08.03.2019 Reede

Isikuandmete kaitse püsib jätkuvalt aktuaalsena

Marit Savi, vandeadvokaat, partner, Advokaadibüroo Tark.
Marit Savi, vandeadvokaat, partner, Advokaadibüroo Tark. Advokaadibüroo Tark

Paljud ettevõtjad üritasid andmekaitse teemadega tegeleda, kuid ilmselt väga vähesed jõudsid tähtajaks valmis ning endiselt on palju selliseid ettevõtteid, kes pole veel alustanud.

Veel aasta tagasi, kui ettevõtjad-andmetöötlejad tegid või oleks pidanud tegema viimaseid ettevalmistusi andmekaitse üldmääruse (ingl general data protection regulation – edaspidi GDPR või üldmäärus) rakendamiseks, mis algas 25. mail 2018, oli isikuandmete kaitse väga kuum teema. Andmekaitsest kirjutati ajalehtedes ja ajakirjades, sellest räägiti raadios, televisioonis, erinevatel seminaridel ja konverentsidel – hiiglaslike trahvide ähvardusel – kutsuti ettevõtjaid üles andmetöötlust korrastama ja GDPR-iga kooskõlla viima. Paljud ettevõtjad üritasidki andmekaitsega tegeleda, kuid väga vähesed jõudsid tähtajaks valmis ja endiselt on palju selliseid ettevõtteid, kus pole veel alustatud.

Mis on täna alustades teisiti?

Ettevõtted, kus praegu alustatakse andmetöötluse korrastamisega, on selles mõttes paremas seisus, et nüüd on olemas paju rohkem informatsiooni ja juhiseid selle kohta, mida ja kuidas teha.

Andmekaitse Inspektsioon (edaspidi  ka AKI) on välja andnud Isikuandmete töötleja üldjuhendi ja erinevates postitustes selgitanud üldmääruse olulisemaid praktikas ettetulevaid küsimusi. Erinevates tegevusvaldkondades on internetis avalikult kättesaadavad ettevõtete andmekaitse tingimused (ingl privacy policy, privacy notice) – see kõik aitab mõista isikuandmete kaitse temaatikat ning annab ideid, kuidas oma ettevõttes asju korraldada.

Teisest küljest on täna alustavad ettevõtted kindlasti halvemas seisus, sest on juba pea aasta aega kohustuslikku regulatsiooni eiranud. Juhul kui Andmekaitse Inspektsioon, kas juhusliku kontrolli käigus või näiteks andmesubjekti kaebuse peale sellise ettevõtte vaatluse alla võtab, on ilmselt raske selgitada, miks pole isikuandmete kaitse kooskõlas üldmääruse nõuetega või miks ei ole sellele üldse tähelepanu pööratud.

Kui ettevõte, mis tegeleb isikuandmete töötlemisega, ei ole veel mõelnud sellele, kuidas saavutada kooskõla GDPR-i nõuetega, siis soovitan järgmist:

  • hakake teemaga tegelema kohe, ettevalmistus võtab kauem aega kui esialgu arvate;
  • tutvuge AKI välja antud Isikuandmete töötleja üldjuhendiga ja AKI veebilehel oleva infoga;
  • alustage isikuandmete töötlemisülevaate ja ettevõtte andmekaitsetingimuste koostamisega – nii saate ühitada andmete kaardistamise ja dokumenteerimise;
  • küsige vajaduse korral nõu spetsialistilt, kuid veenduge enne, et tal on GDPR-i nõustamise kogemus;
  • osalege aktiivselt ettevalmistusprotsessis ja kaasake andmetöötlusega tegelevad töötajad;
  • määrake ettevõttes andmekaitse eest vastutav isik (ka siis, kui ettevõttel ei ole andmekaitsespetsialisti määramise kohustust);
  • koostage isikuandmete kaitse korraldamiseks vajalikud alusdokumendid (andmekaitsetingimused, nõusolekute vormid, sisemised reeglid isikuandmete kasutamisel, lepingud isikuandmete volitatud töötlejatega, kui neid kasutate) ja koolitage isikuandmete töötlemisega tegelevaid töötajaid;
  • jälgige andmekaitse regulatsioonide ja praktika arengut ning hoidke ettevõtte andmetöötlus ajakohasena.

Ettevalmistusi tehes proovige vältida praktikas üha rohkem levivaid isikuandmete kaitsega seotud väärarusaamu.

Praktikas levivad väärarusaamad

Üle kahe aasta ettevõtjaid GDPR-i teemadel nõustades olen lugenud mitmekümnete ettevõtete andmekaitsetingimusi, panen tähele, et levima on hakanud hulk väärarusaamu.

Alljärgnevalt toon esile peamised.

Isikuandmete kaitse temaatika aktuaalsus ilmselt kahaneb

Umbes pool aastat enne GDPR-i rakendamise alguskuupäeva (25. mai 2018) oli meedia selleteemalisi artikleid täis ning ettevõtetel oli tuli takus, et oma andmetöötlus kuidagi 25. maiks korda saada. Siis saabus 25. mai ja midagi ei juhtunud, ei ole senini juhtunud. Tekkis arusaam, et järelikult ei olegi see andmekaitse nii oluline teema ja küllap see vaikselt vaibub. Tegelikult on aga vastupidi. Mis oleks pidanud või saanud juhtuda 25. mail? Alles tänavu  15. jaanuaril jõustus uus isikuandmete kaitse seadus, mis muuhulgas annab Andmekaitse Inspektsioonile laiad volitused üldmääruses sätestatud järelevalve tegemiseks ning karistuste kohaldamiseks.

Endiselt on vastu võtmata Isikuandmete kaitse seaduse rakendamisseadus, mis toob muudatusi 130 seadusesse, et viia need vastavusse GDPR-iga. Seega, ärge laske ennast eksitada näilisest vaikusest, tegelik GDPR-i rakendamine Eestis alles algab ning seoses infotehnoloogia arengu ja uute suhtlemisvormide tekkimisega isikuandmete kaitse aktuaalsus aina kasvab.

Ostame GDPR-i valmispaketi, siis ei pea ise asjaga tegelema

Paljude ettevõtete jaoks on isikuandmete kaitse selline teema, millega enne üldmääruse jõustumist ei tegeldud – teema on võõras, keeruline ja ebamugav ning seetõttu on sellega raske algust teha.

On täiesti mõistetav, et ettevõtjad soovivad andmekaitse teema kaelast ära saada ja osta valmislahendus, mis tagaks GDPR-ile vastavuse. Mõnel juhul ei tellita teenust ka spetsialistilt, vaid kopeeritakse teiste ettevõtete koostatud dokumente ilma sisulise analüüsi ja kohandamiseta.

Kahjuks ei anna selline lähenemine aga head tulemust – iga ettevõtte andmetöötlus on erinev. Erinevad on andmesubjektid (kliendid, töötajad, koostööpartnerid, jne), erinevad on andmetöötluse eesmärgid ja mahud (mõned töötlevad vaid oma töötajate andmeid, teised suure hulga klientide andmeid, mõned kasutavad andmeid ainult selleks, et täita kliendiga sõlmitud lepingut, teised teevad otseturundust ja turunduslikku profileerimist.

Kasutatakse erinevaid andmetöötlussüsteeme, erinevad on andmete töötlemisega tegelevate ettevõtete töötajate andmekaitsealased teadmised ja ettevalmistus.

Seega on iga ettevõte andmetöötlejana unikaalne ning valmis GDPR-i paketti, mida saaks ilma ise asjasse süüvimata kasutama hakata, ei ole olemas. Parim tulemus saavutatakse siis, kui ettevõtja aktiivselt andmetöötluse korraldamise küsimustes kaasa mõtleb, kaasates andmetöötluse eri tahkudega (nagu personalihaldus, IT, turundus) kokku puutuvad töötajad. Selleks, et andmekaitset järjepidevalt rakendada, tuleb aru saada nii õigusliku regulatsiooni põhinõuetest kui ka tunda oma ettevõtte andmetöötluse eripärasid.

GDPR-i nõuetele vastavuse saavutamine on ühekordne ettevõtmine

Enne kirjeldatud väärarusaam on tihedalt seotud järgnevaga – „Laseme juristidel selle andmekaitse asja korda teha, siis on see mure murtud”. Andmekaitse ei ole kindlasti ühekordne ettevõtmine, kuigi korralik ettevalmistus andmetöötluse kaardistamise ja põhidokumentide koostamise näol muudab igapäevase töö selles valdkonnas kergemaks, ei vabasta see jooksvast tööst.

Seetõttu on äärmiselt oluline, et ettevõttesiseselt oleks kellelgi ülevaade andmetöötlusreeglitest ja -toimingutest ja järjepidevalt järgitaks nii reeglite muutumist kui ka ettevõtte andmetöötluse arengut.

Rajame kogu andmetöötluse ühele õiguslikule alusele, kliendi nõusolekule

Andmekaitsetingimus on dokument, kus antakse infot andmetöötleja ja andmetöötluse kohta. Ettevõttel võivad olla erinevate andmesubjektide osas erinevad andmekaitsetingimused, näiteks töötajatele ja klientidele eraldi.
Olen lugenud päris palju selliseid andmekaitsetingimusi, kus on kirjas, et nõustudes ettevõtte andmekaitsetingimustega, nõustub klient oma isikuandmete töötlemisega selles kirjeldatud viisil. Selline lähenemine on läbini vale.

Esiteks ei tugine ühegi ettevõtte andmetöötlus ainult ühel õiguslikul alusel, erinevatel töötlustoimingutel on erinevad eesmärgid ja õiguslikud alused.

Andmetöötluse õiguslikud alused on andmesubjekti  nõusolek, andmesubjektiga sõlmitud lepingu täitmise vajadus, andmetöötleja seadusest tuleneva kohustuse täitmise vajadus, andmetöötleja õigustatud huvi, eluliste huvide kaitse, avalike ülesannete täitmine/võimu teostamine.

Näiteks, kui e-pood kasutab kliendi e-posti aadressi selleks, et edastada sinna tellimuse kinnitus, on töötlemise õiguslikuks aluseks lepingu täitmise vajadus, kui aga e-posti aadressile saadetakse e-poe uudiskirju, siis on töötlemise õiguslikuks aluseks kas kliendi nõusolek või e-poe õigustatud huvi, olenevalt sellest, kuidas konkreetne ettevõte on töötlemise aluse määranud.

Kindlate andmete puhul võib aga töötlemine olla kohustuslik ehk tuleneda seadusest, näiteks töötajatega sõlmitud töölepinguid peab ettevõtja säilitama 10 aastat, raamatupidamise aluseks olevaid dokumente (nagu arved või lepingud) aga 7 aastat.

Teiseks, kui on soov tugineda teatud andmetöötlustoimingute puhul andmesubjekti nõusolekule, siis tuleb meeles pidada, et GDPR sätestab konkreetsed nõuded selleks, et nõusolek oleks kehtiv:

  • nõusolek on olemas suuliselt, kirjalikult või elektroonilises versioonis (näiteks on isik märgistanud vastava lahtri);
  • nõusolek on arusaadav, konkreetne, teadlik, ühemõtteline;
  • nõusoleku andmisel on isikut teavitatud andmetöötlemise tingimustest ja tema õigustest (näiteks andmekaitsetingimustega tutvumiseks esitamisega);
  • isik on teadlik, millisel eesmärgil tema isikuandmeid töödeldakse;
  • nõusolek ei ole vabatahtlik, kui isikul puudub iga erineva eesmärgi korral eraldi otsustusõigus;
  • nõusoleku tagasivõtmine peab olema sama lihtne kui nõusoleku andmine ning sellest tuleb isikut nõusoleku võtmisel informeerida.

Seega tuleb põhjalikult läbi mõelda, milliseid isikuandmeid millisel eesmärgil kasutatakse ja määrata iga eesmärgi jaoks eraldi andmetöötluse õiguslik alus.

Otseturustuse saab alati rajada ettevõtja õigustatud huvile

Selline arusaam on ilmselt tekkinud GDPR-i 47. põhjenduspunktist, mis muuhulgas sätestab: „Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.” Peale selle lause peaks aga arvestama sama põhjenduspunkti järgmise lausega: „Töötlemise õiguslikuks aluseks võib olla vastutava töötleja õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga. Selline õigustatud huvi võib olemas olla näiteks siis, kui andmesubjekti ja vastutava töötleja vahel on asjakohane ja sobiv suhe, näiteks kui andmesubjekt on vastutava töötleja klient […]”

Seega võiks isikuandmete kasutamine otseturustuse tegemiseks põhineda ettevõtte õigustatud huvil, kui tegemist on ettevõtte olemasoleva kliendiga, kellele ilmselt ei tule reklaammaterjali edastamine ebameeldiva üllatusena. Tegemist peaks olema ka ettevõtja enda, mitte kliendi jaoks tundmatu isiku, toodete või teenuste reklaamiga.

Otseturustuse puhul tuleb aga arvestada sellega, et kui seda tehakse e-posti, faksi, SMS-i, MMS-i või ka bluetooth’i teel, siis tuleb peale GDPR-i sätete järgida ka elektroonilise side seaduse (edaspidi – ESS) regulatsiooni. ESS sätestab üldreegli, mille kohaselt füüsilise isiku elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud üksnes tema varasema nõusoleku korral.

ESS näeb ette erandi olukorraks, kui müüja saab oma toote või teenuse müügi raames ostja füüsilised või elektroonilised kontaktandmed, siis võib otseturustaja kasutada ostja kontaktandmeid ilma tema varasema nõusolekuta oma samasuguste toodete või teenuste otseturustuseks, kuid üksnes eeldusel, et ostjale antakse tema kontaktandmete esmase kogumise ajal ning igas eraldiseisvas talle saadetavas sõnumis võimalus keelata oma kontaktandmete kasutamine otseturustuseks.

Toetajad

Suno 365 logo 10 Uku tarkvara

Liituge meiega sotsiaalvõrgustikes