Isikuandmete kaitse seadus

1. peatükk Üldsätted

§ 1. Seaduse reguleerimisala

(1) Käesolev seadus reguleerib:

1) füüsiliste isikute kaitset isikuandmete töötlemisel ulatuses, milles see täpsustab ja täiendab sätteid, mis sisalduvad Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88);

2) füüsiliste isikute kaitset isikuandmete töötlemisel õiguskaitseasutuste poolt süütegude tõkestamisel, avastamisel ja menetlemisel ning karistuste täideviimisel.

(2) Käesolev seadus sätestab:

1) normid, et rakendada Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679;

2) normid, et üle võtta Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 04.05.2016, lk 89–131);

3) isikuandmete töötlemise nõuete täitmise üle riikliku ja haldusjärelevalve teostamise korra;

4) vastutuse isikuandmete töötlemise nõuete rikkumise eest.

§ 2. Seaduse ning Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 kohaldamisala erisused

(1) Käesolevat seadust ning Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 kohaldatakse:

1) süüteomenetlusele ja kohtumenetlusele menetlusseadustikes sätestatud erisustega;

2) põhiseaduslikele institutsioonidele niivõrd, kuivõrd see ei puuduta nende põhiseaduslike ülesannete täitmist ega ole reguleeritud neid puudutavates eriseadustes.

§ 2¹. Andmekaitse Inspektsiooni pädevus kollektiivse esindushagi menetluses

(1) Andmekaitse Inspektsioon on pädev üksus tarbijakaitseseaduse §-de 60² ja 66² tähenduses ning võib pöörduda Eesti Vabariigi nimel andmesubjektide kollektiivsete huvide kaitseks riigisisese kollektiivse esindushagiga maakohtusse, samuti piiriülese kollektiivse esindushagiga teise Euroopa Liidu liikmesriigi kohtusse.

§ 3. Haldusmenetluse seaduse kohaldamine

(1) Käesolevas seaduses ettenähtud haldusmenetlusele kohaldatakse haldusmenetluse seaduse sätteid, arvestades käesoleva seaduse erisusi.

2. peatükk Isikuandmete töötlemise erialused

§ 4. Isikuandmete töötlemine ajakirjanduslikul eesmärgil

(1) Isikuandmeid võib andmesubjekti nõusolekuta töödelda ajakirjanduslikul eesmärgil, eelkõige avalikustada meedias, kui selleks on avalik huvi ja see on kooskõlas ajakirjanduseetika põhimõtetega. Isikuandmete avalikustamine ei tohi ülemäära kahjustada andmesubjekti õigusi.

§ 5. Isikuandmete töötlemine akadeemilise, kunstilise ja kirjandusliku eneseväljenduse tarbeks

(1) Isikuandmeid võib andmesubjekti nõusolekuta töödelda akadeemilise, kunstilise ja kirjandusliku eneseväljenduse eesmärgil, eelkõige avalikustada, kui see ei kahjusta ülemäära andmesubjekti õigusi.

§ 6. Isikuandmete töötlemine teadus- ja ajaloouuringu ning riikliku statistika vajadusteks

(1) Isikuandmeid võib andmesubjekti nõusolekuta teadus- või ajaloouuringu või riikliku statistika vajadusteks töödelda eelkõige pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul. Enne isikuandmete üleandmist teadus- või ajaloouuringu või riikliku statistika vajadustel töötlemiseks asendatakse isikuandmed pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul andmetega.

(2) Depseudonüümimine või muu viis, millega isikut mittetuvastavad andmed muudetakse uuesti isikut tuvastavaks, on lubatud ainult täiendavate teadus- või ajaloouuringute või riikliku statistika vajadusteks. Isikuandmete töötleja määrab nimeliselt isiku, kellel on juurdepääs depseudonüümimist võimaldavatele andmetele.

(3) Teadus- või ajaloouuringu või riikliku statistika vajadusteks andmesubjekti nõusolekuta tema kohta käivate andmete töötlemine andmesubjekti tuvastamist võimaldaval kujul on lubatud üksnes juhul, kui on täidetud järgmised tingimused:

1) pärast tuvastamist võimaldavate andmete eemaldamist ei ole andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada;

2) teadus- või ajaloouuringu või riikliku statistika tegija hinnangul on selleks ülekaalukas avalik huvi;

3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi.

(4) Kui teadus- või ajaloouuring põhineb eriliiki isikuandmetel, kontrollib seadusega või selle alusel moodustatud asjaomase valdkonna eetikakomitee enne uuringu tegemist käesolevas paragrahvis sätestatud tingimuste täitmist. Kui teadusvaldkonnas puudub eetikakomitee, kontrollib nõuete täitmist Andmekaitse Inspektsioon. Rahvusarhiivis säilitatavate isikuandmete suhtes on eetikakomitee õigused Rahvusarhiivil.

(5) Käesoleva seaduse tähenduses loetakse teadusuuringuks ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. Nende koostamiseks on täidesaatval riigivõimul õigus teha päringuid teise vastutava või volitatud töötleja andmekogusse ning töödelda saadud isikuandmeid. Andmekaitse Inspektsioon kontrollib enne nimetatud isikuandmete töötlemise algust käesolevas paragrahvis sätestatud tingimuste täitmist, välja arvatud juhul, kui poliitika kujundamiseks tehtava uuringu eesmärgid ja isikuandmete töötlemise ulatus tulenevad õigusaktist.

(5) Kui seaduses ei ole sätestatud teisiti, ei kohaldata käesoleva paragrahvi lõikes 4 sätestatud eetikakomitee kontrolli kohustust lõikes 5 nimetatud täidesaatva riigivõimu analüüsidele ja uuringutele, mis tehakse poliitika kujundamise eesmärgil. Andmekaitse Inspektsioon võib konsulteerida teadus- ja arendustegevuse ning innovatsiooni korralduse seaduse §-s 26 nimetatud eetikakomiteega, kui Andmekaitse Inspektsiooni hinnangul vajab poliitika kujundamiseks tehtav uuring või analüüs eetilisuse hindamist.

(5) Kui Andmekaitse Inspektsioon konsulteerib käesoleva paragrahvi lõike 5¹ kohaselt eetikakomiteega, tasub eetikakomitee poolt konsultatsiooni eest küsitava tasu täidesaatva riigivõimu analüüside ja uuringute tellija.

(6) Kui isikuandmeid töödeldakse teadus- või ajaloouuringu või riikliku statistika eesmärgil, võib vastutav või volitatud töötleja Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 15, 16, 18 ja 21 sätestatud andmesubjekti õigusi piirata niivõrd, kuivõrd nende õiguste teostamine tõenäoliselt muudab võimatuks teadus- või ajaloouuringu või riikliku statistika eesmärgi saavutamise või takistab seda oluliselt.

§ 7. Isikuandmete töötlemine avalikes huvides tehtava arhiveerimise eesmärgil

(1) Kui isikuandmeid töödeldakse avalikes huvides tehtava arhiveerimise eesmärgil, võib vastutav või volitatud töötleja Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 15, 16 ja 18–21 sätestatud andmesubjekti õigusi piirata niivõrd, kuivõrd nende õiguste teostamine tõenäoliselt muudab võimatuks avalikes huvides tehtava arhiveerimise eesmärgi saavutamise või takistab seda oluliselt.

(2) Käesoleva paragrahvi lõikes 1 nimetatud andmesubjekti õigusi võib piirata selleks, et mitte ohustada arhivaalide seisundit, autentsust, usaldusväärsust, terviklikkust ja kasutatavust.

3. peatükk Muud juhud isikuandmete töötlemisel

§ 8. Lapse isikuandmete töötlemine infoühiskonna teenuste pakkumisel

(1) Kui kohaldatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 6 lõike 1 punkti a seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine lubatud ainult juhul, kui laps on vähemalt 13-aastane.

(2) Kui laps on noorem kui 13-aastane, on isikuandmete töötlemine lubatud üksnes sellisel juhul ja sellises ulatuses, milleks on nõusoleku andnud lapse seaduslik esindaja.

§ 9. Isikuandmete töötlemine pärast andmesubjekti surma

(1) Andmesubjekti nõusolek kehtib andmesubjekti eluajal ja 10 aastat pärast andmesubjekti surma, kui andmesubjekt ei ole otsustanud teisiti. Kui andmesubjekt on surnud alaealisena, siis kehtib tema nõusolek 20 aastat pärast andmesubjekti surma.

(2) Pärast andmesubjekti surma on tema isikuandmete töötlemine lubatud andmesubjekti pärija nõusolekul, välja arvatud juhul, kui:

1) andmesubjekti surmast on möödunud 10 aastat;

2) alaealiselt surnud andmesubjekti surmast on möödunud 20 aastat;

3) isikuandmeid töödeldakse muul õiguslikul alusel.

(3) Mitme pärija olemasolul on andmesubjekti isikuandmete töötlemine lubatud neist ükskõik kelle nõusolekul.

(4) Käesoleva paragrahvi lõikes 1 nimetatud nõusolekut ei ole vaja, kui töödeldavateks isikuandmeteks on üksnes andmesubjekti nimi, sugu, sünni- ja surmaaeg, surma fakt ning matmise aeg ja koht.

§ 10. Isikuandmete töötlemine seoses võlasuhte rikkumisega

(1) Võlasuhte rikkumisega seotud isikuandmete edastamine kolmandale isikule ja edastatud andmete töötlemine kolmanda isiku poolt on lubatud andmesubjekti krediidivõimelisuse hindamise eesmärgil või muul samasugusel eesmärgil ning üksnes juhul, kui vastutav või volitatud töötleja on kontrollinud edastatavate andmete õigsust ja õiguslikku alust isikuandmete edastamiseks ning on registreerinud andmeedastuse.

(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil andmeid koguda ja kolmandale isikule edastada ei ole lubatud, kui:

1) tegemist on eriliiki isikuandmete töötlemisega Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 9 lõike 1 tähenduses;

2) tegemist on andmetega süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist;

3) see kahjustaks ülemäära andmesubjekti õigusi või vabadusi;

4) lepingu rikkumisest on möödunud vähem kui 30 päeva;

5) kohustuse rikkumise lõppemisest on möödunud rohkem kui viis aastat.

§ 11. Isikuandmete töötlemine avalikus kohas

(1) Kui seadus ei sätesta teisiti, asendab avalikus kohas avalikustamise eesmärgil toimuva heli- või pildimaterjalina jäädvustamise puhul andmesubjekti nõusolekut tema teavitamine sellises vormis, mis võimaldab tal heli- või pildimaterjali jäädvustamise faktist aru saada ja enda jäädvustamist soovi korral vältida. Teavitamiskohustus ei kehti avalike ürituste puhul, mille avalikustamise eesmärgil jäädvustamist võib mõistlikult eeldada.

4. peatükk Isikuandmete töötlemine õiguskaitseasutuse poolt süüteo tõkestamisel, avastamisel ja menetlemisel ning karistuse täideviimisel

1. jagu Üldsätted

§ 12. Käesoleva peatüki kohaldamine

(1) Käesolevat peatükki kohaldatakse isikuandmete töötlemisele õiguskaitseasutuse poolt süüteo tõkestamisel, avastamisel ja menetlemisel ning karistuse täideviimisel.

(2) Käesolevat peatükki ei kohaldata isikuandmete töötlemisele riikliku järelevalve ega haldusjärelevalve teostamisel.

(3) Käesoleva peatükiga nähakse ette õiguskaitseasutusele kohaldatavad erisused. Õiguskaitseasutusele ei kohaldata Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679, kui käesolevast seadusest ei tulene teisiti.

§ 13. Terminid

(1) Käesolevas peatükis kasutatakse termineid Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 4 ja artikli 9 lõike 1 tähenduses.

(2) Käesolevas peatükis käsitatakse õiguskaitseasutusena asutust või asutuse struktuuriüksust, kes on pädev seaduse alusel süütegu tõkestama, avastama ja menetlema või karistust täide viima.

2. jagu Põhimõtted

§ 14. Isikuandmete töötlemise põhimõtted

(1) Isikuandmete töötlemisel tuleb järgida järgmisi põhimõtteid:

1) seaduslikkus ja õiglus – isikuandmeid töödeldakse seaduslikult ja õiglaselt;

2) eesmärgikohasus – isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus;

3) kvaliteet – isikuandmed peavad olema piisavad ja asjakohased ning ei tohi olla ülemäärased andmetöötluse eesmärke arvestades;

4) õigsus – isikuandmed peavad olema õiged ja vajaduse korral ajakohastatud; mõistlike meetmetega tagatakse, et andmetöötluse eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata;

5) säilitamine – isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekti tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

6) turvalisus – isikuandmeid töödeldakse viisil, mis tagab nende turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, rakendades asjakohaseid tehnilisi või korralduslikke meetmeid.

§ 15. Isikuandmete töötlemise seaduslikkus

(1) Õiguskaitseasutus võib isikuandmeid töödelda seaduse alusel, kui nende töötlemine on vajalik süüteo tõkestamise, avastamise või menetlemise või karistuse täideviimise eesmärgist tuleneva ülesande täitmiseks.

§ 16. Isikuandmete töötlemine algsest erineval eesmärgil

(1) Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul käesoleva seaduse § 12 lõikes 1 sätestatud eesmärgil kui algne eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:

1) vastutaval töötlejal on sellisel eesmärgil isikuandmete töötlemiseks olemas seadusest või Euroopa Liidu õigusaktist tulenev alus ja

2) selline isikuandmete töötlemine on seaduse või Euroopa Liidu õigusakti kohaselt vajalik ja seatud eesmärgiga proportsionaalne.

(2) Õiguskaitseasutuse poolt käesoleva seaduse § 12 lõikes 1 sätestatud eesmärkidel kogutud või kogutavaid isikuandmeid ei tohi töödelda muul eesmärgil, välja arvatud käesoleva paragrahvi lõikes 1 sätestatud juhtudel või kui selline töötlemine on lubatud seaduse või Euroopa Liidu õigusaktiga. Kui isikuandmeid töödeldakse sellisel muul eesmärgil, kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu nimetatud määruse kohaldamisalasse. Olukorras, kus töötlemise eesmärk ei kuulu nimetatud määruse kohaldamisalasse, kohaldatakse Eesti õigust.

(3) Kui õiguskaitseasutus täidab seaduse kohaselt ka muid ülesandeid kui need, mida täidetakse käesoleva seaduse § 12 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellisel eesmärgil isikuandmete töötlemisele Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679. Olukorras, kus töötlemise eesmärk ei kuulu nimetatud määruse kohaldamisalasse, kohaldatakse Eesti õigust.

§ 17. Isikuandmete säilitamine

(1) Töödeldavatele isikuandmetele kehtestatakse seaduse või määrusega säilitamise tähtaeg. Erandjuhul, kui isikuandmete säilitamise tähtaega pole seaduse või määrusega kehtestatud, peab selle tähtaja kehtestama vastutav töötleja.

(2) Käesoleva paragrahvi lõike 1 alusel kehtestatud säilitamise tähtaega on lubatud pikendada üksnes põhjendatud juhul, välja arvatud siis, kui säilitamise tähtaeg on sätestatud õigustloovas aktis.

(3) Kui konkreetset säilitamise tähtaega ei ole võimalik kehtestada, peab vastutav töötleja rakendama õiguslikke ja tehnoloogilisi meetmeid, mis võimaldavad pidevalt hinnata andmete jätkuva töötlemise vajalikkust.

(4) Kui isikuandmete säilitamise tähtaeg lõpeb, on vastutav ja volitatud töötleja kohustatud isikuandmed jäädavalt kustutama. Selleks peab vastutav töötleja rakendama nõuetekohaseid õiguslikke ja tehnoloogilisi meetmeid.

§ 18. Andmesubjektide eri kategooriate eristamine

(1) Võimaluse korral ja asjakohasel juhul eristab vastutav töötleja isikuandmete töötlemisel andmesubjektide eri kategooriatena menetlusalused isikud, kahtlustatavad, süüdistatavad, kannatanud, tunnistajad, kinnipeetavad, arestialused, kriminaalhooldusalused ja teised isikud.

§ 19. Hinnangutel põhinevate isikuandmete eristamine

(1) Vastutav töötleja eristab võimaluste piires faktidel põhinevad isikuandmed isiklikel hinnangutel põhinevatest isikuandmetest.

§ 20. Eriliiki isikuandmete töötlemise erisused

(1) Eriliiki isikuandmete töötlemine on lubatud ainult siis, kui see on rangelt vajalik, ning üksnes järgmistel juhtudel:

1) töötlemise lubatavus on sätestatud õigusaktis;

2) töötlemine on vajalik andmesubjekti või teise füüsilise isiku eluliste huvide kaitseks või

3) töödeldakse isikuandmeid, mille andmesubjekt on ise ilmselgelt avalikustanud.

(2) Käesoleva paragrahvi lõikes 1 nimetatud eriliiki isikuandmete töötlemisele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid.

§ 21. Automatiseeritud töötlemine

(1) Keelatud on teha üksnes automatiseeritud töötlusel põhinevat otsust, sealhulgas profiilianalüüsi, kui see toob andmesubjektile kaasa teda puudutavaid kahjulikke õiguslikke tagajärgi või avaldab talle muud märkimisväärset mõju. Sellise otsuse võib teha, kui otsuse tegemine on lubatud seadusega, milles on sätestatud asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitseks.

(2) Andmesubjektil on käesoleva paragrahvi lõikes 1 nimetatud otsuse kohta õigus esitada vastutavale töötlejale vastuväiteid oma õigustatud huvi kaitseks.

(3) Käesoleva paragrahvi lõikes 1 nimetatud otsus ei tohi põhineda eriliiki isikuandmetel, välja arvatud juhul, kui kohaldatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

(4) Keelatud on profiilianalüüsil põhinev otsus, mille tulemusel füüsilisi isikuid diskrimineeritakse eriliiki isikuandmete alusel.

3. jagu Andmesubjekti õigused

§ 22. Andmesubjektile kättesaadavaks tehtav teave

(1) Vastutav töötleja on kohustatud avalikustama järgmise teabe:

1) isikuandmete töötlemise kavandatud eesmärk;

2) isiku poolt enda andmetega tutvumise ning nende parandamise, kustutamise või piiramise õigus ja õiguste teostamise kord;

3) vastutava töötleja ning andmekaitsespetsialisti nimi ja kontaktandmed;

4) Andmekaitse Inspektsiooni kontaktandmed;

5) õigus esitada kaebus Andmekaitse Inspektsioonile, kui isikuandmete töötlemisel on rikutud andmesubjekti õigusi.

(2) Käesoleva paragrahvi lõikes 1 nimetatud avalikustamisena käsitatakse teabe avalikustamist vastutava töötleja veebilehel või muus andmesubjektile kergesti juurdepääsetavas asukohas.

§ 23. Andmesubjekti teavitamisel antav teave

(1) Kui seaduses on sätestatud kohustus teavitada andmesubjekti tema isikuandmete töötlemisest, annab vastutav töötleja andmesubjektile järgmise lisateabe:

1) käesoleva seaduse § 22 lõikes 1 nimetatud teave;

2) isikuandmete töötlemise õiguslik alus;

3) isikuandmete säilitamise tähtaeg või säilitamise tähtaja määramise alused;

4) nende vastuvõtjate kategooriad, kellele on lubatud edastada isikuandmeid;

5) vajaduse korral muu lisateave.

(2) Seaduses sätestatud juhtudel võib vastutav töötleja käesoleva paragrahvi lõikes 1 nimetatud teabe andmesubjektile esitada hiljem, piirata selle esitamist või jätta selle esitamata, kui see võib:

1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;

2) kahjustada teise isiku õigusi ja vabadusi;

3) ohustada riigi julgeolekut;

4) ohustada avaliku korra kaitset;

5) takistada ametlikku uurimist või menetlust.

§ 24. Andmesubjekti õigus saada teavet ja enda kohta käivaid isikuandmeid