Creditinfo esimeses GDPR-teemalises postituses tegime ülevaate uue isikuandmete kaitse üldmääruse eesmärgist. Lugege lähemalt siit. Käesolevas postituses räägime lähemalt sellest, millistel alustel tohib isikuandmeid töödelda, sh koguda.
Enne isikuandmete töötlema hakkamist tuleks kaardistada eeskätt:
Oluline on teada, et iga andmetöötleja peab ise määratlema, milline kuuest GDPRis sätestatud isikuandmete töötlemise õiguslikust alusest on eesmärgi täitmiseks kõige sobivam. Andmetöötleja otsustab, kas ta vajab töötlemiseks andmesubjekti nõusolekut või ta võib isikuandmeid töödelda ilma nõusolekuta, kuna töötlemise vajadus tuleneb näiteks seadusest, andmesubjektiga sõlmitavast lepingust või hoopis avalikust huvist.
1. Andmesubjekti nõusolek. Isik, kelle andmeid töödeldakse, annab vabatahtlikult nõusoleku oma isikuandmete töötlemiseks kindlal eesmärgil. Isikul on õigus nõusolek igal ajal tagasi võtta.
2. Lepingu täitmine. Kui ettevõttel on vaja oma kliendi andmeid töödelda selle kliendiga sõlmitud lepingu täitmiseks, võib ta isikuandmeid töödelda ilma kliendi nõusolekuta.
3. Juriidilise kohustuse täitmine. Kui isikuandmete töötlemine on vajalik juriidilise kohustuse täitmiseks, ei ole samuti vaja küsida andmesubjekti nõusolekut.
4. Eraisiku eluliste huvide kaitsmine. Väga erandlikel juhtudel võib isikuandmeid töödelda andmesubjekti enda või mõne muu eraisiku eluliste huvide kaitsmiseks. Seda tavaliselt siis, kui isik ise ei ole võimeline ei õiguslikult ega füüsiliselt oma andmete töötlemiseks nõusolekut andma.
5. Avalik huvi. Isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks.
6. Õigustatud huvi. Õigustatud huvi alusel isikuandmete töötlemine on andmetöötlejate jaoks suhteliselt uus õigus. Kui andmetöötlejast ettevõttel ei ole vaja töödelda isikuandmeid kitsalt ei lepingu täitmiseks ega seadusest tulenevate kohustuste täitmiseks, aga ettevõttel on siiski põhjendatud huvi isikuandmete töötlemiseks – eeskätt et täita oma äritegevusega seotud ülesandeid, võib ta seda teatud tingimustel teha. Õigustatud huvi tähendab tasakaalu kahe isiku vahel – ühel pool on andmeid töötleva isiku huvid ja teisel pool selle isiku, kelle andmeid töödeldakse, huvid ja õigused. Andmetöötleja peab enne isikuandmete õigustatud huvides töötlema asumist seda tasakaalu hindama. Kui hindamise tulemusena selgub, et andmesubjekti õigused kaaluvad andmetöötleja huvid üles, ei tohi andmetöötleja enda õigustatud huvides andmesubjektide isikuandmeid töödelda.
Iga andmetöötleja peaks võtma aega ja süvenema, milline on tema jaoks isikuandmete töötlemisel korrektne õiguslik alus. Erinevatel eesmärkidel isikuandmete töötlemisel võivad olla ka erinevad õiguslikud alused, küll ei tohi ühel ja samal eesmärgil isikuandmete töötlemisel olla erinevaid õiguslikke aluseid, kuna see oleks eeskätt eksitav isiku suhtes, kelle andmeid töödeldakse. Õiguslikust alusest oleneb, milliseid üldmäärusega sätestatud õigusi saab andmesubjekt oma andmete töötlemisega seoses kasutada. Nii näiteks ei saa töötlemise aluseks ühel ja samal juhul olla nii isiku nõusolek kui vajadus täita lepingut. Viimane oluline tähelepanek – kui töötlemise eesmärk on selgelt sõnastatud ja töötlemise õiguslik alus määratletud, ärge unustage hindamast, kas kõiki neid isikuandmeid, mida töötlete, on tõepoolest selle eesmärgi saavutamiseks vaja.