„Me küll alati ei mõtle sellele, aga isikuandmete töötlemine toimub pidevalt ja igaüks meist võib olla mingil hetkel ka ise andmete töötleja rollis. Näiteks ei tulda selle peale, et ka füüsiline isik võib saada andmetöötlejaks, kui ta väljaspool oma isiklikke eesmärke kellegi isikuandmeid töötleb ja siis kohalduvad talle samamoodi isikuandmete kaitse üldmääruse nõuded,“ toob välja advokaadibüroo KPMG Law jurist Kadri Levand. Näiteks kui kogutud isiklikele kontaktidele saata oma uue ettevõtte reklaampakkumisi, siis ei saa enam öelda, et tegemist on oma eraelus andmete töötlemisega.
Tihtilugu kuulen lauseid, et andmekaitse on keeruline ja seadusega on kõik keelatud. Tegelikult on vastupidi, seadus annab erinevad load andmeid töödelda, aga sunnib ka oma andmetöötluse selgelt ja loogiliselt läbi mõtlema ning lahti kirjeldama. Õigete õiguslike aluste ja muude tingimuste valik võib aga tõesti olla keeruline. Seetõttu oleks hea see ühiselt koos andmekaitseeksperdiga läbi mõelda. Läbimõeldud andmekaitseprotsess võib lihtsustada ja teha loogilisemaks ka muid äriprotsesse. Paratamatult võib selline andmekaitsealane hindamine tuua kaasa üleüldisi muudatusi. Samas on see suurepärane võimalus analüüsida ettevõtte vastavust andmekaitse reeglistikule ning andmekaitseeksperdi kaasamisel saada asjakohaseid soovitusi protsessi parendamiseks. Soovituslik on pikemalt tegutsenud ettevõtetel teatud aja tagant kõik sellised küsimused uuesti läbi käia, rääkimata alustavatest ettevõtjatest, kellel see ongi hädavajalik, et läbi mõelda, miks ja kuidas nad midagi teevad. Ettevõtet luues ei teata sageli kõiki vajalikke isikuandmete töötlemise eesmärke ja tähtaegu, mille tarbeks isikuandmeid säilitama peaks. Samuti võivad andmekaitse seadused aja jooksul muutuda ja ettevõtte tegevuse regulaarne üle vaatamine ning analüüs peaks olema ettevõtja tavapärane rutiin.
Isikuandmete töötlemiseks on vaja õiguslikku alust
Igasuguseks isikuandmete töötlemiseks on seega vaja leida nö luba ehk selleks peab olema õiguslik alus. Peamised alused tulevad andmekaitse üldmääruse artiklist 6 ja muud lisaalused teistest seadustest. Üks levinumaid aluseid on lepingu täitmine, kuna paljud kliendisuhted ja seejuures ka töösuhe on oma olemuselt lepingud ja toimub selle täitmine. Ärisuhetes on möödapääsmatu õiguslik alus ka õigustatud huvi. Näiteks kasutatakse õigustatud huvi turvakaamerate kasutamisel ja seetõttu peab olema selleks vajalik analüüs tehtud kõikide avalikes kohtades kasutatavate turvakaamerate puhul, seda nii suurel laohoonel kui ka korteriühistul jt.
Õiguslikest alustest kõige nõrgem alus on nõusolek ja selle najal ei peaks üksi äri püsima, ent seda kasutatakse ikkagi üsna tihti. Lisaks sellele, et nõusolekut saab iga kell tagasi võtta, ei tohi unustada, et isegi kui nõusolek on olemas, peab andmetöötlejal ka sellisel juhul olema tegelik andmetöötlemine vajalik ja põhjendatud. Seetõttu ei saa sellisel õiguslikul alusel teha andmekorjet ega niisama enda huvides andmeid kokku koguda ja teha nendega, mis pähe tuleb. Üks peamine eksitav tegevus on ettevõtte andmekaitsetingimustes (privaatsuseeskirjas) teha kohustuslikuks isikule märkida linnuke, et ta on andmekaitsetingimustega nõus. Tegelikkuses ei sõltu isiku soovist siin midagi, vaid isikut on lihtsalt vaja teavitada, kuidas ettevõte tema isikuandmeid töötleb. Seega sellise nõusoleku võtmine võib lisaks tüütule „linnutamise“ kohustusele luua eksitava mulje nagu isik saaks midagi otsustada.
Samuti võetakse vahel nõusolek igaks juhuks lisaks, kuigi on juba olemas muu seaduslik alus. Näiteks kui andmetöötleja õiguslik alus on lepingu täitmine ja selle tagamine (IKÜM art 6 lg 1 p b), siis võetakse lisaks nõusolek, et kliendi andmeid võib töödelda. Tegelikkuses on lihtsalt oluline kliendi tahteavaldus astuda lepingulisse suhtesse ja isiku soov toob kaasa paratamatu isikuandmete töötlemise, sest muul juhul ei saagi lepingut täita. Meeles peab pidama muidugi seda, et töödeldakse andmeid vaid selles mahus, mis on selle konkreetse lepingu täitmiseks möödapääsmatu. See tähendab, et nt ei saa lisada klauslit, et kogutakse ka nt kliendireitinguid, sest lepingut saab täita ka ilma nende andmete kogumiseta.
Tegelikkuses tekib isikuandmete osas tihtilugu mitu eesmärki ja õiguslikku alust. Näiteks mainitud kliendireitingu kogumise aluseks peaks olema eraldi õigustatud huvi alus, mis omakorda toob kaasa eelneva kohustuse analüüsida ja põhjendada, millised andmetöötleja ärilised huvid isikute privaatsuse üle kaaluvad. Andmetöötleja saab kõige paremini enda jaoks kõik kaardistada oma andmetöötlusregistris. Selline register on töötleja enda töövahend, mis peab igal juhul olemas olema. See andmetöötleja tervikpilt ettevõttes toimuvatest andmetöötlustoimingutest on oma loomult pidevalt uuenev dokument.
Nõusoleku aluse kasutamine on teatud suhete mudelis suisa välistatud
Näiteks puudutab see ebavõrdses vahekorras olevaid suhteid nagu tööandja vs töötaja ja kool vs õpilane. Seda seetõttu, et nõusoleku üks põhitingimus on väga selge vabatahtlikkus, aga sellistes alluvussuhetes, kus üks pool on nõrgemas positsioonis, ei saa me rääkida päriselt vabast tahtest. Seepärast ei saa tööandja korjata töötajate nõusolekuid, et neid töö ajal kaameratega jälgida ja öelda, et nad ise olid nõus. Ka ei olnud koroonaajal covidi tõendite korjamine koolis käimiseks õiguspärane.
Nõusoleku alusel saaks töösuhtes jagada töötajate lastele jõulupakke ehk vabal tahtel anda pakke neile, kes annavad teada, et neil on vastavas vanuses lapsed. Nõusoleku alusel avaldatakse fotosid töötajate lõbusast jõulupeost, kui asutus tahab väljapoole näidata kui tore ja kokkuhoidev on nende tööpere. Eristama peaks aga sellist fotode avalikustamist, kus asutus kasutab oma esindustöötaja pilti ärisuhete edendamiseks. Teatud ametikohad toovad kaasa selle, et töötaja peab olema valmis enda näo ja pildiga esinemiseks. Siis tasub see juba välja tuua töösuhte kokkuleppes, et hiljem ei peaks mõtlema, mis alusel pilte avaldada. Kui tahetakse oma töötajatest teha reklaami eesmärgil fotosid, siis tasub nendega (nagu iga teise modelliga) sõlmida leping, et ei tekiks olukorda, kus pärast töösuhte lõppemist ei saa enam reklaame kasutada.
Õigustatud huvide analüüsi koostamine ongi suur töö
Õigustatud huvide analüüsi koostamine paneb andmetöötleja kõike läbi mõtlema ja põhjendama. Seejuures üle vaatama varasemaid tegevusi ning analüüsima, miks isikuandmete töötlemine on vältimatu järgmine samm. Määrus ei anna ühtegi selget vastust, kas andmeid tohib või ei tohi töödelda, vaid kriteeriumid, mis tuleb läbi mõelda ja seejärel ise vastuseni jõuda. Seega on andmekaitse tõepoolest üks palju mõtlema ja hindama sundiv valdkond. Aga samas nii vajalik igapäevaelu osa, sest me kõik tahame, et meie õigusi austatakse ja meie soovidega arvestatakse. Andmekaitse sõna taga on peidus tegelikult sellised olulised väärtused nagu usaldus ja maine. Seega jõuame selleni, et just kauakestvad ja edukad ettevõtjad mõtlevad ka sellistele väärtustele ja nende kliendid on neile seetõttu lojaalsed. Ühiste väärtustega saame aga luua jätkusuutliku majanduse ja meie kõigi heaolu.
Vanemjurist, Soome-Eesti andmekaitse valdkonna töögrupi liige
Isikusamasuse tuvastamine näo järgi on tõenäoliselt üks vanemaid isiku tuvastamise viise. Selle ja..
Advokaadibüroo KPMG Law on maineka õigusalase väljaande The Legal 500 värskes edetabelis taas kõrg..
Värske Riigikohtu praktika on raieõiguse võõrandamise lepingute puhul leidnud järgmist: 20% suurun..
Advokaadibüroo KPMG Law juhtivpartneri Karin Orase sõnul on pikaleveninud kriis jõudnud ka puidutö..
Oleme pühendunud kõrgetasemelise strateegilise nõustamisteenuse osutamisele kogu Baltikumis, Skandinaavias ja maailmas.