Eesti andmekaitseõigus: GDPR, isikuandmete kaitse seadus ja AKI järelevalve (2026)

GDPR ja Eesti isikuandmete kaitse seaduse alusel, mis kehtib alates 15. jaanuarist 2019, teostab Andmekaitse Inspektsioon (AKI) andmekaitsealast järelevalvet kõigi Eestis tegutsevate vastutavate töötlejate üle, kusjuures GDPR artikli 83 lõike 5 alusel on maksimaalne trahv 20 miljonit eurot või 4% ülemaailmsest aastakäibest.
Eesti on üks maailma arenenumaid digitaalseid riike. Üle 99% riiklikest teenustest on kättesaadavad veebis, iga kodanik kannab kiibiga digitaalset ID-kaarti ning X-tee taristu töötleb üle miljardi andmetehingu aastas. Selline digitaalse integratsiooni tase eeldab ka võrdselt põhjalikku andmekaitseraamistikku.
Käesolev artikkel käsitleb Eesti tervikliku andmekaitseõiguse raamistikku: põhiseaduslikku alust, EL-i GDPR-i, siseriiklikku isikuandmete kaitse seadust, AKI täitevpraktikat aastatel 2025 kuni 2026, murrangulist Apotheka trahvi, 2023. aasta trahviülempiiri reforme, EL-i tehisintellekti määruse kattumist ning praktilisi vastavusnõuandeid ettevõtetele ja e-residentidele.
Käesolev artikkel käsitleb Eesti andmekaitseõigust seisuga 2026. aasta mai. See hõlmab EL-i GDPR-i, Eesti isikuandmete kaitse seadust (2019) ning AKI täitevpraktikat aastatel 2025 kuni 2026. See ei kujuta endast õigusnõustamist; konkreetsete olukordade puhul pöörduge kvalifitseeritud Eesti andmekaitseõiguse spetsialisti poole.
Lühivastus
Eesti andmekaitseraamistik toetub kahele kihile. Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR) kohaldub vahetult siduva EL-i õigusena. Siseriiklik isikuandmete kaitse seadus, mis kehtib alates 15. jaanuarist 2019, täiendab GDPR-i valdkondades, kus liikmesriikidele on jäetud otsustusruum. Andmekaitse Inspektsioon (AKI) teostab järelevalvet mõlema üle. Pärast 2023. aasta novembri karistusseadustiku muudatusi võib AKI määrata trahve kuni 20 miljonit eurot või 4% ülemaailmsest aastakäibest. AKI kasutas seda õigust 2025. aasta septembris, määrates Allium UPI-le 3 miljoni euro suuruse trahvi Apotheka apteegi andmelekke eest.
Eestis kohalduva laiema EL-i raamistiku kohta vaata EL-i andmekaitseõiguse ülevaadet.

Põhiseaduslik alus
Eesti andmekaitsenormide juured on põhiseaduslikes tagatistes. Eesti Vabariigi põhiseadus sätestab põhiõigused, mida kogu järgnev andmekaitset käsitlev seadusandlus peab järgima.
§26 sätestab, et igaühel on õigus era ja perekonnaelu puutumatusele. Riigiasutused, kohalikud omavalitsused ja nende ametnikud ei tohi sekkuda kellegi era ega perekonnaellu, välja arvatud seaduses sätestatud juhtudel ja korras, et kaitsta tervist, kõlblust, avalikku korda või teiste inimeste õigusi ja vabadusi, või kuriteo tõkestamiseks või kurjategija tabamiseks. Riigikohtu põhiseaduslikkuse järelevalve kolleegium on tõlgendanud §26-t laialt, hõlmates isikliku autonoomia, identiteedi, isikupuutumatuse ja informatsioonilise privaatsuse.
§44 sätestab, et igal Eesti kodanikul on õigus tutvuda tema kohta riigiasutuste ja kohalike omavalitsuste ning riiklikes arhiivides säilitatava teabega. Seadusega laieneb sama õigus ka välisriikide kodanikele ja kodakondsuseta isikutele Eestis. See säte on isikuandmetele juurdepääsu õiguse põhiseaduslik allikas, mida isikuandmete kaitse seadus ja GDPR praktikas rakendavad.
§43 täiendab neid tagatisi, kaitstes sõnumite saladust, mida Riigikohus on laiendanud ka elektroonilisele sidele. Koos moodustavad §-d 26, 43 ja 44 põhiseadusliku andmekaitse kolmnurga, mis annab AKI täitevvõimule kindla õigusliku aluse kohtus vaidlustamise korral.

GDPR ja Eesti isikuandmete kaitse seadus
EL-i liikmesriigina on Eesti seotud isikuandmete kaitse üldmäärusega (GDPR), määrus (EL) 2016/679. GDPR kohaldub vahetult ja ühetaoliselt kõigis EL-i liikmesriikides, ilma et oleks vaja siseriiklikku ülevõtmist. See sätestab vaikimisi reeglid õiguspärase töötlemise, andmesubjektide õiguste, rikkumistest teavitamise, rahvusvaheliste edastuste ja karistuste kohta.
Eesti täiendab GDPR-i kahe siseriikliku õigusaktiga, mille Riigikogu võttis vastu 2018. aasta detsembris:
- Isikuandmete kaitse seadus, mis kehtib alates 15. jaanuarist 2019.
- Isikuandmete kaitse seaduse rakendamise seadus, mis kehtib alates 20. veebruarist 2019.
Kumbki seadus ei asenda GDPR-i. Mõlemad täidavad konkreetseid lünki või kasutavad otsustusruumi, mille GDPR sõnaselgelt liikmesriikidele jätab.
Peamised siseriiklikud sätted
Laste nõusoleku vanus. Eesti kehtestas laste iseseisva nõusoleku andmise miinimumvanuseks infoühiskonna teenuste puhul 13 aastat. See on madalaim lävend, mida GDPR artikli 8 lõige 1 lubab. Alla 13-aastaste laste puhul peab nõusoleku andma või seda lubama vanem või seaduslik eestkostja.
Isikukood. Eesti isikukood on iga registreeritud residendi jaoks unikaalne 11-kohaline number. Isikuandmete kaitse seadus käsitleb isikukoodi isikuandmetena, mille töötlemiseks on vaja konkreetset õiguslikku alust. Töötlemine on lubatud, kui andmesubjekt annab nõusoleku, kui töötlemine on seadusega lubatud või kui üheselt mõistetav tuvastamine on konkreetse õigustatud eesmärgi jaoks objektiivselt vajalik. Kuna isikukood esineb praktiliselt kõigis Eesti riigi ja erasektori andmebaasides, on sellel reeglil lai praktiline tähtsus.
Automatiseeritud otsuste tegemine. Isikuandmete kaitse seadus keelab otsused, mis põhinevad üksnes automatiseeritud töötlemisel, sealhulgas profileerimisel, ja millel on õiguslik mõju või mis mõjutavad andmesubjekti oluliselt, välja arvatud juhul, kui konkreetne seadusesäte näeb ette asjakohased kaitsemeetmed.
Eriliigilised isikuandmed. Terviseandmete, biomeetriliste andmete, geneetiliste andmete ja muude sarnaste tundlike kategooriate töötlemine on keelatud, välja arvatud juhul, kui kohaldub mõni GDPR artikli 9 lõikes 2 sätestatud konkreetne õiguslik alus. Kui valitud aluseks on nõusolek, nõutakse selgesõnalist nõusolekut.
Kriminaalkaristused. Isikuandmete kaitse seadus näeb ette kriminaalvastutuse kõige raskemate andmekaitserikkumiste eest, mille GDPR jätab siseriikliku õiguse reguleerida. Allpool käsitletud 2023. aasta novembri karistusseadustiku muudatused tugevdasid seda mehhanismi märkimisväärselt.
Andmekaitsespetsialisti nõuded
Eesti järgib GDPR artiklit 37 ilma täiendavaid siseriiklikke andmekaitsespetsialisti määramise nõudeid kehtestamata. Andmekaitsespetsialist tuleb määrata, kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ (v.a kohtud oma õigusemõistmise funktsioonis); kui põhitegevus koosneb töötlemistoimingutest, mis nõuavad andmesubjektide korrapärast ja süstemaatilist ulatuslikku jälgimist; või kui põhitegevus koosneb eriliigiliste isikuandmete või süüteoasjadega seotud andmete ulatuslikust töötlemisest.
Andmekaitsespetsialist tuleb määrata tema kutseoskuste ja andmekaitseõiguse ning praktika asjatundlikkuse alusel. GDPR-i sõltumatuse nõue on range: andmekaitsespetsialist ei tohi saada juhiseid oma ülesannete täitmise osas ega tohi oma ülesannete täitmise eest saada karistada ega ametist vabastada. Asper Biogene juhtum näitab, mis juhtub, kui organisatsioonid käsitlevad andmekaitsespetsialisti rolli pelgalt formaalsusena.

Andmekaitse Inspektsioon (AKI)
Andmekaitse Inspektsioon (AKI) on Eesti sõltumatu riiklik andmekaitse järelevalveasutus. See on ühtlasi ka avaliku teabe järelevalveasutus, mis annab talle EL-i andmekaitseasutuste seas ebatavalise topeltvolituse.
AKI tegutseb GDPR artikli 51 alusel Eestis asutatud vastutavate ja volitatud töötlejate juhtiva järelevalveasutusena. Piiriülese töötlemise puhul osaleb see Euroopa Andmekaitsenõukogu järjepidevuse ja ühtse kontaktpunkti mehhanismides koos teiste liikmesriikide järelevalveasutustega.
Volitused
AKI täitevvahendite hulka kuuluvad:
- Uurimiste, auditite ja kohapealsete kontrollide läbiviimine.
- Hoiatuste ja noomituste andmine.
- Vastutavatele ja volitatud töötlejatele ettekirjutuse andmine viia töötlemistoimingud kindla tähtaja jooksul vastavusse.
- Ajutiste või alaliste töötlemiskeeldude kehtestamine.
- Andmete parandamise, piiramise või kustutamise ettekirjutamine.
- Sertifikaatide tühistamine.
- Haldustrahvide määramine.
- Asjade suunamine kriminaalmenetlusse.
AKI pakub organisatsioonidele ka nõustamisteenuseid, avaldab suuniseid konkreetsete töötlemistoimingute kohta, annab arvamusi andmekaitset mõjutavate seaduseelnõude kohta ning peab andmekaitsespetsialistide avalikku registrit.
Nõustamis ja järelevalvestatistika (2024)
AKI avaldas oma 2024. aasta tegevusaruande 2026. aasta märtsis. 2024. aasta peamised näitajad:
- 4162 avalikku päringut.
- 184 andmelekke teavitust, mis mõjutasid kokku ligikaudu 910 000 inimest.
- 12 väärteomenetluse algatamist.
- 79 100 eurot trahve, mis määrati 2024. aastal väärteomenetluste kaudu.
- aasta trahvide kogusumma näib eraldiseisvana tagasihoidlik, kuid 2025. aasta septembris tehtud Allium UPI / Apotheka otsus kujutab endast murrangulist muutust AKI valmisolekus kasutada oma laiendatud volitusi.
Töötlemise õiguslikud alused
GDPR-i kohaselt peab iga isikuandmete töötlemistoiming tuginema ühele kuuest artikli 6 lõikes 1 sätestatud õiguslikust alusest. Eesti organisatsioonid tuginevad neile alustele järgmiselt.
Nõusolek (artikli 6 lõike 1 punkt a). Nõusolek peab olema vabatahtlikult antud, konkreetne, informeeritud ja ühemõtteline. Eelnevalt märgitud ruudud ei kujuta endast kehtivat nõusolekut. Uudiskirjaga liitumine, otseturundus ning fotode ja videomaterjalide kasutamine on tüüpilised Eesti näited, mille puhul nõusolekule tuginetakse. Nõusolek tuleb saada selge jaatava tegevuse kaudu ning organisatsioonid peavad suutma tõendada, et kehtiv nõusolek saadi.
Leping (artikli 6 lõike 1 punkt b). Töötlemine on õiguspärane, kui see on vajalik andmesubjektiga sõlmitud lepingu täitmiseks või andmesubjekti taotlusel lepingueelsete meetmete võtmiseks. E-residentide ettevõtted tuginevad sellele alusele sageli lepinguliste teenuste osutamiseks vajalike isikuandmete töötlemisel.
Juriidiline kohustus (artikli 6 lõike 1 punkt c). Kui Eesti või EL-i õigus nõuab töötlemist, näiteks Eesti maksuõiguse alusel raamatupidamisdokumentide säilitamise kohustus, kohaldub see alus.
Eluliselt tähtsad huvid (artikli 6 lõike 1 punkt d). Kohaldub hädaolukordades, kus töötlemine on vajalik andmesubjekti või teise füüsilise isiku elu kaitsmiseks.
Avalikes huvides oleva ülesande täitmine (artikli 6 lõike 1 punkt e). Kohaldub avaliku sektori asutuste poolt oma ülesannete täitmisel toimuvale töötlemisele. See on peamine alus enamiku AKI järelevalve alla kuuluva riigiasutuste töötlemise puhul Eestis.
Õigustatud huvi (artikli 6 lõike 1 punkt f). Organisatsioonid võivad töödelda isikuandmeid õigustatud huvide järgimiseks, tingimusel et andmesubjektide huvid või põhiõigused seda huvi üles ei kaalu. Nõutav on huvide kaalumine. Andmesubjektidel on GDPR artikli 21 alusel õigus sellel alusel toimuvale töötlemisele vastu vaielda. EDPB 2024. aasta oktoobri suunised 1/2024 õigustatud huvi kohta, mis on Eestis vahetult kohaldatavad, nõuavad organisatsioonidelt kaalumishinnangu dokumenteerimist.
Andmesubjektide õigused
Isikutel, kelle andmeid Eesti vastutavad või volitatud töötlejad töötlevad, on kõik GDPR-is sätestatud andmesubjektide õigused.
Juurdepääsuõigus (artikkel 15). Andmesubjektid võivad taotleda kinnitust selle kohta, kas nende isikuandmeid töödeldakse, ning saada koopia neist andmetest koos teabega töötlemise eesmärkide, vastuvõtjate, säilitustähtaegade ja nende õiguste kohta. Vastutavad töötlejad peavad vastama ühe kuu jooksul, mida on võimalik keerukate või arvukate taotluste korral pikendada veel kahe kuu võrra.
Õigus andmete parandamisele (artikkel 16). Ebaõiged isikuandmed tuleb põhjendamatu viivituseta parandada. Puudulikke andmeid võib täiendada, sealhulgas täiendava avalduse esitamise teel.
Õigus andmete kustutamisele (artikkel 17). Andmesubjektid võivad taotleda andmete kustutamist, kui andmeid ei ole enam vaja nende algse eesmärgi täitmiseks, kui nõusolek on tagasi võetud ja muud õiguslikku alust ei ole, kui andmesubjekt esitab vastuväite ja ülekaalukaid õigustatud põhjuseid ei ole, kui andmeid on töödeldud õigusvastaselt, või kui kustutamist nõuab EL-i või Eesti õigus.
Õigus töötlemise piiramisele (artikkel 18). Andmesubjektid võivad taotleda töötlemise piiramist, kui andmete õigsus on vaidlustatud, kui vastuväide on menetlemisel, või kui töötlemine on õigusvastane, kuid andmesubjekt eelistab kustutamisele piiramist.
Õigus andmete ülekantavusele (artikkel 20). Kui töötlemine põhineb nõusolekul või lepingul ja toimub automatiseeritult, võivad andmesubjektid taotleda oma isikuandmeid struktureeritud, üldkasutatavas ja masinloetavas vormingus ning edastada need teisele vastutavale töötlejale.
Vastuväite esitamise õigus (artikkel 21). Andmesubjektid võivad igal ajal esitada vastuväite õigustatud huvil või avaliku ülesande täitmisel põhinevale töötlemisele, sealhulgas profileerimisele. Vastutav töötleja peab töötlemise lõpetama, välja arvatud juhul, kui ta suudab tõendada mõjuvaid õiguspäraseid põhjuseid, mis kaaluvad üles andmesubjekti huvid.
Õigused automatiseeritud otsuste tegemisel (artikkel 22). Andmesubjektidel on õigus mitte olla sellise otsuse subjektiks, mis põhineb üksnes automatiseeritud töötlemisel, sealhulgas profileerimisel, ja millel on õiguslik või sarnaselt oluline mõju, välja arvatud juhul, kui kohalduvad konkreetsed tingimused.
AKI pakub andmesubjektidele kaebuste esitamise mehhanismi, kui nad usuvad, et nende õigusi on rikutud. Kaebuste esitamine on tasuta.
Rikkumistest teavitamine
Eesti järgib GDPR-i kaheastmelist rikkumisest teavitamise nõuet.
Järelevalveasutuse teavitamine. Kui isikuandmetega seotud rikkumine kujutab tõenäoliselt endast ohtu füüsiliste isikute õigustele ja vabadustele, peab vastutav töötleja teavitama AKI-t põhjendamatu viivituseta ja võimaluse korral hiljemalt 72 tunni jooksul pärast rikkumisest teadasaamist. Kui teavitamine toimub pärast 72 tundi, tuleb sellele lisada viivituse põhjendus. Teavituses tuleb kirjeldada rikkumise laadi, mõjutatud andmesubjektide ja isikuandmete kirjete kategooriaid ja ligikaudset arvu, tõenäolisi tagajärgi ning rikkumise lahendamiseks võetud või kavandatud meetmeid.
Volitatud töötlejad peavad teavitama vastutavaid töötlejaid põhjendamatu viivituseta pärast rikkumisest teadasaamist, et võimaldada vastutaval töötlejal järgida 72-tunnist tähtaega.
Isikute teavitamine. Kui rikkumine kujutab tõenäoliselt endast suurt ohtu füüsiliste isikute õigustele ja vabadustele, peab vastutav töötleja teavitama sellest ka mõjutatud isikuid põhjendamatu viivituseta. Selles teates tuleb kirjeldada rikkumise laadi selges ja lihtsas keeles, esitada andmekaitsespetsialisti või muu kontaktisiku nimi ja kontaktandmed, kirjeldada tõenäolisi tagajärgi ning võetud või kavandatud meetmeid.
Isikute teavitamine ei ole nõutav, kui vastutav töötleja on rakendanud asjakohaseid tehnilisi kaitsemeetmeid, näiteks krüpteerimist, mis muudab andmed arusaamatuks, kui hilisemad meetmed tagavad, et suur oht ei ole enam tõenäoline, või kui teavitamine nõuaks ebaproportsionaalseid jõupingutusi (millisel juhul on lubatud avalik teadaanne).
AKI sai 2024. aastal 184 rikkumisteadet. Teavitamiskohustuse täitmata jätmise eest kohaldatakse GDPR-i madalama astme trahve: kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest.
2023. aasta novembri trahviülempiiri reform
Kuni 2023. aasta novembrini piiras Eesti väärteomenetlusõigus AKI täitevvõimu organisatsioonide GDPR rikkumiste eest. Eesti väärteomenetluse kaudu määratava maksimaalse haldustrahvi suurus oli ligikaudu 400 000 eurot, mis jäi tunduvalt alla GDPR artikli 83 ülemmääradele. Väärteosüütegude aegumistähtaeg oli kaks aastat, mis raskendas keerukate uurimiste puhul täitevmeetmete rakendamist.
-
aasta 1. novembril jõustunud Eesti karistusseadustiku ja isikuandmete kaitse seaduse muudatused lahendasid need piirangud:
-
Trahvi ülemmäär tõsteti. Maksimaalne trahv tõsteti GDPR-iga täielikult kooskõlas olevatele summadele: 20 miljonit eurot või 4% ülemaailmsest aastakäibest kõige raskemate rikkumiste puhul GDPR artikli 83 lõike 5 alusel; 10 miljonit eurot või 2% vähem raskete rikkumiste puhul GDPR artikli 83 lõike 4 alusel.
-
Aegumistähtaega pikendati. GDPR rikkumistest tulenevate väärteosüütegude aegumistähtaeg pikendati kahelt aastalt kolmele aastale.
-
Juriidilise isiku vastutus lihtsustati. Muudatused lihtsustasid ettevõtetele trahvide määramise menetluslikke nõudeid, kõrvaldades takistused, mis olid varem raskendanud üksikisikute asemel organisatsioonide vastutuselevõtmist.
Need reformid andsid AKI-le pädevuse määrata trahve, mis on kooskõlas Saksamaa, Prantsusmaa, Iirimaa ja teiste EL-i liikmesriikide andmekaitseasutuste määratud trahvidega. 2025. aasta septembris määratud Allium UPI trahv oli selle pädevuse esimene suuremahuline kasutamine.
Karistused ja AKI täitevpraktika
Trahviastmed
Isikuandmete kaitse seadus, mida on 2023. aasta novembris muudetud, rakendab GDPR-i kaheastmelist trahvistruktuuri.
Kõrgem aste (GDPR artikli 83 lõige 5): Töötlemise põhimõtete, nõusoleku tingimuste, andmesubjektide õiguste, rahvusvahelistele edastustele kehtivate piirangute ja liikmesriigi-spetsiifiliste kohustuste rikkumine toob kaasa trahvi kuni 20 000 000 eurot või kuni 4% eelmise majandusaasta ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem.
Madalam aste (GDPR artikli 83 lõige 4): Vastutavate ja volitatud töötlejate, sertifitseerimisasutuste ja järelevalveasutuste kohustuste rikkumine toob kaasa trahvi kuni 10 000 000 eurot või kuni 2% ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem. Andmelekkest teavitamata jätmine kuulub sellesse astmesse.
Trahvi suuruse määramisel arvestab AKI rikkumise laadi, raskust ja kestust; selle tahtlikku või hooletusest tulenevat iseloomu; kahju leevendamiseks võetud meetmeid; koostöö taset järelevalveasutusega; mõjutatud isikuandmete kategooriaid; seda, kuidas järelevalveasutus rikkumisest teada sai; ning kas sama vastutav töötleja või volitatud töötleja on varem rikkumisi toime pannud.
Olulisemad täitevmeetmed
Allium UPI / Apotheka (september 2025), 3 000 000 eurot. AKI määras seni suurima, 3 miljoni euro suuruse trahvi ettevõttele Allium UPI OÜ, Apotheka apteegi lojaalsusprogrammi haldajale. 2024. aasta alguses toimunud küberrünnak paljastas enam kui 750 000 inimese isikuandmed, sealhulgas laste ja teiste haavatavate rühmade andmed. Kompromiteeritud failid sisaldasid ees ja perekonnanimesid, isikukoode, keeleandmeid, sugu, e-posti aadresse, telefoninumbreid, kodusteid ning üksikasjalikke ostuajaloosid isikutele, kes olid lojaalsusprogrammiga liitunud aastatel 2014 kuni 2020. Ostuajalugudes sisaldusid andmed raseduse ja ovulatsioonitestide, kuuldeaparaatide tarvikute, vererõhumõõtjate, intiimhügieenitoodete ja nahahooldustoodete kohta, millel kõigil on GDPR-i mõistes terviseandmetega seotud olulise tundlikkuse tõttu suur kaal.
AKI uurimine leidis, et Allium UPI ei olnud lojaalsusprogrammi andmebaasi hoidvatesse süsteemidesse rakendanud mitmeastmelist autentimist, ei olnud kindlustanud andmebaasi varukoopiaid, tegevuslogimine puudus ning kasutuses olid nõrgad juurdepääsukontrollid, mis ei piiranud sisemist juurdepääsu kogu andmestikule. AKI kirjeldas suhtumist klientide andmetesse hoolimatuna. Allium UPI on otsuse kohtus vaidlustanud.
RIA (Riigi Infosüsteemi Amet) avaldas intsidendijärgse tehnilise analüüsi, milles tuvastati süsteemsed taristupuudused.
Asper Biogene (2023 kuni 2025), 85 000 euro suurune trahv, tühistatud. AKI määras Asper Biogene'ile 85 000 euro suuruse trahvi pärast 2023. aasta küberrünnakut, mis kompromiteeris ligikaudu 100 000 geneetiliste ja terviseandmete faili. AKI tuvastas kaks rikkumist: ebapiisavad tehnilised turvameetmed ning ettevõtte ainsa juhatuse liikme määramise andmekaitsespetsialistiks, mis rikkus GDPR-i sõltumatuse nõuet. Tartu Ringkonnakohus tühistas hiljem trahvi, leides, et rikkumine pandi toime hooletusest ja et ettevõte oli võtnud korrigeerivaid meetmeid. Riigikohus keeldus 2025. aasta augustis AKI kaebust menetlusse võtmast, muutes tühistamise lõplikuks.
Pere Sihtkapital (juuni 2024), 30 000 euro suurune trahv, tühistatud. AKI määras 30 000 euro suuruse trahvi sellele rahvastikupoliitika sihtasutusele, kuna see taotles ebaseaduslikult rahvastikuregistrist andmeid Eesti naiste kohta, kellel ei ole lapsi. Harju Maakohus tühistas trahvi 2025. aasta mais.
Asper Biogene ja Pere Sihtkapital juhtumite tulemused näitavad, et Eesti kohtud kontrollivad AKI trahviotsuseid sisuliselt ning on valmis need tühistama, kui proportsionaalsuse või menetlusnormide standardid ei ole täidetud.
E-residentsus ja andmekaitse
Eesti e-residentsuse programm võimaldab mitteresidentidel kõikjalt maailmast asutada ja juhtida EL-is asuvat ettevõtet täielikult veebis. Programmiga on alates selle käivitamisest 2014. aastal liitunud üle 100 000 e-residendi enam kui 170 riigist.
Iga e-residentsuse kaudu registreeritud ettevõte on Eesti juriidiline isik. GDPR ja isikuandmete kaitse seadus kohalduvad täies ulatuses, olenemata sellest, kus e-resident füüsiliselt elab või tegutseb.
E-residentide ettevõtete praktiliste vastavusnõuete hulka kuuluvad töötlemistoimingute registri pidamine GDPR artikli 30 alusel; asjakohaste tehniliste ja korralduslike turvameetmete rakendamine GDPR artikli 32 alusel; andmekaitsespetsialisti määramine, kui see on GDPR artikli 37 alusel nõutav; andmekaitsealase mõjuhinnangu läbiviimine kõrge riskiga töötlemise puhul GDPR artikli 35 alusel; andmesubjektide õiguste taotlustele vastamine GDPR tähtaegade jooksul; AKI teavitamine 72 tunni jooksul asjakohastest rikkumistest; ning kehtivate edastusmehhanismide kasutamine väljapoole Euroopa Majanduspiirkonda saadetavate andmete puhul.
AKI-l on täielik täitevpädevus e-residentide ettevõtete üle. Eesti avalik sektor ja suurettevõtted nõuavad enne lepinguliste suhete sõlmimist sageli tõendit GDPR-iga vastavuse kohta, muutes vastavuse nii ärilise kui ka õigusliku nõude.
Eesti-spetsiifilise salvestamis ja jälitustegevusõiguse kohta vaata Eesti salvestamisseadusi.
X-tee: turvaline andmevahetustaristu
Eesti X-tee on riigi digitaalse valitsemise selgroog. Riigi Infosüsteemi Amet (RIA) töötas X-tee algselt välja ja võttis kasutusele 2001. aastal. X-tee võimaldab riigiasutuste, omavalitsuste ja volitatud erasektori organisatsioonide vahelist krüpteeritud ja autenditud andmevahetust. Platvorm töötleb üle miljardi tehingu aastas ning selle on kasutusele võtnud üle 25 riigi ja territooriumi.
Sisseehitatud privaatsusega arhitektuur
Andmed liiguvad otse saatja ja vastuvõtja vahel, läbimata ega paiknemata kesksel serveril. Kõik väljuvad andmed on digitaalselt allkirjastatud ja krüpteeritud usaldusväärsete sertifitseerimisasutuste väljastatud sertifikaatidega. Kõik sissetulevad andmed autenditakse ja logitakse. Tehingu metaandmed (päised) logitakse ja avaldatakse avatud andmetena; päringute ja vastuste sisu jääb suhtlevate poolte vahel privaatseks.
Kodaniku andmejälgija
Üks X-tee kõige olulisemaid privaatsusfunktsioone on andmejälgija tööriist, mis on kättesaadav eesti.ee riigiportaali kaudu. Iga Eesti kodanik või resident saab logida sisse oma digitaalse ID-ga ning vaadata täielikku logi selle kohta, millised riigiasutused on tema isikuandmetele juurde pääsenud ja mis eesmärgil. Kui andmesubjekt kahtlustab, et juurdepääs oli loata, saab ta sellest otse AKI-le teatada. See läbipaistvusmehhanism rakendab §44 põhiseaduslikku õigust reaalajas.
X-tee juhtimine
Määrus nr 331 reguleerib X-tee liikmelisust. See nõuab andmevahetuslepingut X-tee halduri (RIA) ja iga osaleva organisatsiooni vahel, milles sätestatakse kõigi poolte õigused, kohustused ja vastutus. X-teega ühinevad organisatsioonid peavad läbima tehnilise vastavuskontrolli ning nõustuma pideva auditiõigusega.
Digitaalne ID, KSI plokiahel ja andmete terviklikkus
Eesti kohustuslik digitaalne ID-kaart (eID) on digitaalse ühiskonna keskmes. Iga Eesti kodanik ja alaline elanik saab kiibiga ID-kaardi, mis võimaldab turvalist digitaalset autentimist ja õiguslikult siduvaid digiallkirju. Kaarti kasutatakse riiklikele teenustele juurdepääsuks, lepingute allkirjastamiseks, hääletamiseks valimistel, terviseandmetele juurdepääsuks ja pangatehingute autentimiseks.
- aastal käivitas Eesti eesti.ee mobiilirakenduse, et laiendada neid võimalusi nutitelefonidele. Rakendus kasutab ajaliselt piiratud QR-koode ning piirab identiteediandmete avalikustamist iga konkreetse tehingu jaoks vajaliku miinimumini.
Alates 2008. aastast koos Guardtime'iga välja töötatud KSI plokiahel tagab riiklikes registrites hoitavate andmete terviklikkuse. KSI loob iga andmekirje kohta krüptograafilise räsi ja salvestab selle plokiahelasse. Igasugune muudatus algandmetes on koheselt tuvastatav, olenemata sellest, kas muudatuse tegi väline ründaja, töötaja või ametnik. KSI-ga kaitstud riiklike registrite hulka kuuluvad tervishoiuregister, kinnistusraamat, äriregister, pärimisregister, digitaalne kohtusüsteem ja Riigi Teataja.
Rahvusvahelised andmeedastused
Eesti järgib GDPR-i V peatükis sätestatud rahvusvaheliste edastuste raamistikku. Isikuandmeid võib väljapoole Euroopa Majanduspiirkonda edastada üksnes juhul, kui Euroopa Komisjon on vastuvõtva riigi kohta teinud piisavusotsuse; kui esinevad asjakohased kaitsemeetmed (näiteks 2021. aasta juunis vastu võetud standardsed lepingutingimused, siduvad kontsernisisesed eeskirjad või heakskiidetud toimimisjuhendid); või kui kohaldub mõni GDPR artiklis 49 sätestatud konkreetne erand.
E-residentide ettevõtete jaoks on edastusraamistik praktiliselt oluline. Väljaspool Euroopa Majanduspiirkonda asuv e-resident, kes edastab isikuandmeid oma Eesti ettevõttest oma koduriigi serveritesse, peab tagama kehtiva edastusmehhanismi olemasolu. Organisatsioonid, kes tuginevad standardsetele lepingutingimustele pärast Schrems II kohtuotsust, peavad läbi viima edastusmõju hinnangu, et kontrollida, et vastuvõtva riigi õigus ei kahjusta standardsete lepingutingimuste tõhusust. AKI on ühtlustanud oma seisukohad EDPB edastusmehhanismide suunistega.
EL-i tehisintellekti määruse kattumine
EL-i tehisintellekti määrus (määrus (EL) 2024/1689) jõustus 1. augustil 2024. EL-i määrusena kohaldub see Eestis vahetult, ilma siseriikliku ülevõtmiseta.
Kohaldamise ajakava Eestis
- 2. veebruar 2025: Jõustusid vastuvõetamatu riskiga tehisintellekti tavade keelud. Need hõlmavad tehisintellektisüsteeme, mis kasutavad alateadlikke tehnikaid käitumise moonutamiseks, süsteeme, mis kasutavad ära konkreetsete rühmade haavatavust, enamikku reaalajas biomeetrilise kaugtuvastuse süsteemidest avalikes kohtades ning avaliku sektori asutuste sotsiaalse hindamise süsteeme.
- 2. august 2025: Jõustusid üldotstarbeliste tehisintellekti mudelite reeglid ja tehisintellekti juhtimisraamistik.
- 2. august 2026: Kõigi tehisintellekti määruse sätete, sealhulgas kõrge riskiga tehisintellektisüsteemide nõuete täielik kohaldamine.
Eesti riiklik juhtimisstruktuur
Eesti määras oma riiklikud pädevad asutused tehisintellekti määruse artikli 70 alusel. Tarbijakaitse ja Tehnilise Järelevalve Amet (TTJA) tegutseb peamise turujärelevalveasutusena. AKI säilitab järelevalvepädevuse andmekaitsealase vastavuse üle tehisintellektipõhises töötlemises, sealhulgas profileerimise, automatiseeritud otsuste tegemise ja isikuandmeid töötlevate kõrge riskiga tehisintellektisüsteemide puhul.
Eesti töötas Majandus ja Kommunikatsiooniministeeriumi eestvedamisel välja tehisintellekti ja andmete tegevuskava (Kratt) aastateks 2024 kuni 2026 riikliku rakenduskavana.
GDPR-i ja tehisintellekti määruse kattumine
Eestis tehisintellektisüsteeme kasutavate organisatsioonide jaoks kattuvad GDPR ja tehisintellekti määrus mitmes olulises valdkonnas. GDPR artikli 22 õigused automatiseeritud otsuste tegemisel kohalduvad koos tehisintellekti määruse artiklis 86 sätestatud õigusega saada selgitus tehisintellektipõhiste otsuste kohta. Tehisintellekti määruse III lisas loetletud kõrge riskiga tehisintellektisüsteemide pakkujad peavad rakendama vastavushindamisi, mis kattuvad GDPR-i mõjuhinnangutega. Tehisintellekti määruse artiklite 10 ja 17 andmehalduse nõuded täiendavad GDPR-i andmete minimeerimise, õigsuse ja eesmärgi piiramise põhimõtteid.
Eestis tehisintellektisüsteeme rakendavad organisatsioonid peaksid kõrge riskiga rakenduste puhul läbi viima nii GDPR-põhise mõjuhinnangu kui ka tehisintellekti määruse vastavushindamise.
Ettevõtete vastavusraamistik
Eestis tegutsevad või Eesti residentide isikuandmeid töötlevad organisatsioonid peaksid oma vastavusprogrammid üles ehitama järgmiste elementide ümber.
Töötlemistoimingute register. GDPR artikkel 30 nõuab, et vastutavad töötlejad, kellel on 250 või enam töötajat, peaksid kirjalikult registreerima kõik töötlemistoimingud. Väiksemad organisatsioonid peavad registrit pidama, kui töötlemine kujutab tõenäoliselt endast ohtu andmesubjektidele, kui töötlemine ei ole juhuslik, või kui see hõlmab eriliigilisi isikuandmeid. Arvestades Eesti 2023. aasta järgset täitevpraktikat, peaksid ka väiksemad organisatsioonid käsitlema artikli 30 registrit standardse praktikana.
Privaatsusteatised. Vastutavad töötlejad peavad andma isikutele läbipaistvat teavet töötlemise kohta andmete kogumise ajal (GDPR artiklid 13 ja 14). Isikukoodi töötlevad organisatsioonid peaksid seda konkreetselt oma privaatsusteatistes käsitlema.
Turvameetmed. GDPR artikkel 32 nõuab asjakohaseid tehnilisi ja korralduslikke turvameetmeid. Allium UPI juhtum annab konkreetse kontrollnimekirja sellest, mida AKI peab põhilisteks meetmeteks: mitmeastmeline autentimine, kindlustatud andmebaasi varukoopiad, tegevuslogimine ning rollipõhised juurdepääsukontrollid, mis piiravad tundlikele andmestikele juurdepääsu.
Andmekaitsealased mõjuhinnangud. Eesti AKI avaldas nimekirja töötlemistoimingutest, mis nõuavad GDPR artikli 35 lõike 4 kohast mõjuhinnangut ja mis on registreeritud EDPB juures. Nimekiri hõlmab töötajate elektroonilise side süstemaatilist jälgimist, tervise või geneetiliste andmete ulatuslikku töötlemist, biomeetriliste andmete kasutamist üheseks tuvastamiseks avalikult ligipääsetavates kohtades ning laste profileerimist.
Laste andmed. Eesti 13-aastane nõusoleku miinimumvanus tähendab, et organisatsioonid peavad kontrollima kasutaja vanust enne, kui nad tuginevad lapse nõusolekule infoühiskonna teenuste puhul. Alla 13-aastaste kasutajate puhul on nõutav vanema või eestkostja luba.
Andmesubjektidele vastamine. Vastutavad töötlejad peavad andmesubjektide taotlustele vastama ühe kalendrikuu jooksul alates taotluse saamisest. Tähtaega võib keerukate või arvukate taotluste korral pikendada veel kahe kuu võrra, kuid andmesubjekti tuleb pikendamisest teavitada esimese kuu jooksul.
Hiljutised arengud (2024 kuni 2026)
Allium UPI kaebus menetluses (2025 kuni 2026). 3 miljoni euro suurune trahv on Eesti kohtutes vaidlustatud. Otsus annab olulisi suuniseid selle kohta, kuidas kohtud tõlgendavad proportsionaalsuse standardeid suurte, 2023. aasta järgsete trahvide puhul. Otsust oodatakse 2026. aasta jooksul.
Asper Biogene tühistamine kinnitatud (august 2025). Riigikohtu keeldumine AKI kaebust menetlusse võtta kinnitab, et Eesti kohtud vaatavad AKI trahvid läbi ja tühistavad need, kui menetlus või proportsionaalsuse standardid ei ole täidetud.
EDPB suunised 1/2024 õigustatud huvi kohta (oktoober 2024). EDPB lõplikud suunised GDPR artikli 6 lõike 1 punkti f kohta on Eesti organisatsioonide jaoks otseselt asjakohased. Need nõuavad kaalumishinnangu dokumenteerimist ning rangemaid standardeid tõendamaks, et väidetav õigustatud huvi on konkreetne ja tegelikult järgitav.
EL-i tehisintellekti määruse keelatud tavad (veebruar 2025). Vastuvõetamatu riskiga tehisintellekti tavade keelud jõustusid Eestis 2. veebruaril 2025. Organisatsioonid, kes kasutavad tehisintellekti sotsiaalseks hindamiseks, alateadlikuks manipuleerimiseks või reaalajas biomeetriliseks kaugtuvastuseks avalikes kohtades, pidid need tavad lõpetama. Nii AKI-l kui ka TTJA-l on volitused seda uurida ja jõustada.
eesti.ee mobiilirakendus (2025). eesti.ee mobiilirakenduse käivitamine laiendas juurdepääsu digitaalsele riigivalitsemisele. Rakenduse andmetöötlusele kohaldatakse samu isikuandmete kaitse seaduse ja GDPR-i standardeid kui töölauaportaalile. RIA avaldas rakenduse mõjuhinnangu.
KKK
Vastutuse välistus: Käesolev artikkel esitab üldist õigusteavet Eesti andmekaitseõiguse kohta seisuga 2026. aasta mai. See ei kujuta endast õigusnõustamist ega loo advokaadi ja kliendi suhet. Andmekaitseõigus muutub; teave on esitatud üldiste hariduslike eesmärkide jaoks. Konkreetse olukorra kohta nõu saamiseks pöörduge Eestis kvalifitseeritud advokaadi poole.
Frequently Asked Questions
Mis on Eesti peamine andmekaitseseadus?
Eesti andmekaitseraamistikul on kaks kihti. Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR), määrus (EL) 2016/679, kohaldub vahetult siduva EL-i õigusena. Siseriiklik isikuandmete kaitse seadus, mis kehtib alates 15. jaanuarist 2019, täiendab GDPR-i valdkondades, kus määrus jätab liikmesriikidele otsustusruumi. Peamised siseriiklikud reeglid hõlmavad laste nõusoleku vanuse kehtestamist 13 aastaks, isikukoodi töötlemise erireegleid ning kriminaalkaristusi raskete rikkumiste eest. Mõlemat õigusakti jõustab Andmekaitse Inspektsioon (AKI).
Millised põhiseaduslikud õigused kaitsevad Eestis isikuandmeid?
Eesti põhiseaduse §26 tagab era ja perekonnaelu puutumatuse. Riigiasutused ei tohi sekkuda eraellu, välja arvatud seaduses sätestatud asjaoludel ja korras. §44 tagab kodanike õiguse pääseda ligi enda kohta käivale teabele, mida hoiavad riigiasutused ja avalikud arhiivid. §43 tagab side, sealhulgas elektrooniliste sõnumite saladuse. Koos annavad need sätted AKI täitevvõimule põhiseadusliku aluse, mida Eesti kohtud on regulatiivsete vaidluste menetlustes kinnitanud.
Mida muutis 2023. aasta novembri Eesti andmekaitseõiguse muudatus?
Enne 2023. aasta novembrit piiras Eesti väärteomenetlusõigus AKI määratava maksimaalse haldustrahvi suuruse ligikaudu 400 000 eurole, mis jäi tunduvalt alla GDPR-i ülemmääradele. 2023. aasta 1. novembril jõustunud karistusseadustiku ja isikuandmete kaitse seaduse muudatused tõstsid maksimaalse trahvi täielikult GDPR-iga kooskõlas olevatele summadele: 20 miljonit eurot või 4% ülemaailmsest aastakäibest kõige raskemate rikkumiste puhul. Muudatused pikendasid ka aegumistähtaega kahelt aastalt kolmele ning lihtsustasid ettevõtetele trahvide määramise menetluslikke nõudeid.
Milline oli Apotheka / Allium UPI andmelekke trahv?
2025. aasta septembris määras AKI Eesti seni suurima, 3 miljoni euro suuruse andmekaitsetrahvi ettevõttele Allium UPI OÜ, Apotheka apteegi lojaalsusprogrammi haldajale. 2024. aasta küberrünnak paljastas enam kui 750 000 inimese isikuandmed, sealhulgas nimed, isikukoodid ja tundlikke terviseandmetega seotud ostuajalugusid. AKI tuvastas, et Allium UPI ei olnud rakendanud mitmeastmelist autentimist, andmebaasi varukoopiate kindlustamist, tegevuslogimist ega piisavaid juurdepääsukontrolle. Ettevõte on trahvi vaidlustanud.
Kas GDPR kohaldub Eesti e-residentsuse ettevõtetele?
Jah. Iga Eesti e-residentsuse programmi kaudu registreeritud ettevõte on Eesti juriidiline isik, millele kohaldub täielikult GDPR ja siseriiklik isikuandmete kaitse seadus, olenemata sellest, kus e-resident füüsiliselt elab või tegutseb. AKI-l on nende ettevõtete üle täitevpädevus. E-residentide ettevõtted peavad pidama töötlemisregistrit, rakendama turvameetmeid, määrama vajadusel andmekaitsespetsialisti, viima kõrge riskiga töötlemise puhul läbi mõjuhinnanguid, vastama andmesubjektide taotlustele GDPR tähtaegade jooksul, teavitama AKI-t 72 tunni jooksul asjakohastest rikkumistest ning kasutama kehtivaid edastusmehhanisme väljapoole Euroopa Majanduspiirkonda saadetavate andmete puhul.
Kuidas saavad Eesti kodanikud näha, kes on nende isikuandmetele juurde pääsenud?
Eesti kodanikud saavad kasutada andmejälgija tööriista eesti.ee riigiportaalis. Pärast digitaalse ID-ga sisselogimist saavad kodanikud vaadata täielikku logi selle kohta, millised riigiasutused on nende isikuandmetele juurde pääsenud, millal ja mis märgitud eesmärgil. Kui kodanik kahtlustab loata juurdepääsu, saab ta sellest otse AKI-le teatada. See läbipaistvusmehhanism on integreeritud Eesti X-tee andmevahetustaristusse ning rakendab §44 põhiseaduslikku õigust.
Millised on Eesti rikkumistest teavitamise nõuded?
Eesti järgib GDPR-i standardseid rikkumisest teavitamise reegleid. Vastutavad töötlejad peavad AKI-t teavitama 72 tunni jooksul pärast isikuandmetega seotud rikkumisest teadasaamist, mis kujutab tõenäoliselt endast ohtu inimeste õigustele ja vabadustele. Kui rikkumine kujutab endast suurt ohtu mõjutatud isikutele, peab vastutav töötleja teavitama ka neid isikuid otse, põhjendamatu viivituseta. Teavituses tuleb kirjeldada rikkumise laadi, mõjutatud andmete kategooriaid, tõenäolisi tagajärgi ja võetud meetmeid. Teavitamata jätmine kuulub GDPR-i madalama astme trahvide alla: kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest.
Kuidas on EL-i tehisintellekti määrus seotud Eesti andmekaitseõigusega?
EL-i tehisintellekti määrus (määrus (EL) 2024/1689) kohaldub Eestis vahetult alates 2024. aasta augustist. Vastuvõetamatu riskiga tehisintellekti tavade keelud jõustusid 2. veebruaril 2025. Kõrge riskiga tehisintellektisüsteemide täielikud nõuded kohalduvad alates 2. augustist 2026. AKI teostab järelevalvet andmekaitsealase vastavuse üle tehisintellektipõhises töötlemises, sealhulgas profileerimise ja automatiseeritud otsuste tegemise üle GDPR artiklite 22 ja 35 alusel. Tarbijakaitse ja Tehnilise Järelevalve Amet (TTJA) on määratud tehisintellekti turujärelevalveasutuseks. Kõrge riskiga tehisintellektisüsteeme rakendavad organisatsioonid peavad täitma nii tehisintellekti määruse vastavusnõudeid kui ka GDPR-i mõjuhinnangu kohustusi.
Sources and References
- Isikuandmete kaitse seadus(riigiteataja.ee).gov
- Eesti Vabariigi põhiseadus(riigiteataja.ee).gov
- Andmekaitse Inspektsioon (AKI)(aki.ee).gov
- AKI 2024. aasta tegevusaruanne(aki.ee).gov
- Apotheka trahv, ERR News(news.err.ee)
- RIA: õppetunnid ulatuslikust andmelekkest(ria.ee).gov
- Magnusson: täitevpraktika analüüs(magnussonlaw.com)
- DataGuidance: Asper Biogene trahv(dataguidance.com)
- E-residentsuse ametlik veebileht(e-resident.gov.ee).gov
- E-residentsuse GDPR vastavuse juhend(e-resident.gov.ee).gov
- X-tee platvorm (e-Estonia)(e-estonia.com).gov
- X-tee RIA dokumentatsioon(ria.ee).gov
- KSI plokiahel(e-estonia.com).gov
- Digitaalne identiteet eID (RIA)(ria.ee).gov
- Andmejälgija, eesti.ee(eesti.ee).gov
- GDPR, EUR-Lex(eur-lex.europa.eu).gov
- EL-i tehisintellekti määrus, EUR-Lex(eur-lex.europa.eu).gov
- EDPB suunised 1/2024 õigustatud huvi kohta(edpb.europa.eu).gov
- White and Case: GDPR Eestis(whitecase.com)
- Eesti mõjuhinnangu nimekiri (EDPB register)(edpb.europa.eu).gov