Andmekaitse

Õigus tutvuda andmetega (GDPR art. 15) 2026: kuidas vastata ühe kuu jooksul

Andmesubjekti õigus tutvuda oma isikuandmetega GDPR artikli 15 järgi: mida taotlus hõlmab, ühe kuu tähtaeg, koopia väljastamine ja erandid 2026.

Õigus tutvuda andmetega annab igale andmesubjektile isikuandmete kaitse üldmääruse (GDPR) artikli 15 kohaselt õiguse saada vastutavalt töötlejalt kinnitust, kas tema isikuandmeid töödeldakse, ning kui töödeldakse, siis tutvuda nende andmetega ja saada nende koopia. Vastutav töötleja peab taotlusele vastama põhjendamatu viivituseta ja igal juhul ühe kuu jooksul taotluse saamisest. Keerukate või arvukate taotluste korral võib tähtaega pikendada kahe kuu võrra, teatades sellest andmesubjektile esimese kuu jooksul koos viivituse põhjendusega. Õigus tutvuda andmetega on kõige sagedamini teostatav andmesubjekti õigus ja üks tavalisemaid kaebuste allikaid Andmekaitse Inspektsioonile (AKI). See juhend selgitab, mida taotlus hõlmab, kuidas sellele vastata ja millised on erandid.

Mida õigus tutvuda andmetega hõlmab?

Artikli 15 kohaselt on andmesubjektil õigus saada kinnitust töötlemise kohta ning järgmine teave:

  • töötlemise eesmärgid;
  • asjaomaste isikuandmete liigid;
  • vastuvõtjad või vastuvõtjate kategooriad, eelkõige kolmandates riikides;
  • kavandatud säilitustähtaeg või selle määramise kriteeriumid;
  • teave õigusest nõuda parandamist, kustutamist või töötlemise piiramist ning esitada kaebus AKI-le;
  • teave andmete päritolu kohta, kui neid ei kogutud andmesubjektilt;
  • teave automatiseeritud otsuste tegemise ja profileerimise kohta, sealhulgas kasutatava loogika kohta.

Lisaks teabele peab vastutav töötleja väljastama töödeldavate isikuandmete koopia (art. 15 lg 3). Esimene koopia on tasuta; ilmselgelt põhjendamatute või ülemääraste taotluste korral võib nõuda mõistlikku tasu või keelduda (art. 12 lg 5).

Kuidas taotlusele vastata: praktiline protsess

  1. Registreerige taotlus ja fikseerige tähtaeg. Ühe kuu tähtaeg algab taotluse saamisest. Taotlus võib olla vabas vormis, suuline või kirjalik – vorminõuet ei ole.
  2. Tuvastage taotleja isik. Põhjendatud kahtluse korral võib küsida lisateavet isiku tuvastamiseks (art. 12 lg 6), kuid mitte ülemääraselt. Isiku tuvastamise vajadus ei peata tähtaega põhjendamatult.
  3. Otsige andmed üles kõigist süsteemidest. Kasutage aluseks töötlemise registrit, mis näitab, kus isikuandmeid hoitakse.
  4. Hinnake kolmandate isikute õigusi. Koopia väljastamine ei tohi kahjustada teiste isikute õigusi ja vabadusi (art. 15 lg 4) – vajaduse korral eemaldage teiste isikute andmed.
  5. Väljastage vastus selges keeles. Vastus peab olema arusaadav, tavaliselt kirjalikult või elektrooniliselt.

Erandid ja piirangud

Õigus tutvuda andmetega ei ole piiramatu. Koopia väljastamisel tuleb arvestada teiste isikute õigusi, sealhulgas ärisaladust ja intellektuaalomandit – kuid see ei tohi viia andmesubjektile igasuguse teabe andmisest keeldumiseni. Eesti isikuandmete kaitse seadus (IKS) näeb ette täiendavaid piiranguid, näiteks kui teabe andmine kahjustaks süüteomenetlust, riigi julgeolekut või teiste isikute õigusi. IKS-i täisteksti leiate Riigi Teatajast.

Taotluse rahuldamisest osalisel või täielikul keeldumisel tuleb andmesubjekti teavitada keeldumise põhjustest ja tema õigusest esitada kaebus AKI-le või pöörduda kohtusse (art. 12 lg 4).

Seos teiste õigustega

Õigus tutvuda andmetega on sageli lähtepunkt teistele õigustele. Pärast andmetega tutvumist võib andmesubjekt nõuda andmete kustutamist (art. 17), andmete ülekandmist teisele teenusepakkujale (art. 20) või töötlemise piiramist. Kui töötlemise aluseks on nõusolek, saab andmesubjekt selle ka tagasi võtta. Seepärast tasub kõik andmesubjektide õiguste taotlused käsitleda ühtse protsessi raames.

Levinud vead

  • Ühe kuu tähtaja ületamine ilma põhjendatud pikendamiseta ja andmesubjekti teavitamiseta.
  • Ainult osade süsteemide läbivaatamine – andmeid otsitakse e-kirjadest, kuid unustatakse CRM, varukoopiad, logid.
  • Koopia väljastamata jätmine, piirdudes üldise kirjeldusega. Artikli 15 lõige 3 nõuab tegelike andmete koopiat.
  • Ülemäärane isikutuvastus – lisateabe nõudmine olukorras, kus taotleja isik on juba usaldusväärselt tuvastatud.
  • Tasu nõudmine esimese koopia eest, mis peab olema tasuta.

Tööriist nagu Legiscope aitab registreerida taotlused, jälgida ühe kuu tähtaega ja dokumenteerida vastused, nii et ükski taotlus ei jää tähtaega ületamata.

Tutvumisõigus kui kõige sagedasem kaebuse allikas

Õigus tutvuda andmetega on praktikas kõige sagedamini teostatav andmesubjekti õigus ja üks tavalisemaid AKI-le esitatavate kaebuste põhjusi. Kaebused tekivad tüüpiliselt kolmel põhjusel: vastutav töötleja ei vasta ühe kuu jooksul, vastab puudulikult (jätab osa andmeid väljastamata) või keeldub põhjendamatult. Kõiki kolme saab vältida selge sisemise protsessiga.

Erilist tähelepanu väärib tööalane kontekst. Töötaja õigus tutvuda oma isikuandmetega hõlmab ka tööandja hoitavaid andmeid – personalitoimikut, hindamisi, kirjavahetust, mis teda puudutab. Tööandjad kalduvad neid taotlusi alahindama või käsitlema neid tööõigusliku vaidluse osana, kuid GDPR-i kohaselt tuleb neile vastata samadel alustel nagu igale teisele tutvumistaotlusele. Erandiks on olukorrad, kus andmete väljastamine kahjustaks teiste isikute õigusi (näiteks kolleegide andmed) või ärisaladust – sel juhul tuleb kolmandate isikute andmed eemaldada, kuid taotlust ei tohi tervikuna rahuldamata jätta.

Teine praktiline nüanss on korduvad ja ülemäärased taotlused. Kui andmesubjekt esitab lühikese aja jooksul mitu identset taotlust, võib vastutav töötleja nõuda mõistlikku tasu või keelduda, kuid ta peab tõendama taotluse ilmselget põhjendamatust või ülemäärasust (art. 12 lg 5). Tõendamiskoormus lasub alati vastutaval töötlejal, mistõttu keeldumisega tuleb olla ettevaatlik. Kahtluse korral on ohutum taotlus rahuldada kui riskida kaebusega AKI-le. Kui taotlust ei täideta täies mahus, tuleb andmesubjekti teavitada põhjustest ja tema õigusest pöörduda järelevalveasutuse poole või kohtusse.

Isiku tuvastamine ja vastuse vorm

Kaks praktilist küsimust tekitavad tutvumistaotluste käsitlemisel kõige rohkem segadust: kuidas tuvastada taotleja isik ja millises vormis vastata.

Isiku tuvastamine. Vastutav töötleja peab veenduma, et taotluse esitas tõepoolest andmesubjekt ise, mitte kolmas isik, kes soovib võõraid andmeid. Kui isiku suhtes on põhjendatud kahtlus, võib küsida lisateavet tuvastamiseks (art. 12 lg 6). Oluline on, et tuvastamine oleks proportsionaalne: kui taotleja on juba usaldusväärselt tuvastatud (näiteks kirjutab oma registreeritud e-posti aadressilt), ei tohi nõuda liigseid dokumente. Ülemäärane isikutuvastus on levinud viga, mida kasutatakse taotlusele vastamise põhjendamatuks venitamiseks – see ei peata ühe kuu tähtaega.

Vastuse vorm. Kui taotlus esitati elektrooniliselt, esitatakse ka teave üldkasutatavas elektroonilises vormis, kui andmesubjekt ei ole soovinud teisiti (art. 15 lg 3). Vastus peab olema esitatud kokkuvõtlikult, läbipaistvalt ja arusaadavas keeles. Kui andmesubjekt taotleb, tuleb väljastada töödeldavate andmete koopia; see ei tähenda tervete süsteemi väljavõtete edastamist, vaid asjaomase isiku isikuandmete arusaadavat esitust.

Kui vastutav töötleja töötleb andmesubjekti kohta suurt hulka teavet, võib ta paluda andmesubjektil täpsustada, millise teabe või töötlemistoiminguga taotlus seondub (põhjendus 63). See ei tohi siiski viia õiguse sisulise piiramiseni – täpsustuse palumine on abistav, mitte takistav samm.

Korduma kippuvad küsimused

Kas tutvumistaotlusele vastates tuleb väljastada ka andmete allikas?

Jah, kui andmeid ei kogutud andmesubjektilt endalt. Artikli 15 lõike 1 punkt g kohaselt on andmesubjektil õigus saada kogu olemasolev teave andmete päritolu kohta. Näiteks kui andmed saadi avalikust registrist või andmemaaklerilt, tuleb see allikas avaldada. Kui täpne allikas ei ole teada, tuleb esitada kättesaadav teave allika kategooria kohta.

Kas taotlusele võib vastata suuliselt?

Kui andmesubjekt esitas taotluse suuliselt, võib põhimõtteliselt vastata ka suuliselt, kuid see on riskantne, sest vastutav töötleja peab suutma tõendada, et ta täitis oma kohustuse. Praktikas on soovitatav vastata kirjalikult või elektrooniliselt ja väljastada andmete koopia dokumenteeritaval kujul, et vajaduse korral tõendada vastamise tähtaega ja sisu.

Kui kiiresti tuleb taotlusele vastata?

Põhjendamatu viivituseta ja igal juhul ühe kuu jooksul taotluse saamisest. Keerukate või arvukate taotluste korral võib tähtaega pikendada veel kahe kuu võrra, kuid andmesubjekti tuleb pikendamisest ja selle põhjusest teavitada esimese kuu jooksul.

Kas taotlusele vastamise eest võib küsida tasu?

Esimene koopia on tasuta. Täiendavate koopiate eest võib nõuda mõistlikku halduskuludel põhinevat tasu. Ilmselgelt põhjendamatute või ülemääraste, eelkõige korduvate taotluste korral võib nõuda tasu või keelduda, kuid põhjendamatuse tõendamise koormus lasub vastutaval töötlejal.

Kas taotlus peab olema kirjalik?

Ei. Vorminõuet ei ole – taotlus võib olla suuline, e-kirja teel või vabas vormis. Vastutav töötleja peab siiski suutma taotlust ja sellele vastamist hiljem tõendada, mistõttu on soovitatav taotlused registreerida.

Kokkuvõte

Õigus tutvuda andmetega annab andmesubjektile õiguse saada kinnitust töötlemise kohta, tutvuda oma andmetega ja saada nende koopia. Vastata tuleb põhjendamatu viivituseta ja ühe kuu jooksul, esimene koopia tasuta. Ehitage vastamiseks selge protsess: registreerige taotlus, tuvastage isik, otsige andmed töötlemise registri alusel kõigist süsteemidest, arvestage teiste isikute õigusi ja väljastage koopia selges keeles. Õigus tutvuda andmetega on sageli lähtepunkt kustutamise, ülekandmise ja piiramise õigustele, mistõttu tasub kõik andmesubjektide õigused käsitleda ühtses menetluses – see vähendab ka AKI-le esitatavate kaebuste riski.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →