Inspektsioonil on ümber saanud üks strateegiaperiood ja algamas teine.Teadlikkus, pädevus, kompetentsus, koostöö ja avatus on jätkuvalt need väärtused, millele meie töö toetub, ja seetõttu järgneval perioodil suuri kanna-pöördeid oodata ei ole. 2025. aasta on aga väga selgeks teinud, et neid põhimõtteid tuleb rakendada oluliselt keerukamas ja tihedamas õiguslikus ning ühiskondlikus raamistikus kui seni.
Aastaraamat 2025
Andmekaitse Inspektsioon on iga aasta tähtsaks pidanud ja rõhutanud ennetus- ning koostöö tähtsust. Erandlik ei ole ka möödunud aasta – vastupidi, see kinnitas, et ennetus ei ole ainult riskide vähendamine, vaid strateegiline investeering turvalisusesse, usaldusse ja tulevikku. Järjest rohkem ettevõtteid ja asutusi on hakanud teadvustama andmekaitse vajalikkust ning seda soovitakse integreerida juba protsesside kavandamise ja teenuste disaini algfaasis.
Isikuandmete kaitse üldmääruse artikli 57 kohaselt on ennetus ja teadlikkuse tõstmine üks andmekaitse järelevalveasutuse põhiülesannetest. Selle paremaks täitmiseks on loodud koostöö valdkonda eraldi tiim: koolitus- ja ennetustiim. Koolitus- ja ennetustiimi eesmärk on luua eri juhendmaterjale, koolitada ja tõsta üldist andmekaitseteadlikkust nii ettevõtete, avaliku sektori kui ka eraisikute seas. Tiimi eesmärgiks on luua kanaleid, mis aitavad andmekaitsekultuuri kujundada ja tugevdada.
Andmekaitse Inspektsiooni kohalike omavalitsuste (KOV-ide) andmekaitsevõrgustik on kujunenud oluliseks koostöö ja ennetustöö platvormiks, mille eesmärk on tugevdada omavalitsuste võimekust isikuandmete turvalisel ja õiguspärasel töötlemisel. Soovime, et asutused teadvustaksid veelgi enam, et andmekaitse ei ole pelgalt formaalne nõue, vaid osa avaliku sektori institutsionaalsest vastutusest ja seda olenemata omavalitsuse suurusest.
Ennetus. Andmekaitseteadlikkuse tõstmine koolides ja laste seas on olnud läbi aastate meie üks peamistest eesmärkidest. See on olnud tõsine proovikivi: tänapäeva õpilased on kasvanud üles digitaalses ühiskonnas, kus nutiseade on igapäevaelu lahutamatu osa, kuid sageli ei mõelda, milliseid riske isikuandmete liigne jagamine endaga kaasa toob või ei hoolita sellest. Koolide jaoks on väljakutseks aga aja ja ressursside puudus. Kooli esmane ülesanne on hariduse pakkumine, mis hõlmab nii lapse vaimse, füüsilise, kõlbelise, sotsiaalse kui emotsionaalse arengu toetamist.
Läbi aastate on kirgi kütnud tööandjate õigused ja kohustused, mis puudutavat töötaja joovet ja selle tuvastamist1, sest tööandja peab tagama ohutu töökeskkonna ja täitma oma seadusest tulenevat kohustust mitte lubada joobes töötajaid tööle.
Tänapäeva töökeskkond on üha digitaliseeritum. Jälgimisseadmete kasutamine on saanud vältimatuks osaks igapäevasest töökorraldusest ning paraku ka töötajate kontrollimise vahendiks. Kuigi tehnoloogia pakub tööandjale võimalusi turvalisuse tagamiseks ja tööprotsesside tõhustamiseks, mõjutab jälgimine otseselt töösuhete kvaliteeti, sest läbipaistvuse puudumine, ebamäärased reeglid ja kontroll võivad tekitada töötajates ebakindlust, vähendada initsiatiivi ja nõrgestada usaldust tööandja vastu.
Viimase aasta jooksul on hüppeliselt sagenenud Andmekaitse Inspektsiooni pöördumiste arv, kus soovitakse selgitusi, kas tervishoiuteenuse osutaja (TTO) võib patsiendi terviseandmeid väljastada kolmandale osapoolele – nt kindlustus, lastekaitse, tööandja, kohtutäitur jne. Selline areng on positiivne, sest näitab tervishoiutöötajate teadlikkuse kasvu ning hoolikat kaalumist enne andmete väljastamist. Samuti on vähenenud kaebused nn uudishimupäringute1 kohta, mis kinnitab, et isikuandmete kaitse põhimõtteid järgitakse üha enam.
Tänapäeval koguvad mitmed portaalid avalikest allikatest kättesaadavaid andmeid ning taasavaldavad neid uuel kujul – näiteks loovad juriidilise isiku esindajate kohta mahukaid profiile. Ei tasu unustada, et ka juriidilist isikut esindava füüsilise isiku kohta käivad andmed on isikuandmed.1 Sageli pöörduvad meie poole murelikud kodanikud, kes tunnevad, et selliseks andmete taaskasutamiseks ei ole keegi nende nõusolekut küsinud.
Äriregister on andmekogu, mis koondab kõiki Eestis asutatud juriidiliste isikute andmeid. Selle eesmärk on tagada läbipaistvus ja õiguskindlus äritegevuses – et igaüks saaks kontrollida ettevõtte olemasolu, juhtorganite koosseisu, nende esindusõigust, otsuste vastuvõtmist ja muid olulisi andmeid. Kuna iga juriidilise isiku tegevus on seotud inimestega ja toimub nende kaudu, koondab äriregister vältimatult märkimisväärses mahus isikuandmeid: nimesid, isikukoode, sünniaegu, aga ka tegevusega seotud dokumente.
Veebruaris 2024 leidis aset Eesti seni ulatuslikuim andmeleke, mis puudutas rohkem kui poolt elanikkonnast – sisuliselt iga teist Eesti elanikku. Kuu aega kestnud ründe käigus pääsesid ründajad ligi Allium UPI OÜ hallatavale Apotheka lojaalsusprogrammi süsteemile ning laadisid alla kliendiandmebaasi varukoopiafailid 2014.–2019. aastatel programmi kogutud Apotheka apteekide, Apotheka Beauty veebipoe ning PetCity poe kliendiandmetega.
Algatasime aprillis järelevalvemenetluse politsei andmekogus „Infosüsteem POLIS“, et hinnata isikuandmete töötlemise vastavust õigusaktidele ning kontrollida tööprotsesside toimivust. Vaatluse all olid päringute teostamine, andmete arhiveerimine ja kustutamine, logimine, juurdepääsuõigused ning numbrituvastuskaameratega seotud tegevused. Menetluse tulemusel tegime Politsei- ja Piirivalveametile (PPA) ettekirjutuse, et tuvastatud puudused saaksid kõrvaldatud.
Viisime 2025. aasta maikuust kuni septembrini läbi seire mobiilsideteenuse osutajate ja nende kaudu SMS-vahendusteenust pakkuvate andmetöötlejate vahel. Seire eesmärk oli välja selgitada andmetöötluses osalejate rollid, andmete liikumise ahel ja kasutatavad turvameetmed.
Alates 2001. aastast reguleerib avaliku sektori tegevuse läbipaistvust avaliku teabe seadus (AvTS). Selle seaduse eesmärgiks on tagada üldiseks kasutamiseks mõeldud teabe avalikkus, võimalusega igaühel sellisele teabele juurde pääseda.
Euroopa Andmekaitsenõukogu koordineerib tänavu juba neljandat aastat liikmesriikide järelevalveasutuste ühistegevust, mille raames keskendutakse igal aastal ühe andmekaitsevaldkonnas aktuaalse probleemi uurimisele. 2023. aastal keskenduti andmekaitsespetsialistide rollile. 2025. ja 2024. aastal on olnud fookus aga andmesubjekti õigustel. Kui 2024. aastal keskenduti andmesubjekti õigusele tutvuda töödeldavate isikuandmetega, siis möödunud 2025. aastal on ühisseire keskmes isikuandmete kaitse üldmääruse (IKÜM) artiklist 17 tulenev õigus olla unustatud.
Andmekaitse Inspektsioonile esitatud isikuandmetega seotud rikkumisteavitused annavad hea ülevaate sellest, milliste riskidega andmetöötlejad praktikas kokku puutuvad ning millised probleemikohad on püsivad. Rikkumisteated laekusid väga erinevatest valdkondadest ning hõlmasid nii üksikjuhtumeid kui ka väga suure mõjuga intsidente, kus puudutatud oli sadu tuhandeid inimesi.
Jõudsid lõpule SA Viljandi Haiglat (4-24-2034), SA Pere Sihtkapitali (4-24-2473) ja Asper Biogene OÜ-d (4-25-326) puudutavad väärteomenetlused. Kuigi kohtud lõpetasid kõik väärteoasjad¹, anti siiski mõned olulised seiskohad, millega saab edaspidi menetlustes arvestada.
2025. aasta oli tihe aasta nii siseriiklikus õigusloomes kui ka Euroopa Liidu omas. Andmekaitse Inspektsioon esitas oma arvamuse 98 siseriiklikule seaduseelnõule ja Euroopa Liidu õigusakti ettepanekule. 2024. aastal oli samaks näitajaks 65, seega on meie kaasamine õigusloomeprotsessi kasvavas trendis.
Andmed on tänapäeva majanduse vereringe, mis on oluline innovatsiooniks, konkurentsivõimeks ja parimate teenuste loomiseks pea igas sektoris. See, kui palju on meil praegu andmeid, milline on mahuline võimekus neid töödelda ja milleks kõigeks neid kasutada saab, oleks veel paar dekaadi tagasi kuulunud pigem ulmeklassika valdkonda.
Üks õigusakt, mis kuulub hiljuti vastu võetud Euroopa Liidu andmealaste õigusaktide „suurde viisikusse“, on eelmisest aastast kohaldatav digiteenuste määrus. Digiteenuste määruse eesmärk on luua Euroopa Liidus tarbijatele ja ettevõtjatele turvalisem veebikeskkond. Selleks kehtestab määrus raamistiku ebaseadusliku sisuga võitlemiseks, andes kasutajatele suurema kontrolli selle üle, mida nad internetis näevad.
Euroopa Liidu õigusruum on viimastel aastatel kiiresti kujunenud ühtseks ja mitmekihiliseks andmemajanduse raamistikuks. Kui isikuandmete kaitse üldmääruse (edaspidi IKÜM) rakendumine 2018. aastal tähistas murrangut andmekaitseõiguses, siis praeguseks on sellele lisandunud mitu uut õigusakti, mille eesmärk on kõikide digitaalsete andmete kasutamist ja haldamist reguleerida.
2025. aastal kulmineerus Euroopa Andmekaitsenõukogu (EAKN) ja Euroopa Komisjoni ühine projekt Digiturgude määruse (DMA) ja Isikuandmete kaitse üldmääruse (IKÜM) koosmõju suuniste alal. Ühised suunised selgitavad, kuidas pääsuvalitsejad saavad DMA sätteid kooskõlas EL-i andmekaitseõigusega rakendada.
Selles artiklis kuvame viimase viie aasta statistikat inspektsiooni tegemiste kohta. Statistika on jaotatud tegevuste sisu järgi teavitustöö, järelevalvetöö ning loa- ja erimenetluse jaotustesse. Spetsiifilisema statistikatabeliga saab tutvust teha ka inspektsiooni koduleheküljel.
Täname aastaraamatusse panuse andmise eest!Aari HelmelaidAgnes JärvelaAndra KaskAndres KudrjavtsevAnnika KaljulaEleri KaruElve AdamsonGeili KeppiGrete-Liis KalevIrina MeldjukJaana Sahk-LabiJekaterina AaderKatrin HaugKirsika KuutmaKirsika NigulLiina KroonbergMaarja KirssMaire IroMari-Liis UprusMona-Reti PavlovPille LehisUrmo ParmVirve Lans