustutama piirkonnas, kust kustutamise nõue tuli.

Siit leiab Google otsingumootori taotlusvormi
Google vorm

Mida teha, kui minu andmete avaldamise tulemusel meedias või sotsiaalmeedias on mulle tekkinud kahju?
Kui andmete avalikustamise tagajärjel on tekkinud kahju, nt mainekahju, saab kahju hüvitamise nõudega pöörduda maakohtusse. Andmekaitse Inspektsioonil ei ole pädevust välja mõista kahjuhüvitisi.
Hagiavalduse vormi leiab kohtute kodulehelt. Samuti saab teatud juhtudel kasutada kohtusse pöördumisel vajadusel riigi õigusabi.
Isikuandmete kaitse üldmääruse artikli 82 kohaselt on igal isikul, kes on kandnud määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.
Võlaõigusseaduse § 1046 lõike 1 kohaselt on isiku au teotamine, muu hulgas ebakohase väärtushinnanguga, isiku nime või kujutise õigustamatu kasutamine, eraelu puutumatuse või muu isikliku õiguse rikkumine õigusvastane, kui seadusega ei ole sätestatud teisiti. Kohtus saab vajadusel nõuda ka kahju hüvitamist. AKI-l ei ole pädevust välja mõista kahjuhüvitisi.

Sotsiaal- ja haridus

Kas koolilõpetajate nimekirjade avaldamine on lubatud?
 
Kool ise otsustab, kas, kuidas ja kus avaldada koolilõpetajate nimekirjad. Põhikooli- ja gümnaasiumiseadus annab õiguse teha spetsiaalne eeskiri ja kui hoolekogu ning õpilasesindus on sellega nõus, saabki edaspidi sellest lähtuda. Muidugi eeldab see eeskirjast teavitust kõigile õpilastele ja lapsevanematele, sest alati peab jääma õigus loobuda koolilõpetajate nimekirjas oma nime avaldamisest.
 
Alternatiiv on ka nõusolekute võtmine. Sel juhul on vaja aga kõigilt õpilaste või õpilaste vanemate nõusolekut.
Kokkuvõttes, kui on olemas võimalikult täpselt ära kirjeldatud nimekirja avaldamise kord ja see on kättesaadavaks tehtud kõigile asjaosalisetele, on vajalik õiguslik alus koollõpetajate nimekirja avaldamiseks olemas.
Kas avalikul kooliüritusel pildistamist saab ära keelata?
 
Keegi ei saa keelata erasikule avalikul üritusel pildistamist ning saadud fotot oma pereringis või sõpradega vaadata (isiklikul otstarbel töödelda). Kui tegu on jõulupeo või kooliaktusega, siis need on avalikud üritused.
 
Kui avalikul üritusel tehakse pilt isiklikuks otstarbeks ja sinna jäävad peale äratuntavalt teised inimesed, pole selle tegemiseks teiste nõusolekut vaja. Kui aga pilti soovitakse avalikustada määramatule hulgale isikutele, sel juhul peab olema veendunud, et pildile jäänud isikud on ka sellega nõus. Kõik inimesed, kes teistest pilte avalikustada soovivad, peavad enne küsima nende nõusolekut.
Kes peavad tervishoiu- ja sotsiaalhoolekande valdkonnas määrama andmekaitsespetsialisti?
 
Tervishoiuvaldkonnas peavad andmekaitsespetsialisti määrama:
 
kõik perearstid, haiglad ja kiirabiteenuse osutajad, kuna tegemist on avaliku ülesande täitjatega;
ülejäänud tervishoiuteenuse osutajad, kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed.
Sotsiaalhoolekande valdkonnas peavad andmekaitsespetsialisti määrama:
 
asutused, keda riik on lepingu alusel volitanud osutama avalikku teenust. Avalike ülesannete täitjad ollakse klientide osas, kes on  riigi poolt suunanud sotsiaalhoolekande teenust saama ning kelle teenus tasutakse riigi või kohaliku omavalitsuse eelarvest;
ülejäänud sotsiaalhoolekande teenuse osutajad, kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed.
Täpsemalt saab lugeda isikuandmete töötleja üldjuhendist.
 
Kes tervishoiu- ja sotsiaalhoolekande valdkonnas peavad tegema mõjuhinnangu?


Mõjuhinnang tuleb teha kõigil vastutavatel ja volitatud töötlejatel, kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed. Mõjude hindamine tuleb läbi viia enne, kui hakatakse kasutama mõnda (uut) tehnoloogiat või rakendust, millega varem kokkupuudet ei ole olnud.

Täpsemalt saab lugeda isikuandmete töötleja üldjuhendist.

Kas isikuandmete kaitse üldmäärus reguleerib haigla patsientide kohta info väljastamist ja külastusõigust?
 
Isikuandmete kaitse üldmäärus otseselt info väljastamist ega külastusõigust ei reguleeri. Üldmäärus on Euroopa Liidu õigusakt, millega peavad olema kooskõlla viidud Eesti seadused. Haiglaravi saavate patsientide info väljastamist reguleerivad tervishoiuteenuse korraldamise seadus ja võlaõigusseadus.
 
Tavapärane külastuskorra põhimõte on sama, mis enne üldmääruse kehtima hakkamist 25. mai 2018. Patsient ise ütleb, kes on tema kontaktisik, kellele tohib infot jagada ja kes on need inimesed, kellel on külastusõigus. Seadusandja tahe on anda patsiendile õigus keelata enda kohta info andmise neile, kellel on lähedase inimesena info saamise õigus. Samuti on seadusandja võimaldanud teatavatel juhtudel info saamise õigust piirata uurimisorganil.
 
Juhul, kui patsient on kontaktivõimetu, on patsiendi kohta informatsiooni saamise õigus lähedastel, kelleks on tavapäraselt abikaasa, alanejad ja ülenejad sugulased ning õed- vennad.
Kas telefoni või e-postiga tohib patsiendile tundlikku infot anda?
 
Nii telefoni kui e-postiga võib patsiendile tervisega seotud tundlikku infot anda, aga info andja peab olema veendunud, et selle vastuvõtjaks on õige isik ehk siis seesama inimene, kes enda kohta infot küsib. Vastutust selle eest, et teave jõuab õige inimeseni, kannab info andja ning sellest tulenevalt on tal kohustus helistaja isik tuvastada. Kuidas ta seda teeb, saab olla tema enda otsus.
 
Patsiendiga suheldes on mõistlik igal korral hinnata, kas jagatav info on tundlik või mitte. Vastuvõtuks aja andmine ei ole tundlik info. Kui perearst saab telefoni teel patsiendilt palve pikendada retseptiravimit, siis ei nõua see samuti tervisega seotud tundliku info väljastamist.
Kas kool saab nõuda distantsõppel lastelt veebikaamera sisse lülitamist?

Õpetajal on põhjendatud vajadus õpilasi kaamera vahendusel jälgida, et saaks kontrollida õpilase kohalolekut ning sarnaselt kontaktõppe tunnile jälgida kogu tunni vältel õpilaste käitumist ning tunnis osalemist. Küll aga juhul, kui on mõjuv põhjus, miks ei saa pilti jagada (nt andmemahu või internetiühenduse probleemid), siis ei saa see olla põhjuseks lapse puudujaks märkimisel, vaid tuleb leida muu võimalus õpilase kontrollimiseks (nt aktiivne vestlus õpilasega).

Vaata veel vastuseid küsimustele hariduse valdkonnast https://www.aki.ee/et/uudised/andmekaitse-pole-raketiteadus

Nõuandeid haridusasutustele: COVID; VIRTUAALKESKKOND JA DISTANTSÕPE; ISIKUANDMETE JAGAMINE; VALVEKAAMERA; ÜLDINE.
Vastuseid enamlevinud küsimustele andmete töötlemisel https://www.aki.ee/et/uudised/andmekaitse-pole-raketiteadus

 

 

Töösuhted

Mida ja kui palju tohib tööandja minu kohta küsida?

Töösuhetes kehtib kuldne reegel: tööandja küsib isikuandmeid nii vähe kui võimalik ja vajalik, õiguslik alus on ennekõike kas seadus või töökorraldusreeglid, mis on lepingulise suhte osa.
 
Kui tööandjal on vaja töötaja kohta saada isiklikke andmeid, mille töötlemiseks puudub muu õiguslik alus, on lisavõimaluseks nõusolek, kuid see peab olema vabatahtlik ja kasutusel vaid erandjuhtudel.
 
Nõusoleku peab tööandja küsima nende toimingute jaoks tema isiklike andmetega, mida ei ole töökorraldusreeglites ja mis ei tulene seadusest. Nõusoleku andmine või mitte andmine ei tohiks kaasa tuua kahjulikke tagajärgi. Seda seetõttu, et tööandja ja töötaja on ebavõrdses olukorras ja kui nõusoleku andmine toob kaasa töötaja jaoks ainult negatiivse tagajärje, siis seda vabatahtlikuks lugeda ei saa.
 
Isikuandmete kaitse üldmäärusega käsitletakse erasektoris lisa õigusliku alusena õigustatud huvi. Töösuhetes on mõistlik vältida õigustatud huvi alusel isikuandmete töötlemist, sest tööandja ei tohiks seada töötajat halvemasse olukorda. Töösuhetes toimuvas andmetöötluses kehtivad põhimõtetena läbipaistvus, minimaalsus, lugupidamine ja ausus.
Kas töötajal on õigus vaidlustada olukord, mil tööandjal oli iseseisvalt vaja tema isikliku e-postiga tutvuda?
 
Töötajal on õigus vaidlustada igasugune kõrvaliste isikute tegevus, mis on seotud tema nimelise e-postkasti kasutamisega. Kui aga tööandja on eelnevalt töökorraldusreeglites paika pannud nimelise e-postkasti kasutamise reeglid, on selle kaudu täpsemalt reguleeritud, kas ja millistel tingimustel on isiklik kirjavahetus lubatud. Samuti see, millistel juhtudel tohib tööandja, arvestades töötaja õigust privaatsusele, tutvuda tema nimelises e-postis olevate kirjadega.

Näiteks, kui tööandja lubab tööalast e-postkasti kasutada, mis on igati mõistlik, võib töökorraldusreeglitesse panna kirja, et „tööandjal on õigus tutvuda töötaja tööalaste kirjadega juhul, kui tööandjal ei ole teist võimalust äritegevuseks vajaliku info saamiseks. Tööandja väldib seejuures asjasse mittepuutuvate kirjade igasugust töötlemist. Isiklikuks kirjavahetuseks tuleb töötajal pidada e-postkasti kausta nimega „ISIKLIK“.

Kas pärast töösuhte lõppu tohib töötaja e-posti säilitada ja kasutada?


Peale töösuhte lõppemist ei ole tööandjal oma endise töötaja nimelise e-posti aadressi kirjadega tutvumiseks ühtegi põhjendust, mida toetab õigusakt. Seega, tuleb muude kokkulepete puudumisel nimeline e-posti aadress koheselt peale lepingu lõppemist sulgeda ja kustutada.

Kui tööandja on kehtestanud töösuhte ajal e-posti kasutamise põhjendatud reeglid, saab ta reeglites tagada endale õiguse säilitada endise töötaja e-posti kirju mõistliku aja jooksul. Endise töötaja e- kirjad võib paigutada näiteks arvutikettale, kustutades seejärel serverist e-posti aadressi koos selle sisuga. Kui aga peaks olema põhjendatult vaja säilitada mingiks ajaks töötaja e- post, võib serveris töötaja nimelise e-posti asendada muu kombinatsiooniga, mille alusel ei saa inimest enam tuvastada, nt ’tootajaametipost@ettevõte.ee’.
Iga töötaja saab ka ise oma privaatsust endise tööandja juures kaitsta, kui järgib lihtsat nõuannet: töösuhte ajal on mõistlik isiklikud e-kirjad koguda eraldi kausta, mida on lihtne töölt lahkudes kustutada. Kui seda aga tehtud ei ole, tuleks e-postkast enne töölt lahkumist üle vaadata ja isiklikud kirjad kustutada.
Kokkuvõttes on kõige otstarbekam on töötaja e-posti säilitamine ja kasutamine panna paika töökorraldusreeglites.

Kas töötaja arvutisse/e-postkasti on tema teadmata sisenemine keelatud?

Jah, töötaja teadmata on tema tööalaselt kasutatavas arvutis või e-postkastis ükskõik missuguste isikuandmete töötlemistoimingute tegemine keelatud. Enne igasugust tegevust tuleb töötajat teavitada ja seda ka juhtudel, kui vaja faile kopeerida või kontrollida töötaja töökohustuste täitmist.

Teavitamine tähendab nii konkreetsest tegevusest eelnevat teavitamist kui ka töötaja üldist teavitamist. Näiteks saab töötajat üldiselt teavitada arvuti/e-posti kasutamise reeglite, tingimuste või juhiste tegemise läbi, kus tuleks reguleerida, kas ja missugustel tingimustel saab töötaja oma isiklikku informatsiooni arvutis või e-postkastis hoida. Levinud variandiks on, et kui töötaja soovib tööarvutis isiklikke faile hoida, peab ta arvutis või e-postkastis looma isikliku kausta, kuhu ta oma eraelulise sisuga info koondab.

Tööandja peab reeglite loomisel arvestama, et need ei tohi minna vastuollu põhiseaduse või teiste seadustega. Töötajale ei saa seada ebamõistlikke piiranguid ega luua endale seaduses sätestatust lubatust suuremaid õigusi.
Kas tööandja võib kontrollida töötaja joobeseisundit?

Joobeseisund on terviseseisund ja kuulub delikaatsete isikuandmete hulka ja selle kontrollimine töölepingu täitmiseks on keelatud. Ka politsei kutsumisest ei pruugi abi olla kui isik ei ohusta ennast ega teisi. Ilmsete joobeilmingute korral on tööandjal seadusest tulenev kohustus töötaja töölt eemaldada ning seega ka õigus selleks vajalikus ulatuses isikuandmeid töödelda. Samas joobeseisundi kontrolli täpsema korra selliste olukordade tarvis peaks tööandja reguleerima töökorralduse reeglites. Ilma et esineks joobeilmingud, võib joobeseisundit kontrollida juhul, kui mõni eriseadus nii ette näeb või kui töötaja annab selleks kirjaliku nõusoleku.
Kas ettevõtte kodulehel võib avaldada, et töötaja on lapsehoolduspuhkusel?
Puhkuse põhjuse avaldamine kodulehel on selgelt ülemäärane ning on lubatav vaid töötaja nõusolekul.
Kas tööandja võib nõuda töötajalt karistusandmete esitamist?
Isikult endalt ei ole õigust nõuda karistusregistri väljavõtte esitamist ning seadusandaja on näinud ette võimaluse tööandajal teha ise sellekohane päring.
 
Töötaja poolt täidetavas ankeedis võib küsida vaid seda, kas isikul on varalise kahjuga seotud kehtivaid karistusi või mitte. Sel juhul on inspektsiooni hinnangul täidetud isikuandmete eesmärgipärasuse ja minimaalsuse põhimõtted. Eelpool kirjeldatu on lubatud vaid töökohtade puhul, kus on otsene kokkupuude rahaga.
Mida teha, et hoida ära kliendiandmebaaside kopeerimist ja mittesihipärast kasutamist?
Kõik tööandjad, kelle tegevuse üheks vundamendikiviks on kliendiandmebaas ning kes tahavad olla kindlad klientide isikuandmete sihipärases kasutamises, peavad täitma andmekaitse - ja turvanõudeid. Esmalt tuleb töötajad informeerida, kuidas ja milleks võib kliendiandmeid kasutada. Selleks on vaja kehtestada isikuandmete töötlemise reeglid ehk andmekaitsetingimused. Teiseks peab tööandja võtma kasutusele infoturbe meetmed, mis muuhulgas tuvastavad ka andmete liikumise. Teisisõnu, tööandja peab hoolitsema selle eest, et igast toimingust jääb maha logi, mis vajadusel aitab saada ülevaadet andmete liikumisest.
 
Kui tööandja on loetlenud toimingud, mida kliendiandmebaasiga tohib teha, on töötajal kohustus nendest kinni pidada. See tähendab, et kui töötaja kasutab kliendiandmebaasi omavoliliselt (nt oma eraeluliste probleemide lahendamiseks või  eraldioleva äritegevuse raames), siis selliseks tegevuseks puudub õiguslik alus.
 
Süüteo osas võib kliendiandmebaasi ebaseaduslik saamine, kasutamine või avaldamine kvalifitseeruda karistusseadustiku* alusel  kuriteoks. Olenevalt olukorrast võib olla tegemist ka väärteoga isikuandmete kaitse seaduse järgi.
 
Kriminaalasja saab algatada siis, kui kliendiandmebaasi kui ärisaladust on kasutatud ärilisel eesmärgil või kahju tekitamise eesmärgil. Selleks peab olema tööandjal ehk isikuandmete töötlejal eelnevalt ja väga selgelt ära fikseeritud, et kliendiandmebaas on tema jaoks käsitletav ärisaladusena. Lisaks sellele on oluline, et tööandja on teinud kõik endast oleneva ärisaladuse kaitsmiseks (paika pannud meetmed ärisaladuse kaitseks).
 
Väärteomenetluse algatamiseks ei pea olema tekitatud kahju. Tegevus ei pruugi otsest kahju tekitada, kui näiteks töötaja on kasutanud kliendiandmebaasi n-ö omavoliliselt ja eiranud kehtestatud andmekaitsereegleid (nt kasutab oma tööalast juurdepääsu mingile infosüsteemile eraprobleemide lahendamiseks) või võtab selle hoopis peale töösuhte lõpetamist endaga kaasa. Kuid inimestel, kes on usaldanud oma andmed ettevõtte kliendiandmebaasi kindlateks toiminguteks, kaob teadmine ja ülevaade, mida isikuandmetega tehakse. See omakorda tähendab riski ja ohtu isikuandmete väärtöötluseks.
 
Uurimise algatamiseks ja võimaliku väärteo tuvastamise hõlbustamiseks peavad olema täitetud andmekaitse- ja turvanõuded. Kui selles osas esineb puudujääke, on võimalus väärteomenetluse algatamiseks ka tööandja enda tegevusetuse suhtes. Iga isikuandmeid töötlev tööandja saab reegleid täites end kaitsta väärteomenetluse eest. Samuti on reeglite täitmine oluline, et tõendada andmete liikumist ning võimalikku väärkasutamist.
 
Kui on juhtunud intsident?
 
Isikuandmete töötlemise nõuete rikkumise korral on vastutaval töötlejal (nt tööandjal) kohustus esitada Andmekaitse Inspektsioonile rikkumisteade, kui intsidendi tagajärjeks võib olla oht füüsilise isiku õigustele ja vabadustele. Kahju korral saab tsiviilkohtus nõuda rikkunud isikult kahju hüvitamist ja andmete hävitamist.
 
*v.t karistusseadustik (KarS) § 377 lg 1.
 
 
Kas palgalehte peab e- postiga saatma krüpteeritult?
Palgaleht sisaldab inimese nime ja pangarekvisiite ja neid ei loeta delikaatseteks andmeteks, tegemist on tavaliste isikuandmetega. Tööandja peab ise otsustama, kui õigustatud on palgalehe krüpteerimine. Isikuandmete krüpteerimine on hea võimalus, kuid mitte seadusest tulenev kohustus, kolmandate osapoolte eest info kaitsmisel ja turvalisuse tagamisel.
 
 
Kas tööandja võib kohustada töötajat kandma nimesilti?
See võib olla teatud ametite või ettevõtte üldise kuvandi puhul põhjendatud (nt maaklerid, hotellitöötajad). See peab olema töötaja töökohast lähtuvalt põhjendatud vajadus ning seega toimub andmete töötlemine lepingu alusel ja selle täitmiseks. Poolte kokkuleppel soovitame kasutada vaid töötaja eesnime.
Kas uus potentsiaalne tööandja võib uurida eelneva tööandja käest kandideerija kohta?

Töösuhetes aitab tööandjat alati olulise andmekaitsepõhimõtte järgimine: tööandja küsib tööle kandideerijalt isikuandmeid nii vähe kui võimalik ja vajalik ning selleks, et veenduda tema sobivuses ametikohale.

Tihtipeale märgivad kandideerijad ise CV-sse soovitajad. Eelduslikult on kandideerija neilt ka nõusoleku saanud, et nende poole võidakse küsimustega tema kohta pöörduda ning mõistagi on siis sellise taustainfo küsimisega nõus ka kandideerija ise. Seega kandideerija poolt nimetatud soovitajate poole võib julgelt pöörduda.

Kui tööandja soovib teha omaalgatuslikku taustakontrolli, siis siin kehtib oma kuldne reegel: ole tegevuses läbipaistev! Igaks andmetöötluseks peab olema õiguslik alus - kas siis kandidaadi nõusolek, seaduse säte või erasektori puhul analüüsi nõudev õigustatud huvi. Nii ongi võimalik ka vestlusel või muus etapis kandideerimisprotsessis kandidaadilt selleks nõusolek küsida või kui tulevane töökoht nõuab seadusest tulenevalt eelnevat taustakontrolli, siis selline info võiks olla kandideerijale võimalikult varajases staadiumis teada. Õigustatud huvi korral tuleb kaaluda, kas tööandja vajadus ja huvi taustakontrolli teha kaalub ikka ülesse kandidaadi privaatsusesse tungimise. Kindlasti tuleb seda teha avatult ja läbipaistvalt.

Selliseid olukordi, kus tööle värbamine eeldab puhast tausta ja taustauuringut tuleb ilmtingimata teha, on nii avalikus kui erasektoris. Näiteks ei saa avalikus sektoris lasteaiaõpetajaks võtta tööle inimest, kes on tekitanud alaealisele kehalisi vigastusi. Vastutusrikkad ametikohad panganduses, infotehnoloogias jt nõuavad samuti taustauuringut kas seaduse sätte või õigustatud huvi alusel.

Kuid oluline on meeles pidada, et isikuandmete kaitse üldmäärus, eestikeelse lühendiga IKÜM, annab inimesele õiguse oma andmete kasutuse üle omada ülevaadet. Tööle kandideerimisel on igal inimesel õigus küsida, mida tema kohta on kogutud, sh tehtud taustapäringute kohta.

Kogu andmetöötlus peab olema kandideerija jaoks läbipaistev ning kui andmeid ei ole enam vaja, peab need kustutama.

Kui tööandja soovib jälgida töötaja töökohustuste täitmist ja liikumisi, kas selleks tal on olemas õiguslik alus?

Töökohustuste täitmist võib tööandja kontrollida, kuid seejuures ei tohi riivata ülemäära töötaja põhiõigusi. Selline isikuandmete töötlemine saab toimuda tööandja õigustatud huvi alusel.

Tööandjal tuleb seega alustada põhjalikust huvide hindamise ja kaalumise analüüsist, kust peab selguma, mismoodi tööandja huvid kaaluvad üles töötaja õiguse privaatsusele ning kui see leiab tõestust, siis kuidas tööandja saab kontrollida töötajat nii, et see riivaks võimalikult vähe töötaja privaatsust.

Näiteks ei ole tööandjal lubatud paigaldada töötaja arvutisse internetikasutust jälgivat programmi, ilma et selle vajadust poleks analüüsitud ja töötaja sellest teadlik. Tööandjal tuleb selleks koostada õigustatud huvi analüüs. Eluliste olukordade pealt veel näiteid tuues, siis õigustatud huvi analüüsi on vajalik ka olukorras, kui töökohustuste täitmist soovitakse jälgida töötaja arvutisse paigaldatud tarkvaraga, mis teatud aja möödudes teeb töötaja arvutiekraanil olevast kujutisest pildifaile ning edastab selle tööandjale.

Nõuded on samad ka olukorras, kus tööandja soovib paigaldada töötaja isiklikku telefoni programmi, mis tema liikumist jälgib. Ilma õigustatud huvi analüüsita ei ole seaduslik kontrollida ka töötaja liikumist töösõidukisse paigaldatud GPS seadmega, kui töötaja on tuvastatav. Samuti töötaja töökohustuste täitmise kontrollimist valvekaamerapilti jälgides.

Kõik kirjeldatud olukorrad nõuavad põhjalikku huvide hindamise ja kaalumise analüüsi. Lisaks tuleb tööandjal paika panna reeglid, olgu need siis e-posti, interneti, programmide või sõiduki kasutamise kohta.

Valvekaamera kasutamiseks on vaja kaamerate kasutamise tingimusi ja eesmärke ning tutvustavad andmekaitsetingimusi.

Kokkuvõttes, tööandja tohib töötajat küll kontrollida, kuid tegevus eeldab põhjalikku huvisid kaaluvat analüüsi, reeglite olemasolu ning isikuandmete töötlemine peab olema läbipaistev.

Tähelepanu tuleb pöörata sellele, et ekslikult arvatakse, et töötaja kontrollimine on tihedalt seotud töölepingust tulenevate kohustustega ning õigusliku alusena saab kasutada „lepingu täitmist“. Nii see tegelikult ei ole, sest kuigi töötaja kontrollimine on tihedalt seotud töölepingust tulenevate kohustustega, ei ole see samal ajal kindlasti vajalik töölepingu täitmiseks.

Kliendisuhted

Kas internetis vabalt kättesaadavatele e-posti aadressidele võib pakkumisi saata?

Olenemata sellest, kas e-posti aadress on Internetis avalikult kättesaadav või mitte, võib füüsilise isiku e-posti aadressi kasutada otseturustuseks vaid tema eelnevalt nõusolekul. Nõusolekuna ei saa võtta seda, kui inimene on suvalisel võrgulehel oma e-posti aadressi avalikuks teinud.
Kas ettevõte võib ostutšekil kajastada isikuandmeid?
Osadel ostutšekkidel on kajastatud müüja ees-ja perenimi ja kliendi tuvastamisel ka kliendi nimi ja kodune aadress. See saaks toimuda vaid isikute eelneval nõusolekul. Juhime tähelepanu, et andmete töötlemisel peaks alati lähtuma eesmärgipärasuse ja minimaalsuse põhimõtetest.
 
Juhul, kui eraisik soovib arvet, siis saab seal tema andmeid kajastada, aga tavalisel ostutšekil soovitame märkida näiteks kliendi number ja müüja osas kas kassapidaja number või ainult eesnimi. Juriidiliste isikute kohta eelpool toodud andmekaitse nõuded ei kehti.
Kuidas välistada uudiskirja pakkudes kontaktandmete pahatahtlik kasutamine? 
Andmekaitse Inspektsioonile on jäänud silma, et osad ettevõtted kasutavad uudiskirjadega liitumiseks andmekaitseliselt nõrka lahendust. Veebilehel pakutakse ilma isiku tuvastamiseta võimalust kirjutada vastavasse veebivormi aknasse uudiskirja soovija e-posti aadress ja sellega kogu tellimise protseduur lõpeb.
 
Kontrollmehhanismita lahendus ei vasta isikuandmete kaitse üldmääruse lõimitud andmekaitse põhimõttele.
 
Andmekaitse seisukohalt on õige kasutada näiteks lahendust, kus pärast veebivormi e-posti aadressi sisestamist genereerib ettevõtte süsteem samale aadressile täiendava kontrollkirja, millele e-posti omanik peab reageerima. Sedaviisi toimides saab kindlustada, et uudiskirja hakkab saama kontakt, kes on ise info saamiseks soovi avaldanud ning on välistatud, et uudiskirja ei hakka saama keegi, kes ei ole seda tellinud.
Millist otseturustust saab teha õigustatud huvi alusel?
 
Levimas on ekslik arusaam, et alates isikuandmete kaitse üldmääruse (IKÜM) jõustumisest 25. mail 2018 oleks nagu lubatud saata reklaami, kui reklaami saatjal on õigustatud huvi.
 
Üldmäärus ei reguleeri otseturustust e-kanalite kaudu, milleks loetakse e-posti, tekstsõnumeid ja multimeediasõnumeid. E- otseturustuse osas kehtivad erinormid ja seadus teeb vahet füüsilisel ja juriidilisel isikul. Eraisikutele tohib reklaami saata ainult eelneva nõusoleku või varasema kliendisuhte olemasolul. Juriidilisele isikule reklaami saatmiseks ei pea nõusolekut küsima, kuid e -kirjas või muus elektroonilise side sõnumis peab olema loobumislink.
 
Kui otseturunduse tegija kasutab isikuandmeid telefonimüügis või posti teel reklaami tegemiseks, tuleb arvestada kolme asjaoluga.
 
Esiteks, püsiv ärimudel ei saa tugineda õigustatud huvile – see eeldab igakordset kaalumist-põhjendamist, kas konkreetsel juhul kaalub reklaami saatja õigustatud huvi üles inimese õiguse eraelule. Teiseks, kui viidata õigustatud huvile, tuleb seda reklaami saajale põhjendada. Kolmandaks, inimesel on alati õigus keelata oma andmete kasutamine otseturustuseks ning reklaami saatja peab sellest informeerima.
 
ABC e-otseturundajale
 
E-otseturustusele (e-post, SMS) kohalduvad erinormidena e-privaatsusdirektiivi (art. 13) ja elektroonilise side seaduse (ESS § 1031) nõuded.
Elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud kas inimese eelneval nõusolekul või varasema kliendisuhte olemasolul samalaadsete kaupade/teenuste pakkumisel. Vaikimist või tegevusetust nõusolekuks ei loeta.
Inimesel peab olema alati lihtne võimalus otseturustussõnumitest loobuda.
Juriidilise isiku elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud juhul, kui tal on lihtsalt võimalik otseturustussõnumitest loobuda.
 
ABC muudes kanalites otseturundajale
 
Mõistlik on tugineda reklaami saaja eelnevale nõusolekule.
Õigustatud huvi ei saa reklaami saatmisel olla püsiv ärimudel, vaid igakordne kaalumine. Iga püsiv skeem peab toetuma kindlale reeglistikule.
Õigustatud huvile viidates reklaami saatmisel tuleb inimesele seda põhjendada (IKÜM art 13 ja 14).
Inimene saab alati keelata mistahes alusel toimuva otseturunduse (IKÜM art 21 lg 3).

Maksehäired

Kas koos ettevõtte võlainfoga võib avalikustada juhatuse liikme isikuandmeid?
 
Riigikohus peab lubatavaks äriühingu juhatuse liikme nime avaldamist koos infoga ettevõtte võla kohta võla sissenõudmise (võlgniku survestamise) eesmärgil järgmistel tingimustel:
 
Võla tasumisele sundimise eesmärgil on lubatud avalikustada juriidilise isiku võlg koos registrist nähtuvate juhatuse liikmete andmetega. Kuid võla tasumisele sundimise eesmärgil ei või avalikustada koos juriidilise isiku võlaga endiste juhatuse liikmete nimesid, sest neil puudub võimalus võlgniku majandustegevust mõjutada.
 
Juhatuse liikme nime ei või avalikustada võlaga seoses ka siis, kui avalikustajale on teada, et see isik tegelikult ei saa mõjutada võlgniku majandustegevust. Avalikustajal ei ole kehtivate juhatuse liikmete puhul kohustust hakata ise seda uurima, kes või kas tegelikult saab mõjutada. Aga kui avalikustajale on selline asjaolu teatatud, siis peab avalikustaja seda arvesse võtma. Samuti peab avalikustatav info olema tõene ja ei tohi eksitada. Teisiti öeldes ei tohi avaldatud infoga jätta muljet, et võlgu on juhatuse liige.
 
Võla tasumise eesmärgil on õigus avaldada võlgniku ja selle juhatuse liikmete kohta kohaseid väärtushinnanguid. Lubatud on näidata juriidilise isiku võlga koos seotud isikutega ka negatiivses kontekstis, mida saab käsitada ka avaliku häbistamisena, kui seejuures on järgitud sündsuse piire ega ole vastuollu mindud heade kommetega. Üksnes asjaolust, et äriühing on kellelegi võlgu, ei järeldu iseenesest seda, et äriühingu juhatuse liikmed on ebakompetentsed või olnud pahatahtlikud. Ainuüksi maine kahjustamise eesmärk ei ole aktsepteeritav. Kui avalikustamise peamine eesmärk on kellegi maine kahjustamine, mitte võla kättesaamine, siis selline tegevus võib olla vastuolus heade kommetega.
 
Asjakohased Riigikohtu lahendid: 3-2-1-67-10 (21.12.2010) ja 3-2-1-80-13 (25.09.2013)
Kas ettevõte võib avaldada eraisikust võlglase nime oma koduleheküljel?
Ei, kui selleks puudub isiku nõusolek.
Kas korteriühistu võib arve juures näidata võlgnevusi ja võlglasi?
Jah, kui arve edastatakse kas e-mailile või korteri omaniku postkasti. Trepikoja teadetetahvlil võlgnevusi näidata ei või.

Avaldamine ja kustutamine

Kas avalikust registrist pärit andmeid võib internetis taasavalikustada?
 
Mitmetes registrites avalikustatakse seaduse alusel isikuandmeid, näiteks kinnistusraamatus, Ametlikes Teadaannetes, Riigi Teataja kohtulahendite rubriigis, äriregistris. Kas neist registritest pärit isikuandmeid võib igaüks omakorda internetis taasavalikustada? 
 
Internetis võivad kõik isikud piiranguteta taasavalikustada üksnes andmekogude avaandmeid. Avaandmed on need, mis on kättesaadavad leheküljel https://opendata.riik.ee/.
 
Andmekogudes seaduse alusel avalikustatud muid andmeid võib taasavalikustada üksnes juhul, kui seda lubab mingi seadus. Kui seaduslikku alust ei ole, siis selliseid andmeid taasavalikustada ei või. 
 
 
Millal tohib avalikustada sugupuu andmeid internetis?
Igal ühel on õigus uurida ja teada saada oma esivanemaid, sugulasi ja hõimlasi ning tulemuste avaldamiseks koostada sugupuu. Kui taoline sugupuu koostatakse ja avaldatakse sugulaste ringis, siis ei kohaldu Isikuandmete kaitse seadus, kuna andmeid töödeldakse isiklikul otstarbel.
 
Juhul, kui isikuandmed aga avalikustatakse Internetis (nt http://www.geni.com/ lehel), siis kohaldub isikuandmete kaitse seaduses ettenähtud nõusoleku küsimise nõue ehk teisisõnu tuleb isikuandmete avalikustamiseks küsida isikult endalt selleks isikuandmete kaitse üldmääruse artikkel 6 kohane nõusolek. Lisaks soovitame sätestada veebilehele piirangud sugupuuandmetele juurdepääsevate isikute hulga osas (nt vaid suguvõsasse kuuluvad isikud pääsevad enda suguvõsa andmetele ligi).
 
Kui te aga leiate oma isikuandmed avalikult kättesaadavana ja te ei soovi seda, siis pöörduge avaldaja poole omaenda andmete umbisikustamiseks või kinniseks muutmiseks.
 
Tutvu ka Andmekaitse Inspektsiooni juhisega Isikuandmete töötlemine suguvõsa uurimiseks (PDF)
Kas võistlusprotokollides tohib isikuandmeid avalikustada?
Spordiürituse korraldaja peab registreerumisel osalejat teavitama, kuidas ja millised isikuandmed võistluste tulemustest avalikustatakse, kus avalikustatakse ja kui kauaks jäävad  andmed avalikuks. Muude isikuandmete osas, mis ei ole võistluse läbiviimiseks hädavajalikud, tuleb osalejale anda võimalus ja vastav juhis avalikustamisest keelduda.
Kas kohtulahendist saab oma nime eemaldada?
Isiku taotlusel asendab kohus lahendis andmesubjekti nime initsiaalide või tähemärgiga ning ei avalikustata tema isikukoodi, sünniaega, registrikoodi ega aadressi tsiviilkohtumenetluse seadustiku § 462 lg 2 ja halduskohtumenetluse seadustiku § 175 lg 3 alusel.
 
Avalikustatud kuriteo ja väärteo kohtulahendites või muudes registrisse kandmise aluseks olnud ametnike avalikustatud otsustes asendatakse isiku nimi initsiaalide või tähemärgiga pärast karistusandmete registrist kustutamise tähtaja saabumist karistusregistri seaduse § 28 kohaselt. Erisus kehtib alaealistele kriminaalmenetluse seadustiku § 4081 lg 2 alusel. Kuriteo koosseisude puhul, mis on loetletud karistusregistri seaduse §-s 28, ei ole õigust isikuandmete avalikustamise lõpetamist nõuda.
 
 
Kuidas kustutada ID-kaardi kasutusajalugu?
ID-kaardiga e-teenusesse sisenemisel kuvab arvuti kõigepealt akna, milles kasutaja peab valima sertifikaadi, millega ta soovib e-teenusesse siseneda. Kui arvuti kasutaja on alati sama isik, on valikus ainult üks sertifikaat – kasutaja enda oma. Kui aga arvutit kasutavad erinevad inimesed (näiteks avalikes internetipunktides või ametiasutuste ja ettevõtete teenindussaalides), võib veebilehitsejate Internet Explorer ja Google Chrome puhul arvuti kuvada ka eelnevate kasutajate sertifikaatide andmed.
 
Mittevajalikud ja segadust tekitavad sertifikaadid saab eemaldada järgmiselt:
 
Kui veebilehitsejaks on Internet Explorer.
avage veebilehitseja;
avage tegumiribal menüü Tööriistad (Tools) ja valige Inerneti-suvandid (Internet Options);
avanenud aknas liikuge valikule Sisu (Content) ja klikake ikoonil Serdid (Certificates);
kustutage valiku Personal alt kõik sertifikaadid. Sertifikaatide kustutamiseks tehke hiirega klikk sertifikaadil, valige Remove ja Yes.
Kui veebilehitsejaks on Google Chrome.
avage veebilehitseja;
klikake tegumiriba ikoonil Kohandamine ja juhtimine (Customize and control) ja valige Seaded (Settings);
avanenud lehel klikake tekstil Kuva täpsemad seaded (Show advanced settings), liikuge valikule HTTPS/SSL ja klikake ikoonil Halda serte (Manage sertificates);
kustutage valiku Personal alt kõik sertifikaadid. Sertifikaatide kustutamiseks tehke hiirega klikk sertifikaadil, valige Remove ja Yes.
 
 
Kui aken on sertifikaatidest tühi, siis valige Close ja OK. Seejärel asetage ID-kaart lugejasse, avage ID-kaardi haldusvahend ja lubage rakendusel sertifikaadid uuesti registreerida.
 
Kui nüüd uuesti ID-kaardiga e-teenusesse siseneda, kuvab arvuti ainult kasutaja sertifikaati.
Kas ja mismoodi saab otsingumootoritesse jõudnud isikuandmed ära kustutada?

Nagu igal asjal on oma hea ja halb külg, on seda ka infomaailma põhitegijal- otsingumootoril, mis leiab üles kõik avalikud võrgulehed ja kajastab nende sisu. Kuna osa infost on inimeste isikuandmed, võivad mõned inimesed ainuüksi juba oma nime ja sünniaega otsingumootorist nähes tunda privaatsuse riivet ning leidub neidki, kes tahaksid teha kõik selleks, et maha saada mistahes isikuandmed. Tsitaat elust enesest: „Pole ju teiste asi, et minu koer toob koju medaleid ja jooksen oma vanusegrupis kõige kiiremini.“

Olukorras, kus otsingumootor toob välja võrgulehel avaldatud inimese andmed, mida ei soovita seal näha, tuleb esmalt pöörduda andmete avaldaja poole ehk võtta ühendust võrgulehe pidajaga. Näiteks vana töökoha võrgulehelt soovivad paljud oma andmeid kustutada ja seda soovi saab täita vana tööandja.

Vahest võib olla inimestel igati õigustatud kahtlus, kas andmed üldse pidid olema avaldatud. Sel juhul on mõistlik taaskord teha pöördumine võrgulehe pidaja poole ja otse küsida, millisel eesmärgil ja õiguslikul alusel isikuandmed on avaldatud.

Kui tegemist on seaduse või ajakirjanduse sätte (avalik huvi) alusel avaldatud andmetega, ei saa alati andmete kustutamise nõude täitmisele loota. Ajakirjanduslik säte tähendab oma sisult, et kui kaalukausi vaeb üles avalik huvi, ei pruugita inimese privaatsuse sooviga arvestada.  Kuid alati peab ajakirjanduse sätte kasutamisel olema arvestatud ajakirjanduseetika koodeksiga.

Kui õiguslikku alust ja eesmärki ei ole, on inimesel õigus nõuda avaldajalt oma isikuandmete kustutamist. Pärast muutuse tegemist võrgulehel, uuendab end teatud ajatsükli jooksul ka otsingumootor. Alati võib ka otse otsingumootori poole pöörduda, kasutades selleks ette antud vormi. Kui inimene pöördub otse, peab ta arvestama, et otsingumootor ootab põhjendamist ja tõendamist, miks peaks andmed kustutama.

Isikuandmete kaitse üldmäärus annab võimaluse nõuda ka andmete töötlemise piiramist. See tähendab, et inimene saab nõuda oma andmete mittekuvamist ja seda kas võrgulehel või otsingumootoris. Igal juhul tuleb olla valmis põhjendamiseks ja kui vaja siis ka tõendamiseks.

Millest alustada?

 

  1. Tee kindlaks, kes on andmete avaldaja või milliselt veebilt andmed on pärit. Kui võrgulehe omanik pole teada, siis võrgulehe registreerijat on enamasti võimalik tuvastada kasutades erinevaid whois-otsinguid, nt https://www.whois.com/whois, https://uk.godaddy.com/whois ning .ee domeenide puhul www.eis.ee ja .eu domeenide puhul www.eurid.eu.
  2. Uuri välja põhjus, miks andmed on avaldatud. Igal avaldamisel peab olema eesmärk. Näiteks, kui on avaldatud foto tagaotsitavana politsei veebis või ajakirjanduses, on avaldamisel eesmärk inimene üles leida. Kui inimene on üles leitud, kaob ära avaldamise eesmärk.
  3. Nüüd kui tead avaldajat ja põhjust, miks on andmed avaldatud, hinda olukorda edasise sammu astumiseks. Õigus andmed kustutada on reeglina Sinu poolel, kui andmete avaldamisel pole olnud seaduse sätet või eesmärki või on see juba täidetud. Võid olla kindel, et isikuandmete kaitse põhimõtted annavad inimesele õiguse olla unustatud nende andmete osas, mida enam ei ole vaja või mis on avaldatud seadusevastaselt. Lisaks on sul õigus andmete töötlemist piirata, näiteks ei pea olema avalikkusele teada, millises lasteaias või koolis oled käinud. Andmete töötlemise piiramine on ka oma nime initsiaalide vastu asendamine, mis teinekord on hea lahendus, kui ilmtingimata on vaja mõnda dokumenti avaldatuna hoida. Töötlemise piiramine on hea võimalus leida kompromisslahendus andmetöötleja ja inimese vahel, s.t andmeid saab edasi kasutada, aga need ei ole leitavad otsingumootorist.
  4. Kui leiad, et sul on õigus saada unustatuks ehk andmed kustutada või nende töötlemist piirata, pöördu avaldaja poole. Selleks tuleb võtta ühendust veebikülje omanikuga, teisisõnu andmete algallikaga ning talle põhjendada, miks nii arvad. Kui näed, et avaldamine on olnud ebaseaduslik, ole valmis seda ka tõendama. Otsingumootor uuendab end peale muutusi reeglina ise, aga kui soovid olla kindel, et andmed otsingumootorist kindlalt maha saaks, võid pöörduda taotlusega ka ise. Euroopa Kohtu otsuse (24. septembril 2019/ kohtuasi C‑507/17) järgi peab otsingumootor andmed kustutama piirkonnas, kust kustutamise nõue tuli. 
Siit leiab kolme otsingumootori taotlusvormid

Google vorm

Bingi vorm

Yahoo vorm.

Hispaania vs Google Inc kohtuasjast C-131/12 tulenevalt on isikul õigus pöörduda ise oma andmete eemaldamiseks otse Google´i poole

Kuidas teada saada, kes avaldas minu andmed välismaa võrgulehel?
Kui võrgulehe omanik pole teada, siis võrgulehe registreerijat on enamasti võimalik tuvastada kasutades erinevaid whois-otsinguid, nt https://www.whois.com/whoishttps://uk.godaddy.com/whois ning .ee domeenide puhul https://www.internet.ee/
 ja .eu domeenide puhul https://eurid.eu/en/
 
Sealt näed, kes on lehe registreerinud (registrant) ja kelle juures on omanik ostnud majutusruumi (technical contact). Võta ühendust võrgulehe omanikuga (registreerijaga), sest välismaisel võrgulehe omanikul ei ole kohustust reageerida inspektsiooni ettekirjutustele. Eraldi võid pöörduda ka vastava riigi andmekaitseasutuse poole.
Kuidas oma andmeid Facebookist maha saada?
1) Esmalt tuleks võtta ühendust andmete avaldajaga ja paluda tal avaldatud andmed maha võtta. Kui see ei anna tulemust või avaldajaga ei ole võimalik ühendust saada, tasub oma õiguste rikkumisest teavitada Facebooki.
 
2) Facebook on kasutajatele õiguste rikkumisest teavitamise väga lihtsaks teinud. Teavitada saab iga postituse paremast ülanurgast avaneva menüü kaudu, kust tuleb valida "teata ebasobivast postitusest" või "teavita fotost". Facebooki poole saab pöörduda ka e-posti teel aadressil abuse@facebook.com.
 
3) Kui Facebooki poole pöördumine ei anna tulemusi, soovitame pöörduda hagiga andmete avaldaja vastu maakohtusse ja taotleda enda kohta edaspidiste andmete, sh laimu avaldamise keelamist.
Kas ma saan sünnipäevaõnnitluse avaldamist ajalehes keelata?
Ajalehtedes inimestele sünnipäevaõnnitluste ja lähedaste surma puhul kaastunde avaldamine on kauaaegne tava. Kuigi nendes kuulutustes töödeldakse isikuandmeid, mille kaitseks on tänapäeval isikuandmete kaitse seadus, ei riku inimese nime ja vanuse avalikustamine inimese eraelu puutumatust sel määral, et juurdunud tavasid keelama hakata.
 
Kui isik on siiski sünnipäevaõnnitlusest häiritud, on tal õigus keelata oma andmete avaldamist õnnitletavate nimekirjas. Kuulutuste avaldaja peab inimese sellist soovi aktsepteerima ja arvestama, et vastupidisel juhul saab puudutatud isik kaevata Andmekaitse Inspektsiooni või kohtusse.
 
Mis puudutab aga vastsündinu nime ja sünniaja avaldamist vallalehes, siis peaks hilisemate arusaamatuste vältimiseks vastsetelt lapsevanematelt selleks nõusoleku küsima.
Kas internetis võib inimese kohta avaldada kõike, sest Eestis on sõnavabadus?
Ei või kõike valimatult avaldada. Ilma inimese enda nõusolekuta lubab seadus eraelu riivavaid isikuandmeid avalikustada, kui on ülekaaluka avaliku huvi olemasolu ning see avaldamine ei tohi ülemääraselt kahjustada kajastatava inimese õigusi. 
Kas elektronkirja koopiareal tohin avaldada e-posti aadresse?
Eraisiku e-posti aadress on samasugune isikuanne nagu kodune aadress ja üldreeglina ilma inimese nõusolekuta seda avaldada ja jagada ei tohi.
 
Kui tavamaailmas ei ole heaks tavaks jagada kellegi kodust aadressi ilma tema nõusolekuta, siis digimaailmas tuleb olla sellega veelgi ettevaatlikum. Iga e-kiri, mille välja saadate, võib jõuda isikuteni, kellele see konkreetne kiri ei ole adresseeritud – seda ennekõike siis, kui eksitakse e-posti aadresside kirjutamisel. Selle tulemusena võivad kõrvalised isikud teada saada informatsiooni, mis ei ole neile mõeldud – olgu selleks nii kirja adressaadid koos e-posti aadressidega kui ka kirja enda sisu. Kõige mustema stsenaariumi tulemusena võidakse selle kirja sisu (koos e-posti aadressidega) edastada veel suuremale isikute ringile või laiemale avalikkusele. Sellepärast tulebki eraisikute e-posti aadresside kasutamisel kindlasti arvestada isikuandmete töötlemise reeglitega, sh eelistama neid meetmeid, mis kohe alguses tagavad suuremat privaatsust.
 
Näide koolist
 
Toome ühe näite lastevanemate e-posti aadresside kasutamisest koolis. On tavapärane, et õpetajad loovad oma klassi lastevanemate e-posti aadressidest ühe nimekirja. Selle nimekirja pidamise mõte on anda vanematele informatsiooni koolis toimunust ning tulevastest üritustest. Kõik vanemad ei eelda ega soovi automaatselt, et nende e-posti aadressid oleksid nähtavad ka teistele vanematele. Seetõttu tuleb nende e-posti aadressid lisada pimekoopiasse (BCC – blind carbon copy), mitte tavakoopiareale. See on üks näide vaikimisi andmekaitse põhimõtte järgimisest. Muidugi on ka neid vanemaid, kes soovivad, et nende e-posti aadressid oleksid ka teistele vanematele nähtavad ja kättesaadavad. Sel juhul peab vanem olema sellest teadlik ja sellega nõus.
 
Alternatiivne võimalus: kooli IT-teenistus või õpetaja on loonud eraldi grupi e-posti aadressi (nt „1A_lapsevanemad“ vms), kus kõikide vanemate e-postide aadressid on teada ainult koolile. Selle näite korral saab lapsevanem teada, mis grupis ta on ning mis grupile konkreetne kiri saadeti, kuid ta ei saa teada, kes selles grupis veel on, sh ka nende e-posti aadresse.
Kas võlaandmeid ei tohigi avaldada?

Tohib, aga võlaandmete avaldamisel kehtib põline reegel: kui andmed on kontrollitud ja õiged, tohib neid ilma isiku nõusolekuta avaldada ainult seadusega kooskõlas. Võlaandmete avaldamise eesmärk ei tohi olla kättemaks või häbistamine.

Seega on olukord, mil iga inimene avaldab internetis oma suva järgi võlaandmeid, üheselt keelatud. Võlaandmete edastamine on lubatud ennekõike inimese krediidivõimekuse hindamiseks ja seda arvestusega, et andmete saajal on seaduslik alus või õigustatud huvi sellist infot saada.

Kas isikuandmete kaitse üldmäärus annab tõepoolest inimesele õiguse nõuda kõigi enda kohta käivate andmete unustamist ehk isikuandmete kustutamist?
Ühiskonnas kohati liigseid ootusi tekitanud unustamise õigus on paljudel juhtudel piiratud õigus. Inimene saab andmetöötlejalt nõuda ainult selliste andmete kasutamise lõpetamist, mida kas pole enam vaja või mille edasiseks kasutamiseks puudub alus. Õigus tuleneb andmetöötluse eesmärgipärasuse ja minimaalsuse põhimõttest.
 
Igal andmetöötlejal on vaja andmete saamiseks, kasutamiseks, avaldamiseks või avalikustamiseks ja samuti edasiandmiseks põhjust, ehk õiguslikku alust ning seda iga tehtava toimingu jaoks eraldi. Näiteks, kui üks andmetöötleja teeb isikuandmetega kolme erinevat toimingut, on reeglina vaja kolme õiguslikku alust.
 
Juhul, kui andmetöötleja saab kustutamise nõude, aga reaalsuses on andmetöötluseks olemas õiguslik alus, ei pea taotlust rahuldama. Igat keeldumist peab põhjendama (ÜM art 6 isikuandmete töötlemise seaduslikkus).
 
Mõnikord võib olla andmetöötlus seotud ühiskonna avalike huvidega. Näiteks, kui andmetöötlus toimub rahvatervise ja teadus- või ajaloouuringute eesmärgil, võib töötlejal olla õigus andmete kustutamisest keelduda. Olukorras, kus töötlemine on vajalik sõna- ja teabevabaduse õiguse teostamiseks, tuleb kaalutleda, kumb õigus on suurem, kas inimese õiguse privaatsusele või sõnavabadus.
 
Inimesel on õigus isikuandmete kustutamisele:
 
1) tema isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
 
2) inimene võtab töötlemiseks antud nõusoleku tagasi ning puudub muu õiguslik alus isikuandmete töötlemiseks;
 
3) tema isikuandmeid on töödeldud ebaseaduslikult.
 
Isikuandmete kustutamist reguleerib üldmääruses artikkel 17. Kustutamise nõue tuleb esitada andmetöötlejale, kellel on vastutus andmete nõuetekohase töötlemise ees (vastutav töötleja).
 
 
Mida teha seaduserikkumist või huligaansust näitava foto või videoga?


Kui Teie kasutuses on õigusrikkuja foto või video, kus inimene on äratuntav ja mida justkui sisemise õiglustunde järgi tahaks avaldada, siis õige on hoog maha võtta ja mõelda, mida selline tegevus endaga kaasa toob. Reaalsuses vahet ei ole, kas omate enda tehtud pilti või videot kellegi rikkumise kohta või olete selle saanud sõbralt.

Häbipost pole lubatud

Videod ja fotod „huligaanidest“ võib rahuliku südamega avaldamata jätta. Igasuguste huligaansuste avaldamisel võite panna teise inimese asjatult häbiposti ja olukord võib pöörduda Teie enda vastu. Nimelt on võlaõigusseaduse (§ 1046) kohaselt isiku au teotamine, muu hulgas ebakohase väärtushinnanguga, isiku nime või kujutise õigustamatu kasutamine, eraelu puutumatuse või muu isikliku õiguse rikkumine õigusvastane, kui seadusega ei ole sätestatud teisiti. Õigusvastasuse tuvastamisel tuleb arvestada rikkumise liiki, põhjust ja ajendit, samuti suhet rikkumisega taotletud eesmärgi ja rikkumise raskuse vahel. Samuti nõuab isikuandmete kaitse üldmäärus, et isikuandmete avaldamiseks peab olema õiguslik alus.

Seega, Eesti seadusandlus ei luba panna inimesi häbiposti ega teha seeläbi „omakohust“. Karistuste määramine on õiguskaitseasutuste pädevuses. Seepärast ei ole lubatud ilma ametliku otsuseta kedagi sotsiaalmeedias seaduserikkujana esitleda.

Mida peaksin ma sel juhul tegema?
Kui olete avastanud sündmuse, kus on õigusrikkumine ja olete seda jäädvustanud foto või videona, siis tuleks ennekõike see jäädvustus edastada sellele asutusele, kes uurib või menetleb sedasorti õigusrikkumisi. Näiteks kui salvestisele jääb sõiduk, mis põhjustas liikluses ohtliku olukorra, siis anda sellest teada politseile, edastades salvestise. Kui näiteks keegi on enda olmeprügi ehk jäätmed viinud nö metsa alla, siis on võimalik sellest teavitada Keskkonnainspektsiooni, politseid või kohalikku omavalitsust.

Kas ma üldse võin avalikkusele teada anda avastatud rikkumisest?


Nagu eelnevalt mainitud, peab isikuandmete avalikustamiseks olema õiguslik alus. On arusaadav, et avalikkusele soovitakse mingist probleemist märku anda. Siiski peate olema veendunud, et kellegi kohta mingi info avalikustamisega Te seadust ei riku. Näiteks ei ole iga küla tänaval ringi sõitev võõras auto potentsiaalne varaste seltskond – seetõttu ei ole alati ka õigustatud, kui selle sõiduki juhist tehakse foto, mis avaldatakse sotsiaalmeedias koos väitega, et tegemist on vargaga. Tegemist võib olla olukorraga, kus inimene on eksinud ja/või otsib mingit konkreetset aadressi, et näiteks sõbrale külla minna.

Kui näiteks avastatakse metsa alt ehitusjäätmeid, siis on võimalik sellest pilt teha ning sellest avalikkust oma sotsiaalmeedia konto kaudu teavitada. Lisaks tuleks teavitada ka ühte eelnevalt märgitud asutustest- keskkonnainspektsiooni, politseid või omavalitsust.

Kui leiate näiteks metsa alt mingid dokumendid, kus on ka inimeste andmed (nt kliendikaardi taotlused, tervisekaardid vms) siis tuleks sellest teavitada Andmekaitse Inspektsiooni. Sellises olukorras ei tohi neid fotosid või videoid nendest dokumentidest koos nendes olevate andmetega avalikustada enda sotsiaalmeedia kontol, kuna see võib tuua pöördumatut kahju neile, kelle andmed nendes dokumentides on. Kui foto jõuab juba sotsiaalmeediasse, hakkab see elama oma elu, mida Teie ise ei kontrolli.

Kui ma soovin avalikkusele teada anda mingist probleemist koos isikuandmetega – miks ajakirjandus seda tohib teha, kuid mina mitte?
Ajakirjanduse puhul on olemas erisäte, mis neil lubab isikuandmeid avalikustada. Isikuandmete kaitse seaduse (§ 4) järgi on isikuandmeid lubatud inimese nõusolekuta töödelda ajakirjanduslikul eesmärgil, eelkõige avalikustada meedias, kui selleks on avalik huvi ja see on kooskõlas ajakirjanduseetika põhimõtetega. Isikuandmete avalikustamine ei tohi ülemäära kahjustada inimese õigusi. Kõik need tingimused peavad olema täidetud.

Jätke meelde oluline põhimõte: kui avaldate kellegi teise isikuandmed foto või videona negatiivses võtmes ja põhjustate sellega teisele mainekahju, olete vastutav Teie ise. Andmete avaldamise tagajärgede eest on vastutus alati avaldajal. See kehtib ka teiste inimeste jagatud info avaldamisel. Seega, kui avaldate, võtate vastutuse.

 

Kokkuvõttes: fotode või videode avaldamine on lubatud järgmiste õiguslike aluste olemasolul:


-Kui on olemas inimese vabatahtlik nõusolek. Peate seda alati saama tõendada.

-Kui see tuleb seadusest. Näiteks politsei saab avaldada menetlusinfot (sh ka isikuandmeid) ainult menetlusseaduste alusel.

-Kui on täidetud kõik ajakirjanduslikul eesmärgil isikuandmete avalikustamise nõuded.

Millal kustutatakse andmed karistusregistrist?

Karistusregistrist karistusandmete kustutamise aeg sõltub sellest, millise süüteo eest määratud karistusega on tegemist. Väärteo eest määratud karistused kustuvad 1 aasta möödumisel (v.a. maksuväärteod, kus see tähtaeg on 3 aastat), kuriteo eest mõistetud karistuste kustutamise tähtajad sõltuvad mõistetud karistusest. Üldkasuliku töö puhul kustutatakse karistusandmed registrist ja kantakse selle arhiivi, kui üldkasuliku töö tegemisest on möödunud 3 aastat. Seega tuleb kõigepealt oodata, millal üldkasulik töö saab tehtud ja seejärel veel 3 aastat, et karistus ei oleks enam registris.

Kaamera ja audio

Mida tähendab andmekaitsereeglite täitmine videovalves?
Andmekaitsereeglid on kehtestatud inimeste (nii töötajad kui kliendid, partnerid jt isikud) privaatsuse kaitseks. Videovalves tähendab andmekaitsereeglite täitmine vastutustundlikku isikuandmetega ümberkäimist ja inimese privaatsuse kaitsmist. Lisaks tähendab see teavitamise kohustust kes mida ja milleks teeb.
Kolm peamist reeglit, millega tuleb videovalve korraldajal arvestada:
Reegel number 3. Inimene peab olema videovalvest teavitatud. Enne videoalasse jõudmist tuleb inimesele avaldada, kes on videovalve korraldaja ja milline on tema kontakt. Samuti tuleb teavitada, missugusel eesmärgil ja õiguslikul alusel ta videovalvet korraldab ning kust leiab täpsema info isikuandmete töötlemise kohta.
Reegel number 2. Inimeste salvestamine tähendab isikuandmete töötlemist. Kui salvestisi hoida hilisemaks vaatamiseks, on see juba isikuandmete töötlemistoiming. Videovalve korraldajast saab isikuandmete töötleja. See aga tähendab talle kohustust kaitsta inimese privaatsust ja olla valmis võimaldamaks inimestel tutvuda enda isikuandmetega.
Reegel number 1. Salvestisi ei tohi kasutada algsest erineval eesmärgil. See tähendab, et kui vara kaitseks tööle pandud turvakaamera on õigusrikkuja teolt tabanud, ei tohi selline salvestis jõuda sotsiaalmeediasse tuhandete silmade alla. Eesmärgiks on olnud ju vara kaitse, mitte õigusrikkumisest informeerimine. Kuna politsei ülesanne on rikkujat karistada, peab salvestis jõudma politseisse, kes kasutab salvestist menetlustoimingutes.
Ehk siis privaatsuse kaitse videovalves tähendab, et on vaja tagada inimesele teavitamine videovalvest, juurdepääs ainult oma isikuandmetele ja isikuandmete kasutamist ainult ühel ja inimesele eelnevalt teadaoleval eesmärgil.
-Andmekaitse Inspektsiooni veebilehel on videovalve sildi loomisel abiks videovalve sildi genereerija, mida saab kasutada andmekaitsenõuetele vastava videojälgimise teavitussildi loomiseks.
Kas isikliku maja külge paigaldatud kaamera tohib avalikku ruumi filmida?
 
Euroopa Kohus tegi 2014. aastal otsuse asjas, kus analüüsiti videovalve kasutamist isiklikul otstarbel.
 
Kohus leidis, et füüsilise isiku poolt isikliku maja külge vara ja isikute kaitseks paigaldatud kaamerasüsteemi kasutamine ei toimu üksnes isiklikul otstarbel, kui selline süsteem jälgib ka avalikku ruumi (nt üldkasutatavat tänavat). Euroopa Kohus rõhutas, et erandit, mis reguleerib isikuandmete töötlemise lubamist isiklikul otstarbel, tuleb tõlgendada kitsendavalt.
Lähtuvalt nimetatud kohtuotsusest: kui kaamera vaatevälja jääb ka avalik ruum, siis seda ei käsitleta enam filmimisena isiklikul otstarbel. Seega kohaldub isikuandmete kaitse üldmäärus. Kui kaamera vaatevälja jääb ainult inimese enda omandis olev ala, on jätkuvalt tegemist isiklikul otstarbel andmete töötlemisega ja isikuandmete kaitse reeglid ei kohaldu.
 
 
Kas kortermaja trepikotta võib paigaldada turvakaamera?
 
Kaamera paigaldamisel kortermaja trepikotta tuleb lisaks andmekaitsele arvestada ka omandiõigusest tulenevate piirangutega. Trepikoda on kõigi korteriomanike kaasomandis. See tähendab, et kaamerate paigaldamise üle saavad otsustada korteriomanikud ühiselt. Otsus kaameraid kasutada või nende kasutamisest loobuda tuleks vastu võtta korteriühistu koosolekul ja sellega seotud kokkulepped kinnitada näiteks maja sisekorraeeskirjades. (vt KOS § 12)
 
Otsuse tegemisel peab hindama ohtude tõsidust ja realiseerumise tõenäosust ning analüüsima alternatiive turvariskide maandamiseks (nt turvauks, signalisatsioon, täiendav valgustus). Kui pärast hinnangu tegemist selgub, et kaamerate paigaldamine on siiski vajalik ja seejuures ei kahjustata ülemääraselt vaatevälja jäävate inimeste huve, on kaamerate kasutamine lubatud. Kaamera salvestisi ei või kasutada muul eesmärgil. Samuti peab trepikotta nähtavale kohale paigutama kaamerate kasutamisest teavitavad sildid koos kontaktandmetega. 
 
Põhjalikuma ülevaate turvakaamerate kasutamisega seotud nõuetest saab Andmekaitse Inspektsiooni artiklist Kaamerate kasutamine elamualadel. Samuti leiab infot AKI kaamerate kasutamise juhendi peatükist 5 ning kaamerast teavitamise kohta saab rohkem infot juhendi peatükist 13. Juhendi leiab https://www.aki.ee/et/koik-juhised-loetelus
Kas spordiüritusel võib teha fotosid ja avaldada neid internetis koos nimega?
 
Jah tohib küll ja isikult nõusolekut võtta ei ole vaja, kui jäädvustamine toimub avalikus kohas ning pildistamist ja filmimimist võib eeldada. Toimuva jäädvustamise puhul asendab inimese nõusolekut tema teavitamine sellises vormis, mis võimaldab tal heli- või pildimaterjali jäädvustamise faktist aru saada. Inimesele tuleb jätta võimalus soovi korral jäädvustamist vältida.
Avalike ürituste puhul, nagu näiteks rahvaspordiüritused, kus avalikustamise eesmärgil jäädvustamist võib mõistlikult eeldada, teavitamiskohustus ei kehti.
 
Siiski jääb inimesele alatiseks õigus nõuda andmete avaldamise lõpetamist, kui seadus ei sätesta teisiti ja see on tehniliselt võimalik ega too kaasa ebaproportsionaalselt suuri kulutusi.
Näiteks inimese nõudmisel on spordiürituse korraldajal kohustus ürituse veebileheküljelt inimese pilt ja nimi eemaldada, kuid paberajalehe tiraaži kokkukorjamise nõudmine oleks liigne.
Kas korteriühistu koosolekut tohib salvestada ja teistele jagada?

Ühistu koosolekut mõistetakse kui piiratud osalejate ringiga arutlusvormi. Üldiseks põhimõtteks on, et kui salvestada ainult isiklikuks otstarbeks, on salvestamine lubatud.

Heaks tavaks ja erinevate probleemide ennetamiseks on mõistlik oma salvestav seade panna koosoleku ruumis nähtavasse kohta, et ka teised teavad salvestamise faktist.

Kui aga kehtib kokkulepe, et salvestada ei tohi, kehtib see ka Sinu mistahes seadmetele.

Ilma teavitamata salvestamisel tuleb arvestada, et koosoleku sisu reprodutseerimist iseenda tarbeks ei saa kindlasti ükski seadus küll keelata, kuid salvestise jõudmisel kolmandate isikuteni võib kaasa tulla probleeme, sest enam ei ole tegemist isiklikuks otstarbeks salvestamisega ja kõik olukorrad, kuhu on kaasatud teised inimesed, ei ole enamasti enam sinu kontrolli all.
See tähendab, et kuna sa ei tea, milline võib olla ühe (digi)salvestise edasine võimalik teekond või kuidas kasutatakse salvestises olevaid isikuandmeid, on salvestise jagamises ainult juba vaid ühele teisele inimesele sees suur oht rikkuda kellegi õigusi või põhjustada talle kahju.

Kogu eelnev jutt kehtib Sinu individuaalseade jaoks. Kui salvestamine toimub ühistu enda otsuse alusel, toimub see reeglina järelkuulamise võimaluse andmiseks ning sel juhul peavad salvestamise ja jagamise reeglid olema kokku lepitud ühistu üldkoosoleku otsusega.

Isikuandmed ja inimese õigused

Kas automärk kuulub isikuandmete hulka?

Auto numbrimärk kuulub isikuandmete hulka juhul, kui auto omanik ja number on kokkuviidav.  Eestis ei ole autoomanike register avalik, mis tähendab, et pelgalt numbrimärki ilma tema omanikust teadmata ei saa lugeda isikuandmete hulka kuuluvaks infoks, küll aga omaniku ja numbrimärgi kokkuviimisel olukord muutub.
Kas juriidiline isiku või tema esindaja isikuandmed on kaitse all?

Kuna isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta, siis on isikuandmeteks ka juriidilise isiku esindaja andmed (nt nimi, isikukood, sünniaeg). Andmekaitsereeglid ei kohaldu aga juriidilise isiku nimele ja kontaktandmetele. Kui juriidilise isiku kontaktandmetena kasutatakse aga isikuandmeid ( füüsilise isiku nime) sisaldavaid e-posti aadresse, siis peale esindusõiguse lõppemist tuleb e-posti aadress sulgeda või kustutada. 

Kas isikuandmete kaitse üldmäärus annab võimaluse automatiseeritud otsustesse sekkuda?
Mõned andmetöötlejad kasutavad õigusliku aluse olemasolul inimese kohta otsuste tegemisel isikuandmetel põhinevaid algoritme, mis profileerivad inimest. Näiteks saavad nii toimida krediidiasutused ja maksuamet, kus andmekogudes oleva info põhjal saab kokku panna isiku profiili, mille põhjal tehakse automaatotsus.
 
Kuna inimese jaoks võib automaatotsus kaasa tuua õiguslikke tagajärgi või avaldada muud ebasoovitavat mõju, peab iga inimene saama õiguse oma isikuandmeid parandada, kui selgub, et automaatotsus on tehtud ebaõigete, mittetäielike või ebatäpsete andmete põhjal.
 
Näiteks antakse inimesele võimalus ära hoida õigusliku tagajärjena lepingu tühistamist, võimalikest toetusest või hüvitusest ilma jäämist. Ebasoovitava mõjuna on võimalik vältida mittesattumist ebasoodsasse olukorda töö saamisel või mittepääsemisel näiteks hariduse - või  terviseteenusteni.
 
Automatiseeritud töötlusega tegelevatel andmetöötlejatel on vaja üksikotsuste tegemisel lähtuda viiest nõudest, mis kehtivad sõltumata sellest, kas automaatotsus põhineb isiku profiilianalüüsil või mitte.
 
  1. Inimest tuleb eelnevalt teavitada, et tema suhtes kasutatakse automaatset otsust.
  2. Inimesele tuleb anda eelnevalt sisulist teavet automaatselt tehtava otsuse loogika kohta.
  3. Inimesele tuleb eelnevalt selgitada, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed inimese jaoks.
  4. Inimene peab saama õiguse lasta automatiseeritult tehtud otsus üle vaadata.
  5. Inimene peab saama automatiseeritud otsust vaidlustada.
Kui näiteks krediidiasutus annab inimesele võimaluse sisestada taotlusvormi oma andmed, mille põhjal sünnib automaatotsus, tuleb ettevõttel esmalt teatavaks teha, et otsus on automaatotsus. Lisaks tuleb taotlejat teavitada, et otsust saab vaidlustada ja nõuda inimese sekkumist menetlusse. Andmetöötlejal tuleb tagada, et taotleja peab teadma oma õigusest isikuandmeid parandada, kui selgub, et automaatotsus on tehtud ebaõige, mittetäielike või ebatäpsete andmete põhjal.
 
Nõuded automaatotsuseid tegevale andmetöötlejatele tulevad isikuandmete kaitse üldmääruse artikkel 13 (2) punktist f, artikkel 14 (2) punktist g ning artikkel 22 (3).
Millistel tingimustel on automatiseeritud otsuste tegemine minu andmetega lubatud?
Automatiseeritud otsustamist koos profiilianalüüsiga kasutatakse sageli panganduses ja maksunduses, aga ka tervishoius ja teistes sektorites. Kuigi see võib olla tõhusam, võib see olla samuti vähem läbipaistev ning võib piirata inimese õigusi või valikuid.
 
Automaatotsuse tegemine on lubatud ainult:  
 
a) lepingu sõlmimiseks või täitmiseks üksikisikuga;
 
b) kui õigus tuleneb konkreetsest õigusaktist, milles on sätestatud ka asjakohased kaitsemeetmed üksikisiku õiguste ja vabaduste ning õigustatud huvide kaitsmiseks;
 
c) üksikisik on andnud selgesõnalise nõusoleku automaattöötlusel põhineva otsuse tegemiseks.
 
Arvestada tuleb ka isikuandmete kaitse üldmäärusest tulevate isikuandmete töötlemise põhimõtetega, mis tulevad artikkel 5 punktist 1.
 
1. Seaduslikkus, õiglus ja läbipaistvus.
 
2. Edasine töötlemine ja eesmärgi piirang.
 
3. Võimalikult väheste andmete kogumine.
 
4. Isikuandmete õigsus.
 
5. Säilitamise piirang.
 
6. Usaldusväärsus ja konfidentsiaalsus.
 
Lisaks tuleb automaatotsuste tegemisest teada anda andmekaitsetingimustes.
 
Kokkuvõttes on profiilianalüüsiga automaatotsus lubatud, kui selleks on olemas õiguslik alus ning igasuguste ebasoovitavate mõjude eest kaitsmiseks on kasutusele võetud asjakohased meetmed.
 
Mis on automatiseeritud otsus ja profiilianalüüs?
 
Automatiseeritud otsustamisega on tegemist, kui inimese kohta tehakse otsus infotehniliste vahenditega ja ilma inimese sekkumiseta. 
 
Profiilianalüüsiga on tegemist, kui isikuga seotud asjaolusid hinnatakse tema kohta prognoosi tegemiseks, isegi kui mingit otsust ei tehta. Näiteks kui ettevõte või organisatsioon hindab mingeid inimese omadusi nagu vanust, sugu ja pikkust või liigitab teda mingisse kategooriasse.
 
 
Mida tähendab minu õigus andmete ülekandmiseks?
Õigus enda kohta käivate andmetega tutvuda on võimalik olnud enam kui paarkümmend aastat. Alates isikuandmete kaitse üldmääruse kehtima hakkamisest on lisandunud inimese jaoks uus õigus – andmete ülekandmine.
 
Andmeid saab küsida ettevõttelt teisele ettevõttele üle kandmiseks samas ulatuses, mida on võimalik enda kasutusse saada.
Küsimisel tuleb arvestada, et saadavad andmed on kogutud nõusoleku või lepingu alusel.
Andmete ülekandmise õigust saab kohaldada ainult elektrooniliselt töödeldavatele andmetele tingimusel, kui see on tehniliselt võimalik.
Ettevõtte jaoks tähendab toiming esmalt tehnilise valmisoleku loomist andmete ülekandmiseks. See ei ole sama, mis juurdepääsu tagamine küsija andmetele. Tehnilise valmisoleku loomine tähendab andmevormingute ja edastuskanalite ettevalmistamist või vastavusse viimist andmete ülekandmiseks. Info peab olema vastuvõtjani toimetatud talle arusaadavalt ja loetavalt.
 
Näiteks, kui inimene avab veebipoes oma konto, sisestab sinna nime, telefoni, arvelduskonto numbri, aadressi ja maksekaardi numbri ning kontole hakkab tekkima ostuajalugu, peab ettevõtja olema valmis veebikonto andmete ülekandmiseks. Juhul kui inimene soovib, peab ta saama kas enda kasutusse või teisele ettevõttele edastamiseks kõik isikuandmed ning seda struktureeritud ja masinloetaval kujul. Ettevõttel ei ole kohustust anda ärisaladust paljastavat teavet või muud olulist infot, mille ettevõtte ise on loonud uue eraldiseiva väärtusena (nt kui ettevõte on teostanud saadud andmete põhjal analüüse). Andmete ülekandmine ei ole absoluutne kohustus, sest seda saab nõuda vaid siis, kui  selleks on ettevõttel tehniline valmisolek. Juhul, kui tehniline valmisolek puudub, tuleb seda küsijale põhjendada.
 
Andmete ülekantavust reguleerib isikuandmete kaitse üldmäärus (art 20) ning see kohaldub kõigile isikuandmete töötlusega tegelevatele organisatsioonidele, v. a avaliku sektori asutused.
 

Kas mul on õigus saada oma surnud isa haiguslugu?

Igal inimesel on õigus küsida isikuandmete töötlejalt enda kohta käivaid andmeid.
Peale inimese surma on õigus saada inimese andmeid tema pärijal. Seega on lapsel õigus saada oma surnud isa kohta käivaid andmeid, sealhulgas terviseandmeid, kui ta on pärija. Küll aga tuleb surnud isiku isikuandmete küsijal tõendada, et ta tõepoolest on pärija.