GDPRi trollid said Euroopa Kohtus päitsed pähe: Rainer Ratniku arvamus ilmus Äripäevas

6 gegužės, 2026 Naujienos

WIDENi tegevjuhi ja vandeadvokaadi Rainer Ratniku arvamusartikkel „Advokaat: GDPRi trollid said päitsed pähe“ ilmus Äripäevas 22. aprillil 2026. Artiklis selgitab Rainer Euroopa Kohtu hiljutist lahendit asjas Brillen Rottler v. TC, mis puudutab ettevõtete õigust keelduda ilmselgelt pahatahtlikest või kuritarvitavatest isikuandmetega tutvumise taotlustest.

Artikli keskne mõte on lihtne: GDPR annab inimestele olulised õigused oma andmete üle kontrolli omamiseks, kuid see ei tähenda õigust ettevõtteid kiusata, survestada või halduskoormusega üle ujutada.

GDPR ei ole tööriist väljapressimiseks ega kiusu ajamiseks

GDPR ehk isikuandmete kaitse üldmäärus annab inimestele õiguse küsida ettevõtetelt, milliseid andmeid nende kohta töödeldakse, kust need andmed pärinevad, millisel õiguslikul alusel neid kasutatakse ja kellele neid edastatakse. See on oluline õigus, sest läbipaistev andmetöötlus on digitaalses ühiskonnas usalduse üks alustalasid.

Praktikas on aga olukordi, kus andmetega tutvumise taotlust ei esitata sisulise privaatsushuvi kaitseks, vaid hoopis pahatahtliku survevahendina. Näiteks võib endine töötaja kasutada väga laia andmepäringut töösuhte lõppemise järel ettevõtte koormamiseks või rahulolematu klient saata e-poele detailse „GDPR letter from hell“ stiilis päringu pärast seda, kui tavapärane tarbijavaidlus ei ole tema jaoks soovitud tulemust andnud.

Rainer Ratnik rõhutab Äripäevas, et probleem ei ole inimese õiguses oma andmeid küsida. Probleem tekib siis, kui õiguse kasutamisest saab n-ö õiguslik kalastamine, kiusamine või sisutu vastandumine.

Euroopa Kohus täpsustas: pahatahtlikule päringule ei pea alati järele andma

Euroopa Kohtu lahendis Brillen Rottler v. TC oli küsimus selles, kas ettevõte võib keelduda isikuandmetega tutvumise taotlusele vastamisest, kui taotlus on esitatud kuritarvitaval eesmärgil.

Kohtu juhised on ettevõtete jaoks olulised. Kui taotluse tegelik eesmärk on tekitada ettevõttele kulu, survestada seda kokkuleppeks või kui taotlusel puudub sisuline seos andmekaitse eesmärkidega, võib taotlust käsitada kuritarvitavana.

See ei tähenda, et ettevõtted võiksid hakata andmepäringuid kergekäeliselt ignoreerima. Vastupidi: tavapärastele andmesubjekti päringutele tuleb jätkuvalt vastata ning inimese õigus oma andmetega tutvuda jääb GDPRi keskseks põhimõtteks.

Küll aga annab Euroopa Kohtu lahend ettevõtetele olulise signaali: GDPR ei ole mõeldud pahatahtliku surve, väikese väljapressimise või administratiivse kättemaksu tööriistaks.

Ettevõtte jaoks tähendab see paremat kaitset, aga ka tõendamiskoormust

Rainer Ratnik toob artiklis esile praktilise riski: pahatahtlikkust ei saa lihtsalt eeldada. Kui ettevõte otsustab andmepäringule kuritarvituse tõttu mitte vastata, peab ettevõte suutma seda seisukohta ka põhjendada ja tõendada.

Seega on õige lähenemine tasakaalukas. Ettevõtted peaksid:

1. hindama iga andmepäringut eraldi;
2. dokumenteerima, miks päring võib olla ilmselgelt kuritarvitav;
3. vältima automaatset või kaalutlematut keeldumist;
4. vajadusel küsima enne keeldumist õiguslikku hinnangut.

Euroopa Kohtu lahend ei vabasta ettevõtteid GDPRi täitmisest. Küll aga annab see äärmuslikes olukordades võimaluse kaitsta ettevõtet juhtudel, kus andmekaitseõigust kasutatakse mitte privaatsuse kaitseks, vaid ettevõtte koormamiseks või survestamiseks.

Miks see ettevõtetele oluline on?

Andmekaitse ei ole enam ammu ainult formaalne vastavusküsimus. See puudutab kliendisuhteid, töötajasuhteid, e-kaubandust, turundust, tervishoidu, tehnoloogiaettevõtteid, platvormimajandust ja järjest enam ka tehisaru kasutamist.

Ettevõtte vaates on oluline mõista kahte asja korraga: inimesel peab olema tegelik kontroll oma andmete üle, kuid ettevõte ei pea olema abitu olukorras, kus GDPRi õigusi kasutatakse pahatahtlikult ettevõtte vastu.