Millistel alustel tohib isikuandmeid koguda ja muul viisil töödelda?
Creditinfo esimeses GDPR-teemalises postituses tegime ülevaate uue isikuandmete kaitse üldmääruse eesmärgist. Lugege lähemalt siit. Käesolevas postituses räägime lähemalt sellest, millistel alustel tohib isikuandmeid töödelda, sh koguda.
Enne isikuandmete töötlema hakkamist tuleks kaardistada eeskätt:
- milliseid isikuandmeid üldse töödeldakse ja kas nende hulgas on ka eriliigilisi (delikaatseid) isikuandmeid;
- kelle isikuandmeid töödeldakse ehk kes on andmesubjektid (töötajad, kliendid, muud eraisikud);
- mis eesmärgil isikuandmeid töödeldakse;
- kas töödeldakse ainult neid isikuandmeid, mis on eesmärgi saavutamiseks vajalikud ja aja- ning asjakohased;
- milliseid toiminguid isikuandmetega tehakse;
- millisel õiguslikul alusel isikuandmeid töödeldakse.
Iga toiming, mida isikuandmetega tehakse, kujutab endast isikuandmete töötlemistoimingut. Seega töötlete andmeid neid kogudes, salvestades ja muutes, aga ka lihtsalt lugedes ja säilitades. Isikuandmete töötlemine on seaduslik ainult siis, kui andmetöötlejal on töötlemiseks õiguslik alus.
Oluline on teada, et iga andmetöötleja peab ise määratlema, milline kuuest GDPRis sätestatud isikuandmete töötlemise õiguslikust alusest on eesmärgi täitmiseks kõige sobivam. Andmetöötleja otsustab, kas ta vajab töötlemiseks andmesubjekti nõusolekut või ta võib isikuandmeid töödelda ilma nõusolekuta, kuna töötlemise vajadus tuleneb näiteks seadusest, andmesubjektiga sõlmitavast lepingust või hoopis avalikust huvist.
Millised on need kuus õiguslikku alust, mille vahel andmetöötleja valima peab:
1. Andmesubjekti nõusolek. Isik, kelle andmeid töödeldakse, annab vabatahtlikult nõusoleku oma isikuandmete töötlemiseks kindlal eesmärgil. Isikul on õigus nõusolek igal ajal tagasi võtta.
- Näiteks: Veebipoe eraisikust klient soovib saada igakuiseid uudiskirju ja sooduspakkumusi ning annab oma nõustumuse märgiks nõusoleku, pannes veebipoega lepingut sõlmides ristikese vastavasse lahtrisse. Veebipood peab tagama, et iga sooduspakkumuse saatmisega annab ta kliendile võimaluse edasistest pakkumustest loobumiseks.
2. Lepingu täitmine. Kui ettevõttel on vaja oma kliendi andmeid töödelda selle kliendiga sõlmitud lepingu täitmiseks, võib ta isikuandmeid töödelda ilma kliendi nõusolekuta.
- Näiteks: Kindlustusselts võib töödelda kindlustusvõtja varalist seisundit puudutavaid andmeid, et hinnata kindlustusjuhtumi läbi kindlustusvõtjale tekkinud kahju suurust ja täita oma lepinguline kohustus – maksta välja kindlustushüvitis.
3. Juriidilise kohustuse täitmine. Kui isikuandmete töötlemine on vajalik juriidilise kohustuse täitmiseks, ei ole samuti vaja küsida andmesubjekti nõusolekut.
- Näiteks: Pangal on seadusest tulenev kohustus järgida vastutustundliku laenamise põhimõtet. Selle kohustuse täitmiseks on pank enne laenulepingu sõlmimist kohustatud koguma ja säilitama andmeid kliendi rahaliste kohustuste suuruse ning täitmise kohta ja kasutama neid andmeid kliendi jaoks mõistliku laenukoormuse arvutamiseks.
4. Eraisiku eluliste huvide kaitsmine. Väga erandlikel juhtudel võib isikuandmeid töödelda andmesubjekti enda või mõne muu eraisiku eluliste huvide kaitsmiseks. Seda tavaliselt siis, kui isik ise ei ole võimeline ei õiguslikult ega füüsiliselt oma andmete töötlemiseks nõusolekut andma.
- Näiteks: Inimene satub raske liiklusõnnetuse tagajärjel haiglasse ja ei ole võimeline suhtlema. Et arstid saaksid tema opereerimise ja edasise ravi suhtes otsuse langetada, on selle inimese haigusloo avaldamine arstidele põhjendatud tema eluliste huvide kaitsmiseks.
5. Avalik huvi. Isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks.
- Näiteks: liikluspolitseil on õigus töödelda kiiruskaamerate salvestisi, et kiiruseületajaid trahvida – politsei töötleb siin isikuandmeid talle seadusega pandud avalike ülesannete täitmiseks.
6. Õigustatud huvi. Õigustatud huvi alusel isikuandmete töötlemine on andmetöötlejate jaoks suhteliselt uus õigus. Kui andmetöötlejast ettevõttel ei ole vaja töödelda isikuandmeid kitsalt ei lepingu täitmiseks ega seadusest tulenevate kohustuste täitmiseks, aga ettevõttel on siiski põhjendatud huvi isikuandmete töötlemiseks – eeskätt et täita oma äritegevusega seotud ülesandeid, võib ta seda teatud tingimustel teha. Õigustatud huvi tähendab tasakaalu kahe isiku vahel – ühel pool on andmeid töötleva isiku huvid ja teisel pool selle isiku, kelle andmeid töödeldakse, huvid ja õigused. Andmetöötleja peab enne isikuandmete õigustatud huvides töötlema asumist seda tasakaalu hindama. Kui hindamise tulemusena selgub, et andmesubjekti õigused kaaluvad andmetöötleja huvid üles, ei tohi andmetöötleja enda õigustatud huvides andmesubjektide isikuandmeid töödelda.
- Näiteks: Iga ettevõte soovib arendada oma teenuseid ja tooteid, parendada kasutatavat veebikeskkonda ja suhtlust oma klientidega – ka selle eesmärgi täitmiseks on vaja ettevõttel töödelda oma klientide isikuandmeid. Ettevõtte kliendid on pigem huvitatud ning eeldavad, et ettevõte töötleb nende andmeid vajalikus ulatuses parema klienditeeninduse huvides.
- Või teine näide: Tööandja motivatsioonipaketti kuulub ka töötajate sporditreeningute hüvitamine. Selleks töötleb tööandja treeningutes osalevate töötajate isikuandmeid, näiteks et hankida töötajatele spordiklubi kuukaardid. Selline isikuandmete töötlemine ei ole vajalik ei seadusest ega töölepingust tulenevalt. Töötlemine toimub siin tööandja õigustatud huvi alusel ja tööandja ei vaja töötlemiseks ka töötaja nõusolekut. Võib üsna kindel olla, et töötajad pigem eeldavadki, et selles kontekstis nende isikuandmeid töödeldakse.
Iga andmetöötleja peaks võtma aega ja süvenema, milline on tema jaoks isikuandmete töötlemisel korrektne õiguslik alus. Erinevatel eesmärkidel isikuandmete töötlemisel võivad olla ka erinevad õiguslikud alused, küll ei tohi ühel ja samal eesmärgil isikuandmete töötlemisel olla erinevaid õiguslikke aluseid, kuna see oleks eeskätt eksitav isiku suhtes, kelle andmeid töödeldakse. Õiguslikust alusest oleneb, milliseid üldmäärusega sätestatud õigusi saab andmesubjekt oma andmete töötlemisega seoses kasutada. Nii näiteks ei saa töötlemise aluseks ühel ja samal juhul olla nii isiku nõusolek kui vajadus täita lepingut. Viimane oluline tähelepanek – kui töötlemise eesmärk on selgelt sõnastatud ja töötlemise õiguslik alus määratletud, ärge unustage hindamast, kas kõiki neid isikuandmeid, mida töötlete, on tõepoolest selle eesmärgi saavutamiseks vaja.
