Andmekaitsemääruse tegevuste TOP 10: 3. SEADUSLIK ALUS

Triniti

Määruse kohaselt on isikuandmete töötlemine seaduslik, kas andmesubjekti nõusolekul või mõnel teisel määruse artiklis 6 sätestatud ühel kuuest alusest. Iga töötlemise aluse lubatavuse kontrolliks on vajalik teha tööd tagamaks võime tõendada enda andmekasutuse kooskõla üldmäärusega.

Seaduslikud alused

Isikuandmete töötlemise lubatavus seadusliku aluse olemasolul jääb üldpildis samaks varem kehtinuga ehk igal töötlusel peab olema seaduslik alus ning valida on 6 erineva aluse vahel:

Nimetatud alused on alternatiivsed, seega nõusolekut ei ole vaja töötlemiseks näiteks lepingu täitmiseks või töötleja juriidiliste kohustuste täitmiseks. Allolevalt peatume pikemalt kahel seaduslikul alusel, mis enim küsimusi tekitavad: nõusolek ning õigustatud huvi.

Nõusolek – peab olema selge ja vabatahtlik

Nõusoleku küsimise näol ei ole tegemist uue kohustusega, kuna valdav osa isikuandmete töötlemistest leiab ka praegu aset andmesubjekti nõusolekul. Küll aga on määruses nõusolekut käsitlevaid nõudeid karmistatud.

Määruse kohaselt kehtib nõusolek isikuandmete töötlemiseks ainult juhul kui selleks on antud selge avaldus, kinnitus (olgu siis suuliselt, elektrooniliselt või kirjalikult) või nõusolekut väljendav tegevus. Nõusolek ei saa tuleneda isiku vaikimisest või tegevusetusest. Seega on määruse mõtte kohaselt nõusolek antud nt veebisaidil kastis linnukese või risti tegemisega, kuid vabatahtliku nõusolekuga ei ole tegemist, kui linnuke või rist kastis on juba eelnevalt olemas (ja isik peaks keeldumiseks selle ise eemaldama).

Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.

Nõusoleku andmist loetakse vabatahtlikuks üksnes ulatuses, milles see on eesmärgipäraselt (nt lepingu täitmiseks) vajalik ning nõusolek ei tohiks olla teenuse osutamise eeltingimuseks, kui see ei ole iseenesest lepingu täitmiseks vajalik. Näiteks ei ole eelduslikult vabatahtlikuks nõusolekuks ka selline nõusolek, kus ei ole võimalik anda erinevate töötlemise toimingutele eraldi nõusolekut ega nõusolek, mis on antud selgelt ebavõrdses olukorras (eelkõige nt töösuhe).

Isikuandmete töötlemiseks nõusoleku küsimine peab määruse kohaselt olema lihtne ja arusaadav. Samuti, andmesubjekt peaks olema teadlik, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Määruse kohaselt peab nõusolek hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Teisisõnu, kui isikuandmete töötlemisel on mitu eesmärki või kasutusviisi, tuleks nõusolek anda iga eesmärgi ja viisi kohta.

Alaealiste isikuandmete töötlemisel on erisused. Määrusega rõhutatakse, et laste isikuandmed väärivad erilist kaitset, mistõttu on infoühiskonna teenuste pakkumisega seoses lapse isikuandmete töötlemine seaduslik ainult juhul, kui laps on vähemalt 16-aastane (Eesti on kasutanud liikmesriikidele määrusega antud voli vanusemäära vähendada kuni 13 aastani) või nooremate laste korral juhul ja sellises ulatuses, milleks on nõusoleku või loa andnud lapse vanem või eestkostja. Teenuse pakkuja peab mõistlikult kontrollima, et nõusolek on antud lapse vanema või eeskostja poolt.

Seega, kui isikuandmete töötlemine toimub nõusoleku alusel, peab vastutav töötleja suutma tõendada, et andmesubjekt on andnud toiminguks määruse nõuetele vastava väga selge ja konkreetse nõusoleku. Sealjuures uutele tingimustele peab vastama ka nõusolek, mis on kogutud enne määruse kohalduma hakkamist, mistõttu tuleb ka enne määruse jõustumist küsitud nõusolekud viia määrusega kooskõlla.

Määruse kohaselt on andmesubjektil õigus iga hetk oma nõusolek tagasi võtta, nõuda teda käsitlevate isikuandmete parandamist ja töötlemise lõpetamist aga teatud juhtudel ka kustutamist ehk „õigus olla unustatud“. Samuti on määruse kohaselt andmesubjektil isikuandmete automatiseeritud töötlemise korral õigus saada vastutavalt töötlejalt isiku poolt esitatud ja teda puudutavaid isikuandmeid struktureeritud ja masinloetavas vormis.

Õigustatud huvi peab olema tasakaalus andmesubjekti õiguste ja huvidega

Õigustatud huvi on sobiv alus paljudes olukordades. Olenevalt ettevõtte tegevusest ning ärimudelist võib töötlemine olla seaduslik õigustatud huvi alusel näiteks:

  • usaldusliku kliendisuhte tagamiseks, näiteks tegelike kasusaajate väljaselgitamiseks või pettuste vältimiseks;
  • kliendibaasi haldamieks ja analüüsiks, et parandada teenuste ja toodete kättesaadavust, valikut, kvaliteeti ning et teha kliendile nõusoleku korral parimaid ja personaalsemaid pakkumisi;
  • veebilehtede, mobiilirakenduste ja muude teenuste kasutamisel kogutavad identifikaatorid ja isikuandmed kui andmeid kasutatakse veebianalüüsiks või mobiili- ja infoühiskonnateenuste analüüsiks, töötamise tagamiseks, parendamiseks, statistika tegemiseks ja külastaja käitumise ning kasutuskogemuse analüüsiks ning parema ja personaalsema teenuse osutamiseks;
  • kampaaniate korraldamiseks, s.h personaliseeritud ja suunatud kampaaniate korraldamine, rahulolu uuringute teostamine ning teostatud turundustegevuste efektiivsuse mõõtmine;
  • külastaja käitumise analüüsimiseks veebilehtedel;
  • teeninduse monitooringuks. Näiteks võib olla õigustatud salvestada nii enda asukoha ruumides kui sidevahendite (e-posti, telefoni vm) teel antud teateid ja korraldusi
  • võrgu-, info- ja küberturbe kaalutlustel, näiteks piraatlusega võitlemiseks ning veebilehtede turvalisuse tagamiseks ning tagavarakoopiate tegemiseks ja talletamiseks võetavad meetmed;
  • organisatsioonilistel eesmärkidel. Eelkõige finantsjuhtimiseks ning kontsernisiseselt edastamaks isikuandmeid kontserni piires sisehalduse eesmärkidel;
  • õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Õigustatud huvi kasutamine eeldab hinnangu läbiviimist selleks, et võrrelda kas olulisemad on töötleja huvid või andmesubjekti huvid. Selline hinnang tuleb kindlasti tallel hoida ning vajadusel seda uuendada.

Õigustatud huvi annab määrusese ka ühe olulise lisaaluse töötlemiseks uuel eesmärgil, mis on tänapäevase kiire ja muutuva ärielu aluseks. Nimelt lubab üldmäärus teatud kindlatel tingimustel töödelda andmeid uuel eesmärgil võrreldes sellega, millisel neid algselt koguti. Muu eesmärgi lubatavuseks tuleb otsustada, kas see uus eesmärk on kokkusobiv algse eesmärgiga ning arvesse tuleb võtta, milline oli kogumise kontekst, milliseid andmeid koguti ja millised on võimalikud tagajärjed andmesubjektile. Näiteks võib tuua olukorra, kus ettevõte on võtnud nõusoleku e-kirja teel uudiskirja saatmiseks enda autoremonditeenuste osas teabe edastamiseks, siis lubatud võiks olla ka uudiskirja saatmine uudsel tehnoloogilisel viisil või uue tooteliini avamisel näiteks autopuhastusteenuste kohta teabe edastamiseks.

Kokkuvõttev soovitus ja tegevuskava

Määrusele omaselt – töötleja peab olema võimeline tõendama, et ettevõttes andmete töötlemine on kooskõlas üldmäärusega. Selline tõendamise kohustus ei hõlma ainult andmeid, mida kogutakse alates 2018. aastast vaid kehtib ka kõigi juba aastate jooksul kogutud andmete osas.

Seega tuleb juba täna asuda ettevõtetel analüüsima olemasolevaid isikuandmeid eesmärgiga:

  • määrata isikuandmete töötlemise alused (nõusolek või seadus) ning ulatused iga töötlemistoimingu lõikes (parim viis selleks on töötlemistoimingute registri pidamine);
  • täpsustada võimalused rakendada uusi töötlemisviise; ning
  • luua register, kus sellised andmekategooriad ja töötlemise eesmärgid on talletatud.

Nõusolekust
Guidelines on Consent under Regulation 2016/679 – (inglise keeles) vastu võetud 28.11.2017, kinnitatud 10.04.2018

Õigustatud huvist
Opinion 06/2014 on the “Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC – WP217

Töötlemisest töösuhtes
Opinion 2/2017 on data processing at work – WP249

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga