Isikuandmetega seotud rikkumisest tuleb isikuandmete kaitse üldmääruse (GDPR) artikli 33 kohaselt teavitada Andmekaitse Inspektsiooni (AKI) põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast rikkumisest teadasaamist, välja arvatud juhul, kui rikkumine tõenäoliselt ei põhjusta ohtu füüsiliste isikute õigustele ja vabadustele. Kui rikkumine põhjustab tõenäoliselt suurt ohtu, tuleb artikli 34 järgi teavitada ka andmesubjekte ennast. 72 tunni tähtaeg algab hetkest, mil vastutav töötleja saab rikkumisest teada – mitte hetkest, mil rikkumine aset leidis. See juhend selgitab, mis on isikuandmetega seotud rikkumine, millal ja kuidas teavitada ning millist teavet teatis peab sisaldama.
Mis on isikuandmetega seotud rikkumine?
Rikkumine on turvanõuete rikkumine, mis põhjustab isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu. Rikkumisi on kolme liiki:
- Konfidentsiaalsuse rikkumine – andmed avaldatakse või neile pääsetakse loata (näiteks vale adressaat, häkkimine, varastatud sülearvuti).
- Terviklikkuse rikkumine – andmeid muudetakse loata.
- Käideldavuse rikkumine – andmed lähevad kaotsi või muutuvad kättesaamatuks (näiteks lunavara, kustutatud varukoopiad).
Iga intsident ei ole automaatselt teavitatav – kuid iga intsident tuleb hinnata ja dokumenteerida. Just seetõttu on vaja rikkumiste käsitlemise korda ja sisemist rikkumiste registrit.
Millal teavitada AKI-d?
Teavitada tuleb, välja arvatud kui rikkumine tõenäoliselt ei põhjusta ohtu andmesubjektide õigustele ja vabadustele. Praktikas tähendab see, et enamik rikkumisi tuleb hinnata ja paljud teavitada. Riskihindamisel arvestage:
- andmete liiki – eriliigilised andmed, isikukood, finantsandmed suurendavad riski;
- andmesubjektide arvu ja haavatavust – lapsed, patsiendid, töötajad;
- tagajärgede raskust – identiteedivargus, pettus, mainekahju, diskrimineerimine;
- maandavaid meetmeid – kas andmed olid krüpteeritud või pseudonümiseeritud.
72 tunni tähtaeg algab rikkumisest teadasaamisest. Kui teavitamine hilineb üle 72 tunni, tuleb teatisele lisada viivituse põhjendus (art. 33 lg 1). Osalist teavitamist saab teha etapiviisi, kui kogu teave ei ole korraga kättesaadav (art. 33 lg 4).
Mida teatis peab sisaldama (art. 33 lg 3)?
AKI-le esitatav teatis peab kirjeldama vähemalt:
- rikkumise laadi, sealhulgas võimaluse korral asjaomaste andmesubjektide ja kirjete kategooriaid ning ligikaudset arvu;
- andmekaitsespetsialisti või muu kontaktpunkti nime ja kontaktandmeid;
- rikkumise tõenäolisi tagajärgi;
- võetud või kavandatud meetmeid rikkumise käsitlemiseks ja tagajärgede leevendamiseks.
Teatise saab esitada AKI veebilehe kaudu. Volitatud töötleja peab teavitama vastutavat töötlejat põhjendamatu viivituseta pärast rikkumisest teadasaamist (art. 33 lg 2), et vastutav töötleja jõuaks 72 tunni jooksul AKI-d teavitada – seepärast tuleb teavitamise tähtaeg fikseerida volitatud töötleja lepingus.
Millal teavitada andmesubjekte (art. 34)?
Kui rikkumine põhjustab tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele, tuleb neid teavitada põhjendamatu viivituseta ja selges keeles. Andmesubjektide teavitamine ei ole nõutav, kui:
- andmed olid krüpteeritud või muul viisil arusaamatuks tehtud;
- vastutav töötleja on võtnud järgnevaid meetmeid, mis tagavad, et suur oht enam ei realiseeru;
- teavitamine nõuaks ebaproportsionaalset jõupingutust – sel juhul piisab avalikust teadaandest.
Levinud vead
- 72 tunni tähtaja valesti arvestamine. Tähtaeg algab teadasaamisest, mitte rikkumise hetkest ega uurimise lõpust.
- Rikkumiste registri puudumine. Artikli 33 lõige 5 nõuab kõigi rikkumiste dokumenteerimist, ka nende, millest ei teavitatud.
- Andmesubjektide teavitamise vahelejätmine suure ohu korral, lootuses vältida mainekahju.
- Volitatud töötleja teavitamiskohustuse fikseerimata jätmine lepingus, mis muudab 72 tunni tähtaja täitmise võimatuks.
- Riskihindamise dokumenteerimata jätmine, kui otsustati mitte teavitada.
Platvorm nagu Legiscope juhib rikkumise hindamise läbi struktureeritud protsessi, arvestab 72 tunni tähtaega ja peab automaatselt rikkumiste registrit.
Eesti järelevalvepraktika ja trahvid
Rikkumisest teavitamise kohustuse mõistmiseks on oluline teada Eesti järelevalve konteksti, mis erineb mitmest teisest liikmesriigist. Ajalooliselt on AKI eelistanud turgu harivat lähenemist ja andnud rikkumiste korral pigem ettekirjutusi kui trahve. Kuni 2024. aasta lõpuni jõustati GDPR-i rahalisi karistusi Eestis väärteomenetluse kaudu, mis muutis suurte trahvide määramise praktiliselt keeruliseks ja aeganõudvaks. Selle tagajärjel jäid Eesti trahvid Euroopa mõistes väga madalaks – nn uudishimupäringute eest, kus ametnik vaatas isikuandmeid ilma õigusliku aluseta, on määratud vaid mõnekümne euro suuruseid väärteotrahve. 2019. aastal, kui Tartu rattaringluse liidesest lekkis üle 20 000 kasutaja andmed, piirdus AKI hoiatusega, mitte rahalise karistusega.
See olukord muutus 1. novembril 2024, mil jõustus GDPR-iga kooskõlas olev haldustrahvi süsteem. Karistusseadustikku muudeti nii, et andmekaitse rikkumiste eest saab nüüd määrata haldustrahve kuni 20 miljonit eurot või 4% ülemaailmsest aastakäibest, mis asendas varasema kuni 400 000 euro suuruse ülempiiri juriidilistele isikutele. Ühtlasi pikendati rikkumiste aegumistähtaega ning võimaldati vastutust ka siis, kui konkreetset toimepanijat ei ole võimalik tuvastada, näiteks puuduliku sisekontrolli tõttu. Uut trahvirežiimi kohaldatakse rikkumistele, mis on toime pandud pärast 1. novembrit 2024. Täiendavad muudatused isikuandmete kaitse seaduses jõustusid 2026. aasta märtsis.
Praktiline järeldus: rikkumisest teavitamise korra ja tähtaegade pidamine on Eestis muutunud senisest tunduvalt olulisemaks. Kuigi AKI ei ole endiselt agressiivne trahvija, on suurte karistuste õiguslik alus nüüd olemas ning teavitamiskohustuse süstemaatiline eiramine on reaalne risk. Isikuandmete kaitse seaduse täisteksti leiate Riigi Teatajast.
Riskihindamine: millal on oht ja millal suur oht
Rikkumisest teavitamise loogika põhineb kahel eri lävel. AKI teavitamine on nõutav, kui rikkumine tõenäoliselt põhjustab ohtu andmesubjektide õigustele. Andmesubjektide teavitamine on nõutav üksnes siis, kui rikkumine tõenäoliselt põhjustab suurt ohtu. Erinevuse hindamine on iga rikkumise käsitlemise keskne samm ja see tuleb dokumenteerida.
Ohu suurust hinnatakse mitme teguri koosmõjus. Andmete liik on määrav: eriliigilised andmed (tervis, biomeetria), isikukood, finantsandmed ja sisselogimisandmed suurendavad ohtu oluliselt, samas kui üksik e-posti aadress üksinda tavaliselt mitte. Rikkumise laad – kas andmed lekkisid avalikkusele, langesid kuritahtliku isiku kätte või läksid üksnes kättesaamatuks – mõjutab tagajärgede raskust. Andmesubjektide haavatavus (lapsed, patsiendid, töötajad) ja arv suurendavad ohtu. Maandavad meetmed vähendavad seda: kui lekkinud andmed olid tugevalt krüpteeritud ja võti jäi turvaliseks, võib oht olla väike ka suure andmemahu korral.
Praktiline soovitus on kasutada ühtset riskihindamise mudelit, mis annab igale rikkumisele riskitaseme (madal, keskmine, suur) ja seob selle teavitamisotsusega. See mudel tuleb kirja panna rikkumiste käsitlemise korras, et hindamine oleks järjekindel ja tõendatav. Euroopa Andmekaitsenõukogu on avaldanud rikkumiste käsitlemise näidete kogumiku, mis aitab tüüpolukordi klassifitseerida; neid tasub kasutada oma hindamismudeli kalibreerimiseks.
Korduma kippuvad küsimused
Kuidas hinnata, kas rikkumine põhjustab suurt ohtu?
Suurt ohtu hinnatakse andmete tundlikkuse, rikkumise laadi, andmesubjektide arvu ja haavatavuse ning tagajärgede tõenäolise raskuse koosmõjus. Näiteks terviseandmete või finantsandmete leke suurele hulgale inimestele põhjustab tõenäoliselt suurt ohtu ja nõuab ka andmesubjektide teavitamist; krüpteeritud seadme kadu, mille võti jäi turvaliseks, tõenäoliselt mitte. Hinnang tuleb alati dokumenteerida.
Kas rikkumine tuleb registreerida ka siis, kui seda ei teavitatud?
Jah. Artikli 33 lõige 5 nõuab, et vastutav töötleja dokumenteeriks kõik isikuandmetega seotud rikkumised – nende asjaolud, mõju ja võetud meetmed – sõltumata sellest, kas AKI-d teavitati. Otsus mitte teavitada tuleb registrisse kanda koos riskihindamise põhjendusega, sest AKI võib järelevalves kontrollida, kas teavitamata jätmine oli õigustatud.
Kas iga rikkumine tuleb AKI-le teatada?
Ei. Teatada tuleb, kui rikkumine tõenäoliselt põhjustab ohtu andmesubjektide õigustele. Kui oht on ebatõenäoline (näiteks kadus krüpteeritud seade), ei pea teavitama, kuid rikkumine tuleb siiski sisemises registris dokumenteerida koos hindamise põhjendusega.
Mis juhtub, kui 72 tunni tähtaeg möödub?
Teavitamist ei tohi lõpetada – hiline teatis on parem kui teatamata jätmine. Teatisele tuleb lisada viivituse põhjendus. Teavitamiskohustuse rikkumise eest võib määrata haldustrahvi kuni 10 miljonit eurot või 2% aastakäibest (art. 83 lg 4); alates 1. novembrist 2024 kohaldab Eesti seda GDPR-i trahvirežiimi.
Kes teavitab, kui rikkumine toimus teenusepakkuja juures?
Volitatud töötleja teavitab vastutavat töötlejat, kes omakorda teavitab AKI-d. AKI-d ja andmesubjekte teavitab alati vastutav töötleja, mitte teenusepakkuja. Seepärast peab leping sätestama volitatud töötleja kiire teavitamise tähtaja.
Kokkuvõte
Isikuandmetega seotud rikkumisest tuleb AKI-d teavitada põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul teadasaamisest, kui rikkumine tõenäoliselt ohustab andmesubjektide õigusi. Suure ohu korral tuleb teavitada ka andmesubjekte. Tähtaja pidamiseks on vaja eelnevalt paika pandud rikkumiste käsitlemise korda, rollide jaotust ja volitatud töötlejate teavitamiskohustuse fikseerimist lepingus. Dokumenteerige iga rikkumine ja iga riskihinnang – ka siis, kui otsustate mitte teavitada, sest artikli 33 lõige 5 nõuab kõigi rikkumiste registrit. Uus Eesti haldustrahvirežiim muudab tähtaegade pidamise senisest olulisemaks.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial