Eesti andmekaitsetrahvid on aastaid olnud Euroopa madalaimate seas. Kuni 2023. aasta lõpuni oli Eestis GDPR-i jõustumisest (mai 2018) alates määratud trahve kokku vaid mõnisada eurot – naaberriikidega võrreldes sümboolne summa. See muutus järsult 2025. aastal, kui Andmekaitse Inspektsioon (AKI) määras Allium UPI OÜ-le 3 miljoni euro suuruse trahvi Apotheka kliendiandmete lekke eest. See on suveräänselt Eesti suurim andmekaitsetrahv. See ülevaade koondab AKI kinnitatud trahvid, nende alused ja praktilised õppetunnid – ausalt, sealhulgas juhtumid, kus trahv kohtus tühistati.
Eesti trahvide iseloom
Miks on Eesti trahvid olnud nii väikesed? Põhjus on õiguslik, mitte poliitiline. Eesti õigussüsteem ei tundnud pikka aega GDPR-i tüüpi haldustrahvi: määruse artikli 83 suured trahvid olid mõeldud haldusmenetluses määratavatena, kuid Eesti sai kohaldada üksnes väärteomenetlust madalate ülempiiridega. Väärteomenetlus on ressursimahukas ja kohmakas, mistõttu AKI eelistas sageli ettekirjutusi ja sunniraha hoiatusi tegeliku trahvi asemel. Alles 2023. aasta novembris jõustunud karistusseadustiku üldosa muudatus avas tee oluliselt kõrgemate rahaliste karistusteni andmekaitse valdkonnas. Sanktsioonide siseriiklik alus on GDPR-i täiendavas isikuandmete kaitse seaduses (IKS), mille ülempiir on nüüd 20 miljonit eurot või 4% ülemaailmsest aastakäibest. Otsused avaldab Andmekaitse Inspektsioon oma veebilehel.
Kinnitatud trahvid Eestis
Alljärgnevad juhtumid põhinevad AKI ametlikel teadaannetel.
| Ettevõte | Trahv | Aasta | Rikkumine | Seis |
|---|---|---|---|---|
| Allium UPI OÜ (Apotheka) | 3 000 000 € | 2025 | Ebapiisavad turvameetmed, ulatuslik kliendiandmete leke | Vaidlustatud kohtus |
| Asper Biogene OÜ | 85 000 € | 2025 | Turvameetmed (80 000 €) + andmekaitsespetsialist (5 000 €) | Kohtus tühistatud |
| Varasemad väärteod (2018–2023) | ~sadu eurosid kokku | 2018–2023 | Erinevad, väärteomenetluses | Jõustunud |
Suurimad juhtumid lähemalt
Allium UPI OÜ (3 000 000 €). AKI tegi trahviotsuse 5. septembril 2025. Apotheka kliendiprogrammi infosüsteemis toimus 2024. aasta alguses turvaintsident: kõrvalised isikud pääsesid korduvalt ligi infosüsteemile ja andmebaasi varukoopiale ning laadisid alla suures mahus tundlikke kliendiandmeid. Lekkisid enam kui 750 000 inimese andmed – aastatel 2014–2020 kliendiprogrammiga liitunute ees- ja perekonnanimed, isikukoodid, keel, sugu, e-posti aadressid, telefoninumbrid, kodused aadressid ning ostuajalugu, mis paljastas terviseteavet. AKI tuvastas mitu põhilist puudust: mitmikautentimise puudumine, mitme töötaja ühised administraatoritunnused, ebapiisav tegevuste logimine, kaitsmata varukoopiate hoidmine ja ähmaselt määratletud rollid. Ettevõte, mis kuulub Margus Linnamäe Magnum-gruppi, on otsusega mittenõustunud ja lubanud selle kohtus vaidlustada.
Asper Biogene OÜ (85 000 €). AKI tegi trahviotsuse 10. jaanuaril 2025. Geenitestimise ettevõtte süsteemi rünnati 2023. aasta lõpus ning omandati ligi 100 000 faili isikuandmetega, sealhulgas geneetiliste ja terviseandmetega. Trahv jagunes kaheks: 80 000 eurot turvameetmete puudulikkuse eest (art 32) ja 5 000 eurot andmekaitsespetsialisti kohustuste rikkumise eest – huvide konflikt ja kvalifitseeritud spetsialisti määramata jätmine. Oluline aususe huvides: see trahv tühistati kohtus. Tartu Ringkonnakohus tühistas väärteoasjas trahvi ning Riigikohus AKI kaebust menetlusse ei võtnud, mistõttu tühistamine jäi jõusse. Juhtum illustreerib, kui keeruline on Eestis väärteomenetluse kaudu suuri trahve püsivalt jõustada.
Mida trahvidest õppida?
Eesti juhtumid paljastavad kolm korduvat riskiala:
- Andmeturve ja turvameetmed. Nii Allium UPI kui ka Asper Biogene juhtumis oli keskseks rikkumiseks GDPR-i artikli 32 turvameetmete puudulikkus. Dokumenteeritud tehnilised ja korralduslikud meetmed on hädavajalikud – vaata rikkumisest teavitamine.
- Eriliigilised andmed. Mõlemad suurjuhtumid puudutasid terviseandmeid. Eriliigiliste andmete töötlejalt oodatakse kõrgendatud kaitset ja sageli mõjuhinnangut (DPIA).
- Andmekaitsespetsialisti korrektne positsioon. Asper Biogene trahvist osa puudutas huvide konflikti DPO määramisel – vaata andmekaitsespetsialisti roll.
Väljavaade 2026
Kaks arengut kujundavad Eesti järelevalvet. Esiteks on Allium UPI 3 miljoni euro suurune trahv esimene tõeline suurjuhtum pärast 2023. aasta seadusemuudatust – see näitab, et AKI on valmis kasutama uut kõrgemat trahvipiiri. Teiseks rõhutab Asper Biogene tühistamine kohtuliku kontrolli tähtsust: trahv ei ole automaatselt lõplik. Vastutava töötleja jaoks on järeldus selge – dokumentatsiooni kvaliteet on määrav nii järelevalves kui ka võimalikus kohtuvaidluses. Legiscope koostab selle dokumentatsiooni EL-i majutuses. Võrdle ka teiste riikidega: CNIL-i sanktsioonid Prantsusmaal, UODO joon Poolas ja AEPD Hispaanias.
Kuidas trahv määratakse
Eestis hindab AKI trahvi tingimusi ja suurust GDPR-i artikli 83 alusel. Praktikas mõjutavad trahvi ja selle suurust:
| Alus | Mõju trahvile |
|---|---|
| Rikkumise raskus ja kestus | Suurendav |
| Tahtlus või hooletus | Tahtlus suurendab |
| Andmesubjektide arv ja kahju | Suurendav |
| Koostöö järelevalveasutusega | Vähendav; vältimine suurendab |
| Turvameetmete tase | Puudused suurendavad |
| Varasemad rikkumised | Suurendav |
Allium UPI juhtum näitab suurendavate tegurite koosmõju: 750 000 mõjutatud inimest, tundlikud andmed ja süsteemsed turvapuudused viisid Eesti-mõistes enneolematu trahvini. Ülempiir on IKS-i alusel 20 miljonit eurot või 4% ülemaailmsest aastakäibest.
Trahvi elukaar Eestis
Eesti trahv ei ole tavaliselt menetluse lõpp-punkt, vaid pigem selle keskkoht. Tüüpiline kulg:
- Kaebus või omaalgatuslik menetlus. Suur osa juhtumeid algab andmesubjektide kaebustest või meediakajastusest saanud andmelekkest.
- Selgituste kogumine ja ärakuulamine. Vastutavat töötlejat kuulatakse enne otsust.
- AKI trahviotsus. Inspektsioon otsustab trahvi ja selle suuruse.
- Vaidlustamine kohtus. Asper Biogene juhtum näitab, et kohus võib trahvi tühistada; Allium UPI kaebeprotsess on käimas.
See elukaar selgitab, miks Eesti trahvistatistika on liikuv: osa suurimatest trahvidest on kohtus vaidlustatud või tühistatud. Üldpilti EL-i GDPR-i trahvidest tasub vaadata võrdluseks.
Järelevalve maksumus vastutavale töötlejale
Eesti järelevalve keskendub põhikohustustele, mille täitmine on pidev töö. Käsitsi tehtav andmekaitsetöö võtab VKE-s hõlpsasti 600–1 800 tundi aastas, kui registrid, säilitustähtajad, päringud ja rikkumisdokumentatsioon hoitakse ajakohasena käsitsi. Just need on kohad, mille puudujääkide eest Eesti trahvid on määratud – põhjuseks on tavaliselt dokumentatsiooni puudumine või vananemine, mitte tahtlik kuritarvitus. Vastavustarkvara vähendab seda töömahtu tavaliselt 70–90%, mistõttu dokumentatsiooni hooldamine muutub jõukohaseks ka väiksemale organisatsioonile. Vaata GDPR tarkvara hind ja GDPR tarkvara VKEdele.
Eesti Balti naabrite kontekstis
Eesti tagasihoidlik trahvipraktika paistab eriti selgelt Balti võrdluses. Andmekaitseregulatsioon on kolmes riigis sisuliselt sama – kõik kohaldavad GDPR-i –, kuid jõustamine on erinenud järsult. Ajalooliselt, GDPR-i esimestel aastatel, oli olukord järgmine:
| Riik | Kogutrahvid (varajane periood) | Järelevalveasutus |
|---|---|---|
| Läti | ~93 000 € | Datu valsts inspekcija |
| Leedu | ~81 000 € | Valstybinė duomenų apsaugos inspekcija |
| Eesti | ~408 € | Andmekaitse Inspektsioon |
Erinevus ei tulenenud sellest, et Eestis rikkumisi vähem oleks olnud, vaid õiguslikust erisusest: Eesti ei saanud kohaldada GDPR-i tüüpi haldustrahvi ja väärteomenetlus oli kohmakas. 2025. aasta Allium UPI 3 miljoni euro suurune trahv muudab selle pildi järsult – Eesti liigub Balti kontekstis tagasihoidlikust jõustajast pretsedenti loovaks. Kohtuvaidluse tulemus määrab, kui püsiv see muutus on.
Kuidas dokumentatsioon vähendab trahviriski
Nii Allium UPI kui ka Asper Biogene juhtumi keskmes oli sama muster: dokumenteerimata või puudulikud turvameetmed ja hägusalt määratletud vastutus. Just siin on dokumentatsiooni kvaliteet määrav – nii järelevalves kui ka võimalikus kohtuvaidluses. AKI hindab artikli 83 alusel muu hulgas seda, kas vastutav töötleja suutis tõendada rakendatud tehnilisi ja korralduslikke meetmeid.
Praktiline kaitse koosneb neljast dokumendist, mille ajakohasust Eesti järelevalve tegelikult kontrollib: ajakohane töötlemistoimingute registri näidis koos määratud säilitustähtaegadega, sõlmitud volitatud töötleja lepingud iga alltöövõtja kohta ning kõrge riskiga töötlemise puhul andmekaitsealane mõjuhinnang (DPIA). Need ei ole formaalsused: puuduliku dokumentatsiooni korral eeldab järelevalve, et meedet ei olnud, ja tõendamiskoormus langeb vastutavale töötlejale. Just dokumentatsiooni pidev hooldamine – mitte selle ühekordne koostamine – on Eesti kontekstis kõige praktilisem trahviriski maandaja.
Korduma kippuvad küsimused
Mis on suurim andmekaitsetrahv Eestis?
Suurim trahv on Allium UPI OÜ-le 2025. aastal määratud 3 miljonit eurot Apotheka kliendiandmete lekke ja ebapiisavate turvameetmete eest. Ettevõte on otsuse kohtus vaidlustanud.
Kui palju on Eestis andmekaitsetrahve määratud?
Ajalooliselt väga vähe – kuni 2023. aasta lõpuni kokku vaid mõnisada eurot, mis on Euroopa madalaimate seas. 2025. aasta Allium UPI 3 miljoni euro suurune trahv muutis seda pilti järsult, kuid see on kohtus vaidlustatud.
Miks on Eesti trahvid olnud nii väikesed?
Eesti õigussüsteem ei võimaldanud pikka aega GDPR-i tüüpi haldustrahvi, vaid üksnes väärteomenetlust madalate ülempiiridega. Alles 2023. aasta novembris jõustunud karistusseadustiku muudatus avas tee kõrgemate sanktsioonideni.
Kui palju maksis Allium UPI trahv ja mille eest?
3 miljonit eurot. Trahvi aluseks olid ebapiisavad turvameetmed (mitmikautentimise puudumine, ühised administraatoritunnused, kaitsmata varukoopiad), mille tõttu lekkisid enam kui 750 000 inimese andmed Apotheka kliendiprogrammist.
Kes määrab Eestis trahvi?
Andmekaitse Inspektsioon (AKI) GDPR-i artikli 83 ja IKS-i alusel. Trahvi saab kohtus vaidlustada, nagu näitab Asper Biogene juhtum, kus trahv tühistati.
Kokkuvõte
Eesti andmekaitsetrahvid on ajalooliselt olnud sümboolsed, kuid 2025. aasta Allium UPI 3 miljoni euro suurune trahv Apotheka andmelekke eest märgib pöördepunkti. Samal ajal näitab Asper Biogene trahvi tühistamine kohtus, et Eesti väärteomenetlus jätab trahvidele tugeva õigusliku vaidlusruumi. Järeldus vastutavale töötlejale: keskendu põhikohustustele ja dokumentatsiooni kvaliteedile. Vaata riigi konteksti andmekaitse Eestis ja järelevalveasutuse rolli AKI juhendist.
Viimati üle vaadatud: juuli 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial