Isikuandmete kaitse üldmäärus – millal võib isikuandmeid töödelda?

Isikuandmete kaitse üldmääruse puhul räägitakse palju sellest, et ettevõttel peab olema alus isikuandmete töötlemiseks ja töötlemine peab olema seaduslik, kuid vähesed süvenevad sellesse, mis see seaduslik alus andmete töötlemiseks on.

Üldmääruse artiklis 6 on välja toodud, millal on isikuandmete töötlemine seaduslik. Seaduslikkuse alus:

  • Füüsilise isiku nõusolek;
  • Lepingu täitmiseks või lepingu sõlmimisele eelnev isikuandmete töötlemine;
  • Andmete töötleja juriidilise kohustuste täitmine;
  • Vajalik eluliste huvide kaitsmiseks;
  • Avalikes huvides;
  • Õigustatud huvi (see ei kehti avalikule sektorile).

See loetelu on kinnine ehk siis iga ettevõte peab isikuandmete töötlemise aluse leidma just ülaltoodud nimekirjast. Võtame iga õigusliku aluse nüüd põhjalikumalt lahti.

Nõusolek

Nõusolek andmete töötlemiseks ei ole uus alus. See on olemas ka tänases isikuandmete kaitse seaduse §’s 12. Selle kohaselt peab nõusolek olema antud isiku vabal tahtel ning nõusolekus peab olema määratletud:

  • milliseid andmeid tohib töödelda,
  • mis eesmärgil neid töödelda võib,
  • kellele võib antud andmeid edastada ning kui neid edastatakse kellelegi, siis mis tingimustel,
  • mis on isiku õigused seoses oma andmete töötlemisega.

Uues üldmääruses on sätestanud, et nõusolek peab olema vabatahtlik, arusaadaval ja lihtsasti kättesaadaval kujul ja kasutada tuleb selget ja lihtsal keelt. Seega sisuliselt ei muutu nõusoleku üldised põhimõtted. Nii määruse kui ka tänase isikukaitse andmete seaduse alusel vaikimist ei saa lugeda nõusoleku andmiseks. See tähendab ka seda, et kui võtate nõusolekut elektrooniliselt, siis ei tohi olla eelnevalt märgitud lahtrit. Teiste sõnadega isik peab ise tegema linnukese märkides, et ta annab nõusoleku andmete töötlemiseks.

Nõusoleku juures peab olema kirjas, mis eesmärgil andmeid töödeldakse. Soovitatav on nõusoleku vormi juurde lühidalt kirjutada eesmärk (nt märksõnadega) ja lisada viide konkreetsele dokumendile või kohale, kus on põhjalikumalt välja kirjutatud ja selgitatud, mis eesmärgil andmeid töödeldakse. Kindlasti aga soovitame nõusoleku vormile lisada eesmärgi lühikirjeldus.

Üldmääruses on täpsustatud, et kui andmete töötlemisel on mitu eesmärki, siis füüsilisel isikul tuleb nõusolekut anda iga konkreetse eesmärgi osas. Näiteks soovitakse andmeid selleks, et koostada ettevõtte jaoks tarbijate käitumise statistikat ja soovitakse andmeid koguda, et hakata tegema otse pakkumisi. Sellisel juhul peab füüsiline isik tegema 2 linnukest nõusoleku kasti ning tal peab olema võimalus ka mitte ühtegi linnukest teha.

Kokkuvõttes saab öelda, et kuigi nõusoleku andmise üldised põhimõtted on samad on siiski määruses täpsemalt määratletud, kuidas nõusoleku andmine peaks toimuma.

Nõusolek on teatud mõttes kõige selgem isikuandmete töötlemise alus, kuid tuleb meeles pidada füüsilise isiku õigust võtta oma nõusolek igal hetkel tagasi. Teiste sõnadega, kui inimene annab vabatahtlikult nõusoleku, siis sama kergelt on tal õigus põhjuseta see ka tagasi võtta. Seega tuleb analüüsida, kui suurt mõju tekitab olukord, kus isik otsustab üks hetk oma nõusoleku tagasi võtta. Kui see avaldab olulist mõju, siis tuleks kaaluda valida andmete töötlemiseks muu üldmääruses sätestatud alus.

Varem antud nõusolekud on kehtivad kui nad vastavad määruses sätestatud tingimustele. Seega tuleb üle vaadata varasemalt võetud nõusolekud ning vajadusel küsida need uuesti kui tekib kahtlus, et need ei vasta uutele tingimustele.

Andmete töötlemine peale isiku surma

Isikuandmete kaitse üldmäärust ei kohaldata surnud isiku andmetele ja seega ka peale üldmääruse jõustumist tuleb seda regulatsiooni otsida siseriiklikust seadusest. Täna kehtiva isikuandmete kaitse seaduse kohaselt kehtib isiku poolt antud nõusolek 30 aastat pärast tema surma, kui isik ei ole otsustanud teisiti. Teisiti võib otsustada surnud isiku pärija, abikaasa ja muud lähedased sugulased vastavalt seaduses sätestatud loetelule.

Andmekaitse Inspektsioon ei ole käesoleval hetkel avaldanud soovi neid põhimõtteid muuta. Ta soovib pigem täiendada regulatsiooni seoses pärilike haiguste andmetega. Nimelt täna kehtiva seaduse kohaselt saab asutus ilma piiranguteta avaldada pärilike haigustega seotud andmeid  kui isiku surmast on möödas üle 30 aasta. Andmekaitse inspektsioon leiab, et see on liiga lühike aeg ja seda tuleks pikendada ning autor siinkohal nõustub sellega. Selliste andmete avaldamine võib kahjustada tema lähedasi. Seega kui isik on oma elu jooksul teatanud, et ta soovib oma terviseandmete sulgemist ka peale tema surma, siis tuleb seda soovi austada.

Lepingu täitmiseks või lepingu sõlmimisele eelnev isikuandmete töötlemine

Kui Teie töötlete andmeid lepingu täitmise raames, siis ei ole vaja küsida andmesubjektilt nõusolekuta andmete töötlemiseks. Sama põhimõte kehtib, kui kogute andmeid otsustamaks, kas isikuga sõlmida leping. Näiteks on tavapärane, kus enne tehingusse astumist ettevõtted koguvad andmeid potensiaalse kliendi, partneri ja ka töötaja kohta, et otsustada, kas tasub lepingut sõlmida.

Antud juhul andmete kogumisel on vajalik järgida põhimõtet, et koguda võib võimalikult vähe andmeid ja vaid neid, mis on hädavajalikud lepingu täitmiseks. Näiteks kui tegemist on e-poega, kus ostja maksab täies ulatuses ostuhinna enne kauba transporti ja kaup toimetatakse postiautomaati, siis ei ole vajalik müüja jaoks teada ostja elukohta ega ka ostja sugu. Neid andmeid võib muidugi küsida aga siis nende kogumine peab olema isiku nõusoleku alusel ning isikul peab olema võimalus nõusoleku andmisest keelduda. Kui ta keeldub, siis ei saa keelduda talle kauba müügist vaid selle tõttu, et isik ei soovi avaldada andmeid, mida ettevõttel ei ole vaja teada lepingu täitmiseks. 

Andmete töötleja juriidilise kohustuste täitmine

Selle all on mõeldud töötleja kohustused, mis tulenevad seadusest, näiteks rahapesu ja terrorismi rahastamise tõkestamise seadusest tuleb rida kohustusi, mis hõlmavad kohustust töödelda isiku andmeid.

Vajalik eluliste huvide kaitsmiseks või avalike huvide kaitseks

Selle alusel saab andmeid töödelda vaid siis, kui mitte mingil moel ei saa seda teha muul õiguslikul alusel kuid äärmiselt oluline oleks neid töödelda. Isikuandmete kaitse üldmääruses on näidetena välja toodud mõned alused: epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral. Tegemist on näidetega, mille puhul saab öelda, et andmete töötlemise seaduslikuks aluseks on nii eluliste huvide kaitse kui ka avalike huvide kaitse.

Vaid eluliste huvide kaitse aluseks töötleb kindlasti andmeid kiirabi ja haiglad, kui on erakorraline olukord.

Vaid avaliku huvide kaitse alusel töödeldakse isikuandmeid näiteks olukorras, kus kohus ei ole võimeline isikule kohtudokumente edastada ja teeb seda Ametlikud Teadaanded kaudu avalikustatakse isiku andmeid.

Õigustatud huvi

See on Eesti jaoks täiesti uus alus andmete töötlemiseks. Mõnes riigis, näiteks Rootsis, on see andmete töötlemise alusena juba tuntud.

Selle alusel tohib andmeid töödelda, kui see on vajalik eluliste huvide kaitsmiseks või avalikes huvides oleva ülesande täitmiseks või vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral.

Töötlejal võib olla andmete töötlemiseks õigustatud huvi, tingimusel et isiku huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse isiku mõistlikke ootusi, mis põhinevad tema suhtel andmete töötlejaga.

Õigustatud huvi alusel andmete avalikustamine võiks autori arvates olla ka olukord, kus ettevõte avalikustab maksehäireregistris, et füüsilisel isikul on võlgnevus. Võiks väita, et selle eesmärk on hoiatada teisi isikuid. Teise näitena saaks tuua ka ajakirjanduse. Ka siin võiks väita, et avaliku elu tegelase fotosid võib avalikustada ilma tema nõusolekuta kuivõrd avalikkusel on õigustatud huvi saada informatsiooni avaliku elu tegelase tegevuse kohta. Kuid tuleb arvestada, et see ei ole üks-ühele võetav ning ka Euroopa Inimõiguste Kohus on leidnud, et alati sellist õigust ei ole.

Kuivõrd antud andmete töötlemise alus on ka praegu kehtivas isikuandmete kaitse direktiivis (Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta), siis selle kohta on olemas ka mõningane kohtupraktika, milles kohtu poolt väljendatud seisukohti saaks analoogia korras kohaldada ka peale uue üldmääruse jõustumist. Autor toob siinkohal näitena ühe Euroopa Kohtu kaasuse (C-13/16). 

Kaasuse asjaolud: Riias toimus liiklusõnnetus. Nimelt jättis üks taksojuht oma sõiduki teeveerele seisma. Just siis kui troll taksost mööda sõitis, avas takso tagaistmel istuv klient sõiduki ukse, mis trollikeret riivas ning seda kahjustas. Algatati väärteomenetlus ning vormistati väärteootsus. Trolli omav ettevõte soovis esitada kliendi vastu hagi ja nõuda kahju hüvitamist ning pöördus politseiameti poole paludes teavet kliendi kohta, kes liiklusõnnetuse põhjustas. Politseiamet avalikustas vaid kliendi nime. Muid andmeid ei edastatud. Need andmed aga ei olnud piisavad, et saaks esitada kliendi vastu hagi kohtusse. Muid andmeid aga politseiamet ei olnud nõus avalikustama.

Euroopa Kohus leidis, et direktiivis ei ole kehtestatud kohustust avalikustada kolmandale isikule isikuandmeid, mis võimaldavad kolmandal isikul esitada tsiviilkohtusse nõude kahju hüvitamiseks, mille tekitas andmekaitsesubjekt. Teiste sõnadega trolli omaval ettevõttel ei ole õigustatud huvi nende andmete saamiseks. Samas aga kohus oli lisanud, et siiski võib selline kohustus tuleneda riigisisese õiguse alusel.

Jana Reitsakas

Vandeadvokaat 

September 2017


Antud artikkel annab üldise informatsiooni õiguslikes küsimustes ning seda ei saa lugeda õigusteenuse osutamiseks. Iga juhtumi puhul tuleb arvestada selle eripäraseid asjaolusid. Seisukoha saamiseks arvestades just Teie juhtumit palun võtta ühendust advokaadibürooga REMO’s.