Andmekaitse

Andmekaitse Inspektsioon (AKI) 2026: juhend järelevalveasutusest

Andmekaitse Inspektsioon (AKI) 2026: Eesti järelevalveasutuse pädevus, menetlus, kontroll ja trahvid. Kuidas AKI-ga suhelda ja rikkumisest teavitada.

Also available in:Español·Polski·fi

Andmekaitse Inspektsioon (AKI) on Eesti järelevalveasutus, kes teostab järelevalvet isikuandmete kaitse üldmääruse (GDPR) ja isikuandmete kaitse seaduse (IKS) täitmise üle. AKI menetleb kaebusi, annab juhiseid, teostab kontrolle, teeb ettekirjutusi ning võib kohaldada sanktsioone. Eesti eripära on, et AKI ei ole pikka aega saanud määrata GDPR-i tüüpi haldustrahve, vaid on tuginenud väärteomenetlusele – seda tausta peab iga Eesti vastutav töötleja mõistma. 2025. aastal tegi AKI Eesti ajaloo suurima andmekaitseotsuse: 3 miljoni euro suurune trahv Allium UPI OÜ-le Apotheka kliendiandmete lekke eest. See juhend selgitab AKI rolli, pädevust ja seda, kuidas asutusega praktikas suhelda.

Mis on Andmekaitse Inspektsioon?

Andmekaitse Inspektsioon on GDPR-i artikli 51 mõistes Eesti sõltumatu järelevalveasutus. Selle ülesanne on tagada, et isikuandmete töötlemine Eestis vastab õigusaktidele, ning kaitsta füüsiliste isikute põhiõigusi seoses nende isikuandmetega. AKI tegevuse õiguslik alus on GDPR ja seda täiendav isikuandmete kaitse seadus (IKS). Ametlik teave ja juhendid on kättesaadavad AKI veebilehel. Üldpilt kohalduvast õigusest: andmekaitse Eestis.

Erinevalt paljudest EL-i järelevalveasutustest tegeleb AKI Eestis ühtaegu ka avaliku teabe järelevalvega – asutuse pädevus ulatub seega andmekaitsest laiemale. Vastutava töötleja jaoks tähendab see, et sama asutus, kes hindab isikuandmete töötlemist, tegeleb ka läbipaistvuse ja teabele juurdepääsu küsimustega.

AKI pädevus ja volitused

AKI-l on GDPR-i artikli 58 kohaselt lai volituste kogum. Alljärgnev tabel koondab peamised.

Volitus Sisu
Uurimisvolitused Nõuda teavet, teostada kohapealset kontrolli, saada juurdepääs andmetele
Korrigeerivad volitused Teha hoiatusi, noomitusi ja ettekirjutusi
Ettekirjutus Kohustada viima töötlemine õigusaktidega kooskõlla
Töötlemise piiramine või keeld Ajutine või alaline töötlemiskeeld
Sunniraha Ettekirjutuse täitmise tagamiseks
Rahaline karistus Väärteomenetluses või IKS-i alusel

Praktikas eelistab AKI sageli astmelist lähenemist: esmalt juhis või hoiatus, seejärel ettekirjutus ja alles viimases järjekorras rahaline karistus. Just seetõttu on Eesti trahvistatistika olnud tagasihoidlik – süsteemi kohta loe AKI trahvid 2025.

Kuidas AKI trahve määrab

Siin peitub Eesti tähtsaim eripära. Kuni 2023. aasta lõpuni ei võimaldanud Eesti õigussüsteem AKI-l määrata GDPR-i artikli 83 kohaseid haldustrahve. Määruse suured trahvid olid mõeldud haldusmenetluses määratavatena, kuid Eesti sai kohaldada üksnes väärteomenetlust madalate ülempiiridega. Alles 2023. aasta novembris jõustunud karistusseadustiku üldosa muudatus avas tee oluliselt kõrgemate rahaliste karistusteni. Nüüd on IKS-i alusel ülempiiriks 20 miljonit eurot või 4% ülemaailmsest aastakäibest – teoreetiliselt sama, mis mujal EL-is.

Selle muudatuse esimene tõeline rakendus oli 2025. aasta Allium UPI 3 miljoni euro suurune trahv. Samal aastal tegi AKI ka Asper Biogene OÜ-le 85 000 euro suuruse trahvi geneetiliste andmete lekke eest, kuid kohus tühistas selle – Riigikohus AKI kaebust menetlusse ei võtnud. See näitab, et kohtulik kontroll AKI otsuste üle on Eestis reaalne ja aktiivne.

Kuidas AKI-ga suhelda

Vastutava töötleja jaoks on AKI kolm peamist kokkupuutepunkti:

  • Rikkumisest teavitamine (art 33). Isikuandmetega seotud rikkumisest tuleb AKI-d teavitada põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul. Praktilised juhised: rikkumisest teavitamine.
  • Eelnev konsulteerimine (art 36). Kui mõjuhinnang (DPIA) näitab kõrget jääkriski, tuleb enne töötlemist AKI-ga konsulteerida.
  • Kaebustele vastamine. Kui andmesubjekt esitab AKI-le kaebuse, palub inspektsioon vastutavalt töötlejalt selgitusi. Kiire ja dokumenteeritud vastus on parim kaitse.

Igas neist punktidest on määrav dokumentatsiooni olemasolu ja kvaliteet. AKI hindab esimesena tavaliselt töötlemistoimingute registrit (ROPA) ja seejärel andmesubjekti päringute (DSAR) käsitlemist.

Kontroll: mida AKI vaatab

AKI kontroll – olgu kaebuse ajendil või omaalgatuslik – keskendub tavaliselt põhikohustustele. Kontrollija tüüpiline kontrollnimekiri:

  1. Töötlemistoimingute register (art 30): kas register on olemas, ajakohane ja katab kõik töötlemistoimingud koos õiguslike aluste ja säilitustähtaegadega.
  2. Õiguslikud alused (art 6): kas igal töötlemisel on kehtiv alus ja kas nõusolek on korrektselt kogutud.
  3. Volitatud töötleja lepingud (art 28): kas iga volitatud töötlejaga on sõlmitud nõuetekohane leping.
  4. Andmesubjekti õigused (art 12–22): kas on protsess päringutele vastamiseks ühe kuu jooksul.
  5. Turvameetmed (art 32): kas tehnilised ja korralduslikud meetmed on dokumenteeritud ja riskile vastavad.

Allium UPI juhtum näitab, mis juhtub, kui viies punkt jääb täitmata: mitmikautentimise puudumine ja kaitsmata varukoopiad viisid Eesti suurima trahvini.

AKI roll digiriigis

Eesti kui digiriigi kontekstis on AKI roll eriti nähtav. Ulatuslik e-teenuste, X-tee andmevahetuse ja isikukoodi kasutus tähendab, et isikuandmete töötlemine on Eestis süstematiseeritud ja jälgitav. AKI teostab järelevalvet ka avaliku sektori suurte andmekogude üle ning annab juhiseid, mis mõjutavad kogu digitaalset ökosüsteemi. Eesti ettevõtte jaoks on korrektne andmekaitse seetõttu pigem konkurentsieelis kui pelk kohustus – klientide ja partnerite ootus andmete korrektsele käsitlemisele on siin kõrge.

Andmekaitsespetsialist ja AKI

Kui vastutav töötleja on määranud andmekaitsespetsialisti (DPO), on see isik peamine kontaktpunkt AKI-ga suhtlemisel. Asper Biogene juhtum näitab, et AKI kontrollib ka DPO positsiooni korrektsust: osa selle ettevõtte trahvist puudutas huvide konflikti ja kvalifitseeritud spetsialisti määramata jätmist. Andmekaitsespetsialist peab olema sõltumatu, piisavate ressurssidega ja otsealluvuses kõrgeimale juhtkonnale.

Praktilised soovitused suhtluseks AKI-ga

  • Ole ennetav. Rikkumise korral teavita AKI-d ise ja õigeaegselt – hilinenud või puuduv teavitus on iseseisev rikkumine.
  • Dokumenteeri kõik. Iga töötlemistoiming, õiguslik alus ja turvameede peab olema kirjalikult fikseeritud. Kontrollis on dokumentatsioon sinu peamine kaitse.
  • Vasta kiiresti ja täielikult. Koostöö järelevalveasutusega on GDPR-i artikli 83 kohaselt trahvi vähendav tegur; vältimine seevastu suurendab seda.
  • Kasuta AKI juhendeid. AKI avaldab valdkonnapõhiseid juhiseid, mis aitavad tõlgendada nõudeid Eesti kontekstis.

Manuaalne dokumentatsioon vananeb kiiresti ja tekitab just neid puudujääke, mille eest AKI sanktsioone kohaldab. Legiscope on Euroopa andmekaitseplatvorm, mis hoiab töötlemistoimingute registri, lepingud ja tähtajad ajakohasena EL-i majutuses – seda dokumentatsiooni AKI kontrollis ootabki. Tööriistade võrdlus: GDPR tarkvara võrdlus.

Kuidas kontrolliks valmistuda

AKI kontroll ei pea olema üllatus. Ettevõte, kes hoiab dokumentatsiooni pidevalt korras, saab kontrolliga hakkama ilma paanikata. Praktiline valmisoleku nimekiri:

  1. Töötlemistoimingute register ajakohane. See on kontrolli esimene vaadeldav dokument – veendu, et see katab kõik toimingud koos säilitustähtaegadega.
  2. Õiguslikud alused dokumenteeritud. Iga töötlemine peab olema seotud kehtiva alusega (art 6), nõusolek korrektselt kogutud.
  3. Volitatud töötleja lepingud sõlmitud. Iga tarnija (pilv, raamatupidamine, turundus) vajab kehtivat lepingut.
  4. Päringuprotsess toimiv. Näita, et suudad vastata ühe kuu jooksul – vaata andmesubjekti päringute tarkvara.
  5. Turvameetmed kirjeldatud. Tehnilised ja korralduslikud meetmed peavad olema dokumenteeritud – Allium UPI juhtum näitab, et just siin peituvad suurimad riskid.
  6. Rikkumisprotsess valmis. 72 tunni teavitamise kord peab olema paigas ja katsetatud.

Kui need kuus punkti on korras, on kontroll pigem formaalsus kui oht. Just siin annab andmekaitsetarkvara suurima väärtuse – see hoiab dokumentatsiooni pidevalt kontrollivalmis, mitte alles kontrolliteate saabudes.

Korduma kippuvad küsimused

Mis on Andmekaitse Inspektsioon?

Andmekaitse Inspektsioon (AKI) on Eesti sõltumatu järelevalveasutus, kes teostab järelevalvet GDPR-i ja isikuandmete kaitse seaduse täitmise üle. AKI menetleb kaebusi, teeb kontrolle, annab ettekirjutusi ja võib kohaldada sanktsioone.

Kas AKI saab määrata suuri trahve?

Alates 2023. aasta novembri karistusseadustiku muudatusest võib AKI kohaldada IKS-i alusel kuni 20 miljoni euro või 4% käibe suuruseid karistusi. Enne seda sai AKI tugineda üksnes väärteomenetlusele madalate piiridega, mistõttu Eesti trahvid olid sümboolsed.

Millal tuleb AKI-d rikkumisest teavitada?

Isikuandmetega seotud rikkumisest tuleb AKI-d teavitada põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul rikkumise teadasaamisest (art 33). Kui rikkumine toob kaasa tõenäoliselt kõrge riski, tuleb teavitada ka andmesubjekte (art 34).

Mida AKI kontrollis kõigepealt vaatab?

Tavaliselt töötlemistoimingute registrit (ROPA), õiguslikke aluseid, volitatud töötleja lepinguid, andmesubjekti õiguste protsessi ja turvameetmeid. Just nende puudujääkide eest on Eestis sanktsioone kohaldatud.

Kuidas AKI-ga suhtlemisel käituda?

Ole ennetav ja õigeaegne, dokumenteeri kõik töötlemistoimingud ja turvameetmed ning vasta kiiresti ja täielikult. Koostöö on trahvi vähendav tegur; selle vältimine suurendab trahvi.

Kokkuvõte

Andmekaitse Inspektsioon on Eesti järelevalveasutus, kelle pädevus ulatub kaebuste menetlemisest kontrollide ja sanktsioonideni. Eesti eripära on, et AKI sai pikka aega tugineda üksnes väärteomenetlusele – kuni 2023. aasta seadusemuudatuseni, mille esimene suur rakendus oli Allium UPI 3 miljoni euro suurune trahv. Vastutava töötleja jaoks on parim kaitse ennetav suhtlus, õigeaegne rikkumisest teavitamine ja kvaliteetne dokumentatsioon. Vaata ka AKI trahvid 2025 ja andmekaitse Eestis.

Viimati üle vaadatud: juuli 2026.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →