Andmekaitse Eestis põhineb kahel õigusaktil: otsekohalduval EL-i isikuandmete kaitse üldmäärusel (GDPR) ja seda täiendaval siseriiklikul isikuandmete kaitse seadusel (IKS). Järelevalvet teostab Andmekaitse Inspektsioon (AKI). Ajalooliselt on Eesti trahvid olnud tagasihoidlikud, sest riigi õigussüsteem ei võimaldanud pikka aega määrata GDPR-i tüüpi haldustrahve – kuni 2023. aasta lõpuni oli kogu Eestis määratud trahvide summa vaid mõnisada eurot. See muutus 2025. aastal, kui AKI määras Allium UPI OÜ-le 3 miljoni euro suuruse trahvi Apotheka kliendiandmete lekke eest. See juhend selgitab, mida Eesti vastutav töötleja ja volitatud töötleja peavad 2026. aastal teadma.
Andmekaitse ei ole enam üksnes suurettevõtete mure. AKI on nihutanud oma järelevalve fookust üksikutelt suurjuhtumitelt süsteemsemale kontrollile, mis puudutab üha sagedamini ka väikese ja keskmise suurusega ettevõtteid. Selles juhendis käsitleme kohalduvat õigust, järelevalveasutuse pädevust, vastutava töötleja konkreetseid kohustusi, reaalseid trahve ning uut küberturvalisuse ja finantssektori regulatsiooni (NIS2 ja DORA).
Milline seadus reguleerib andmekaitset Eestis?
Isikuandmete töötlemist reguleerib esmajoones GDPR ehk EL-i isikuandmete kaitse üldmäärus (2016/679). Kuna tegemist on määrusega, on see otsekohalduv ega vaja siseriiklikku ülevõtmist. Siseriiklik isikuandmete kaitse seadus (IKS) täiendab üldmäärust seal, kus GDPR jätab liikmesriikidele otsustusruumi. IKS muu hulgas määrab kindlaks Andmekaitse Inspektsiooni pädevuse, täpsustab isikuandmete töötlemise erijuhud ning sätestab alaealise nõusoleku vanusepiiriks 13 eluaastat infoühiskonna teenuste pakkumisel.
Eesti eripära on tugev digiriik: e-residentsus, X-tee andmevahetuskiht ja ulatuslik avaliku sektori isikuandmete töötlemine tähendavad, et andmekaitse on siin praktikas nähtavam kui paljudes teistes riikides. Just seetõttu on korrektne andmekaitse Eesti ettevõtte jaoks pigem konkurentsieelis kui pelk kohustus.
Kes teostab järelevalvet andmekaitse üle Eestis?
Järelevalveasutus on Andmekaitse Inspektsioon (AKI). AKI menetleb kaebusi, annab juhiseid, teostab kontrolle ja võib kohaldada haldusmeetmeid. Erinevalt paljudest teistest EL-i järelevalveasutustest ei ole AKI saanud kaua määrata klassikalisi haldustrahve, vaid on tuginenud väärteomenetlusele. Asutuse rolli ja pädevust käsitleme põhjalikumalt juhendis Andmekaitse Inspektsioon (AKI).
Vastutava töötleja põhikohustused
GDPR paneb vastutavale töötlejale rea dokumenteerimis- ja haldamiskohustusi. Alljärgnev tabel koondab olulisemad kohustused ja nende õigusliku aluse.
| Kohustus | Artikkel | Praktiline sisu |
|---|---|---|
| Töötlemistoimingute register (ROPA) | Art 30 | Ajakohane loetelu kõigist töötlemistoimingutest |
| Andmekaitsealane mõjuhinnang (DPIA) | Art 35 | Kõrge riskiga töötlemise eelhindamine |
| Rikkumisest teavitamine | Art 33–34 | Teavitus järelevalveasutusele 72 tunni jooksul |
| Andmesubjekti õigused | Art 12–22 | Vastus päringule ühe kuu jooksul |
| Volitatud töötleja leping | Art 28 | Leping iga volitatud töötlejaga |
| Andmekaitsespetsialist (DPO) | Art 37 | Määramine teatud juhtudel |
Neist kesksem dokument on isikuandmete töötlemise toimingute register (ROPA), mis on peaaegu alati kontrolli esimene vaadeldav dokument. Teine oluline valdkond on andmesubjektide päringute (DSAR) haldamine tähtaja jooksul – just selle puudulikkuse eest on Eestis korduvalt sanktsioone kohaldatud.
Millisel alusel tohib isikuandmeid töödelda?
Iga isikuandmete töötlemine eeldab GDPR-i artikli 6 kohast õiguslikku alust. Ilma kehtiva aluseta on töötlemine õigusvastane, sõltumata sellest, kui hoolikalt seda muidu tehakse. Kuus alternatiivset alust on:
| Õiguslik alus | Tüüpiline kasutus |
|---|---|
| Nõusolek | Uudiskirjad, mittevajalikud küpsised, otseturundus |
| Leping | Tellimuse täitmine, töösuhte haldamine |
| Juriidiline kohustus | Raamatupidamine, maksud, tööandja kohustused |
| Eluliselt tähtis huvi | Hädaolukorrad, tervise kaitse |
| Avalik huvi | Avaliku võimu ülesanded |
| Õigustatud huvi | Pettuse tõkestamine, võrgu turvalisus, B2B-suhtlus |
Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline. Eriliigilisi isikuandmeid – näiteks terviseandmeid, mis olid mängus nii Allium UPI kui ka Asper Biogene juhtumis – tohib töödelda üksnes artikli 9 rangematel tingimustel.
Andmesubjekti õigused Eestis
GDPR annab andmesubjektile rea õigusi, mille vastutav töötleja peab täitma põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul:
- Õigus tutvuda andmetega (art 15): õigus saada juurdepääs oma andmetele.
- Parandamine (art 16): ebaõigete andmete korrigeerimine.
- Kustutamine ehk õigus olla unustatud (art 17): andmete kustutamine teatud tingimustel.
- Töötlemise piiramine (art 18): töötlemise ajutine peatamine.
- Andmete ülekandmine (art 20): andmete ülekandmine ühest süsteemist teise.
- Vastuväide (art 21): eelkõige otseturunduse osas tingimusteta.
Nende õiguste tagamine eeldab toimivat protsessi – vaata andmesubjekti päringute tarkvara ja andmetega tutvumise õiguse põhimõtteid õigus tutvuda andmetega.
Reaalsed trahvid Eestis
Eesti järelevalvepraktika on olnud märksa tagasihoidlikum kui näiteks Prantsusmaal või Iirimaal. Kuni 2023. aasta lõpuni ei võimaldanud Eesti õigussüsteem AKI-l määrata GDPR-i tüüpi haldustrahve ning kohaldati üksnes väärteomenetlust madalate ülempiiridega. Alljärgnevad juhtumid pärinevad AKI ametlikest teadaannetest.
| Ettevõte | Trahv | Aasta | Rikkumine | Seis |
|---|---|---|---|---|
| Allium UPI OÜ (Apotheka) | 3 000 000 € | 2025 | Ebapiisavad turvameetmed, kliendiandmete leke | Vaidlustatud kohtus |
| Asper Biogene OÜ | 85 000 € | 2025 | Turvameetmed + andmekaitsespetsialisti huvide konflikt | Kohtus tühistatud |
Allium UPI (3 mln €). Eesti suurim andmekaitsetrahv. Apotheka kliendiprogrammi infosüsteemis toimus 2024. aasta alguses turvaintsident, mille käigus said kõrvalised isikud korduvalt juurde andmebaasi varukoopiale. Lekkisid enam kui 750 000 inimese andmed, sealhulgas isikukoodid, kontaktandmed ja ostuajalugu, mis paljastas tundlikku teavet. Ettevõte on otsuse vaidlustanud. Asper Biogene (85 000 €) puudutas ligi 100 000 faili lekkinud geneetilisi ja terviseandmeid, kuid trahvi otsus tühistati kohtus – Riigikohus AKI kaebust menetlusse ei võtnud. Põhjalik analüüs: AKI trahvid 2025.
Eesti eripärad
Kolm asjaolu eristavad Eesti andmekaitsepraktikat paljudest teistest EL-i riikidest:
- Väärteomenetlus tegeliku haldustrahvi asemel. Kuni 2023. aasta karistusseadustiku üldosa muudatuseni ei saanud AKI kohaldada GDPR-i suuri haldustrahve. Alles seejärel avanes tee kõrgemate sanktsioonideni, mille lagi on IKS-i alusel 20 miljonit eurot või 4% käibest.
- Tugev digiriik. Ulatuslik e-teenuste ja isikukoodi kasutus tähendab, et isikuandmete töötlemine on Eestis eriti nähtav ja süstematiseeritud.
- Kohtulik kontroll on aktiivne. Asper Biogene juhtum näitab, et AKI trahv ei ole menetluse lõpp-punkt – kohus võib selle tühistada, mistõttu dokumentatsiooni kvaliteet on määrava tähtsusega.
Andmeturve ja rikkumised
GDPR-i artikkel 32 kohustab vastutavat töötlejat ja volitatud töötlejat rakendama riskile vastavaid tehnilisi ja korralduslikke turvameetmeid. Just selle kohustuse rikkumine viis Eesti suurima trahvini: Allium UPI puhul tuvastas AKI mitmikautentimise puudumise, ühiste administraatoritunnuste kasutamise, ebapiisava logimise ja kaitsmata varukoopiad.
Isikuandmetega seotud rikkumisest tuleb AKI-d teavitada põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul rikkumise teadasaamisest (art 33). Kui rikkumine kaasa toob tõenäoliselt kõrge riski andmesubjektide õigustele, tuleb teavitada ka neid (art 34). Praktilised juhised: isikuandmetega seotud rikkumisest teavitamine.
Isikuandmete edastamine väljapoole EL-i
Kui isikuandmeid edastatakse väljapoole EL-i või EMP-d, on vaja GDPR-i V peatüki kohast edastusalust – näiteks komisjoni kaitse piisavuse otsust või standardseid lepinguklausleid koos edastusmõju hindamisega. Eesti ettevõtte jaoks muutub see praktiliseks alati, kui kasutatakse USA pilveteenuseid. Üks viis seda halduskoormust vähendada on valida EL-is majutatud teenused. Taust: piiriülesed andmeedastused.
NIS2 ja DORA: uus regulatsioon 2025–2026
Andmekaitse kõrvale on tõusnud kaks olulist regulatsiooni. NIS2 direktiiv võetakse Eestis üle küberturvalisuse seaduse muudatustega ja selle üle teostab järelevalvet Riigi Infosüsteemi Amet (RIA). DORA määrust kohaldatakse alates 17.01.2025 ning Finantsinspektsioon teostab järelevalvet finantssektoris. Mõlemad toovad uusi dokumenteerimis- ja aruandluskohustusi, mis osaliselt kattuvad GDPR-iga.
Kuidas VKE vastavuseni jõuab?
Vastavus koosneb kolmest etapist: hetkeolukorra kaardistamine, dokumentatsiooni koostamine (ROPA, DPIA, volitatud töötleja lepingud) ja pidev ajakohastamine. Käsitsi hooldamine tabelarvutuses vananeb kiiresti ja tekitab just neid puudujääke, mille eest sanktsioone määratakse. Andmekaitsetarkvara automatiseerib dokumentatsiooni ja tähtaegade jälgimise. Legiscope on Euroopa platvorm, mille on kavandanud andmekaitsele spetsialiseerunud juristid ja mis koostab töötlemistoimingute registri mõne minutiga. Võrdlus alternatiividest: GDPR tarkvara võrdlus ja hinnad GDPR tarkvara hind.
Praktiline alustamisnimekiri Eesti vastutavale töötlejale:
- Kaardista kõik isikuandmete töötlemistoimingud ja nende õiguslikud alused.
- Koosta töötlemistoimingute register ja määra säilitustähtajad.
- Sõlmi volitatud töötleja leping iga volitatud töötlejaga (art 28).
- Ehita protsess päringute käsitlemiseks ühe kuu tähtaja jooksul.
- Dokumenteeri turvameetmed ja rikkumisest teavitamise protsess (72 h).
- Hinda, kas on vaja määrata andmekaitsespetsialist või teha mõjuhinnang (DPIA).
Õiguslik märkus: See artikkel on üldine teave, mitte õigusnõustamine. Üksikjuhtumites tasub konsulteerida andmekaitsele spetsialiseerunud juristiga.
Andmekaitse kui konkurentsieelis Eestis
Eestis, mis on üks maailma kõrgemalt digitaliseeritud ühiskondi, ei ole korrektne andmekaitse pelk kohustus, vaid äriline eelis. Kolm põhjust:
- Klientide kõrge ootus. Digiriigi kodanik on harjunud korrektse andmekäsitlusega – e-teenused, X-tee ja isikukoodi kasutus on igapäevased. Ettevõte, kes suudab tõendada tugevat andmekaitset, võidab usalduse.
- B2B müügiargument. Üha enam ärikliente küsib andmekaitse tõendeid enne lepingut. Ajakohane töötlemistoimingute register ja dokumenteeritud turvameetmed on müügivara, mitte pelk kulu.
- Riski maandamine kasvavas keskkonnas. Allium UPI 3 miljoni euro suurune trahv näitab, et Eesti järelevalve karmistub. Varane investeering dokumentatsiooni maandab tulevast riski.
Just seetõttu tasub Eesti ettevõttel käsitleda andmekaitset strateegilise, mitte üksnes õigusliku küsimusena – ja valida tööriistad, mis muudavad selle jõukohaseks. Vaata GDPR tarkvara VKEdele.
Korduma kippuvad küsimused
Milline seadus reguleerib andmekaitset Eestis?
Esmajoones EL-i isikuandmete kaitse üldmäärus (GDPR), mida täiendab siseriiklik isikuandmete kaitse seadus (IKS). Järelevalvet teostab Andmekaitse Inspektsioon.
Kes määrab Eestis andmekaitsetrahve?
Trahve määrab Andmekaitse Inspektsioon. Kuni 2023. aasta lõpuni sai AKI tugineda üksnes väärteomenetlusele madalate piiridega; karistusseadustiku muudatuse järel on ülempiir IKS-i alusel 20 miljonit eurot või 4% ülemaailmsest aastakäibest.
Mis on suurim andmekaitsetrahv Eestis?
Suurim trahv on Allium UPI OÜ-le 2025. aastal määratud 3 miljonit eurot Apotheka kliendiandmete lekke ja ebapiisavate turvameetmete eest. Ettevõte on otsuse kohtus vaidlustanud.
Kas VKE vajab andmekaitsespetsialisti?
Andmekaitsespetsialist tuleb määrata, kui ettevõtte põhitegevus hõlmab ulatuslikku korrapärast jälgimist või ulatuslikku eriliigiliste andmete töötlemist. Loe lähemalt andmekaitsespetsialisti rollist.
Kas iga töötlemine vajab õiguslikku alust?
Jah. Igal töötlemisel peab olema GDPR-i artikli 6 kohane alus: nõusolek, leping, juriidiline kohustus, eluliselt tähtis huvi, avalik huvi või õigustatud huvi. Ilma kehtiva aluseta on töötlemine õigusvastane.
Kokkuvõte
Andmekaitse Eestis tugineb GDPR-ile ja isikuandmete kaitse seadusele ning selle üle teostab järelevalvet Andmekaitse Inspektsioon. Trahvid on olnud tagasihoidlikud, kuid 2025. aasta Allium UPI 3 miljoni euro suurune trahv märgib uut ajastut. Vastutaval töötlejal tasub tagada ajakohane töötlemistoimingute register, toimiv päringuprotsess ja dokumenteeritud turvameetmed – just nende puudujääkide eest on Eestis sanktsioone kohaldatud. Vaata ka AKI trahvid 2025 ja NIS2 Eestis.
Viimati üle vaadatud: juuli 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial