tellimine 938x200 apple ee gif fixed
Kolmapäev, 09 Mai 2018 12:34

Millistel alustel tohib isikuandmeid koguda ja muul viisil töödelda?

Hinda seda artiklit
(0 hinnangut)
Enne isikuandmete töötlema hakkamist tuleks kaardistada eeskätt:

  • milliseid isikuandmeid üldse töödeldakse ja kas nende hulgas on ka eriliigilisi (delikaatseid) isikuandmeid;
  • kelle isikuandmeid töödeldakse ehk kes on andmesubjektid (töötajad, kliendid, muud eraisikud);
  • mis eesmärgil isikuandmeid töödeldakse;
  • kas töödeldakse ainult neid isikuandmeid, mis on eesmärgi saavutamiseks vajalikud ja aja- ning asjakohased;
  • milliseid toiminguid isikuandmetega tehakse;
  • millisel õiguslikul alusel isikuandmeid töödeldakse.

Iga toiming, mida isikuandmetega tehakse, kujutab endast isikuandmete töötlemistoimingut. Seega töötlete andmeid neid kogudes, salvestades ja muutes, aga ka lihtsalt lugedes ja säilitades. Isikuandmete töötlemine on seaduslik ainult siis, kui andmetöötlejal on töötlemiseks õiguslik alus.

Oluline on teada, et iga andmetöötleja peab ise määratlema, milline kuuest GDPR-is sätestatud isikuandmete töötlemise õiguslikust alusest on eesmärgi täitmiseks kõige sobivam. Andmetöötleja otsustab, kas ta vajab töötlemiseks andmesubjekti nõusolekut või ta võib isikuandmeid töödelda ilma nõusolekuta, kuna töötlemise vajadus tuleneb näiteks seadusest, andmesubjektiga sõlmitavast lepingust või hoopis avalikust huvist.

Millised on need kuus õiguslikku alust, mille vahel andmetöötleja valima peab:

1. Andmesubjekti nõusolek. Isik, kelle andmeid töödeldakse, annab vabatahtlikult nõusoleku oma isikuandmete töötlemiseks kindlal eesmärgil. Isikul on õigus nõusolek igal ajal tagasi võtta.

  • Näiteks: Veebipoe eraisikust klient soovib saada igakuiseid uudiskirju ja sooduspakkumusi ning annab oma nõustumuse märgiks nõusoleku, pannes veebipoega lepingut sõlmides ristikese vastavasse lahtrisse. Veebipood peab tagama, et iga sooduspakkumuse saatmisega annab ta kliendile võimaluse edasistest pakkumustest loobumiseks.

2. Lepingu täitmine. Kui ettevõttel on vaja oma kliendi andmeid töödelda selle kliendiga sõlmitud lepingu täitmiseks, võib ta isikuandmeid töödelda ilma kliendi nõusolekuta.

  • Näiteks: Kindlustusselts võib töödelda kindlustusvõtja varalist seisundit puudutavaid andmeid, et hinnata kindlustusjuhtumi läbi kindlustusvõtjale tekkinud kahju suurust ja täita oma lepinguline kohustus – maksta välja kindlustushüvitis.

3. Juriidilise kohustuse täitmine. Kui isikuandmete töötlemine on vajalik juriidilise kohustuse täitmiseks, ei ole samuti vaja küsida andmesubjekti nõusolekut.

  • Näiteks: Pangal on seadusest tulenev kohustus järgida vastutustundliku laenamise põhimõtet. Selle kohustuse täitmiseks on pank enne laenulepingu sõlmimist kohustatud koguma ja säilitama andmeid kliendi rahaliste kohustuste suuruse ning täitmise kohta ja kasutama neid andmeid kliendi jaoks mõistliku laenukoormuse arvutamiseks.

4. Eraisiku eluliste huvide kaitsmine. Väga erandlikel juhtudel võib isikuandmeid töödelda andmesubjekti enda või mõne muu eraisiku eluliste huvide kaitsmiseks. Seda tavaliselt siis, kui isik ise ei ole võimeline ei õiguslikult ega füüsiliselt oma andmete töötlemiseks nõusolekut andma.

  • Näiteks: Inimene satub raske liiklusõnnetuse tagajärjel haiglasse ja ei ole võimeline suhtlema. Et arstid saaksid tema opereerimise ja edasise ravi suhtes otsuse langetada, on selle inimese haigusloo avaldamine arstidele põhjendatud tema eluliste huvide kaitsmiseks.

5. Avalik huvi. Isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks.

  • Näiteks: liikluspolitseil on õigus töödelda kiiruskaamerate salvestisi, et kiiruseületajaid trahvida – politsei töötleb siin isikuandmeid talle seadusega pandud avalike ülesannete täitmiseks.

6. Õigustatud huvi. Õigustatud huvi alusel isikuandmete töötlemine on andmetöötlejate jaoks suhteliselt uus õigus. Kui andmetöötlejast ettevõttel ei ole vaja töödelda isikuandmeid kitsalt ei lepingu täitmiseks ega seadusest tulenevate kohustuste täitmiseks, aga ettevõttel on siiski põhjendatud huvi isikuandmete töötlemiseks – eeskätt et täita oma äritegevusega seotud ülesandeid, võib ta seda teatud tingimustel teha. Õigustatud huvi tähendab tasakaalu kahe isiku vahel – ühel pool on andmeid töötleva isiku huvid ja teisel pool selle isiku, kelle andmeid töödeldakse, huvid ja õigused. Andmetöötleja peab enne isikuandmete õigustatud huvides töötlema asumist seda tasakaalu hindama. Kui hindamise tulemusena selgub, et andmesubjekti õigused kaaluvad andmetöötleja huvid üles, ei tohi andmetöötleja enda õigustatud huvides andmesubjektide isikuandmeid töödelda.

  • Näiteks: Iga ettevõte soovib arendada oma teenuseid ja tooteid, parendada kasutatavat veebikeskkonda ja suhtlust oma klientidega – ka selle eesmärgi täitmiseks on vaja ettevõttel töödelda oma klientide isikuandmeid. Ettevõtte kliendid on pigem huvitatud ning eeldavad, et ettevõte töötleb nende andmeid vajalikus ulatuses parema klienditeeninduse huvides.
  • Või teine näide: Tööandja motivatsioonipaketti kuulub ka töötajate sporditreeningute hüvitamine. Selleks töötleb tööandja treeningutes osalevate töötajate isikuandmeid, näiteks et hankida töötajatele spordiklubi kuukaardid. Selline isikuandmete töötlemine ei ole vajalik ei seadusest ega töölepingust tulenevalt. Töötlemine toimub siin tööandja õigustatud huvi alusel ja tööandja ei vaja töötlemiseks ka töötaja nõusolekut. Võib üsna kindel olla, et töötajad pigem eeldavadki, et selles kontekstis nende isikuandmeid töödeldakse.

Iga andmetöötleja peaks võtma aega ja süvenema, milline on tema jaoks isikuandmete töötlemisel korrektne õiguslik alus. Erinevatel eesmärkidel isikuandmete töötlemisel võivad olla ka erinevad õiguslikud alused, küll ei tohi ühel ja samal eesmärgil isikuandmete töötlemisel olla erinevaid õiguslikke aluseid, kuna see oleks eeskätt eksitav isiku suhtes, kelle andmeid töödeldakse. Õiguslikust alusest oleneb, milliseid üldmäärusega sätestatud õigusi saab andmesubjekt oma andmete töötlemisega seoses kasutada. Nii näiteks ei saa töötlemise aluseks ühel ja samal juhul olla nii isiku nõusolek kui ka vajadus täita lepingut. Viimane oluline tähelepanek – kui töötlemise eesmärk on selgelt sõnastatud ja töötlemise õiguslik alus määratletud, ärge unustage hindamast, kas kõiki neid isikuandmeid, mida töötlete, on tõepoolest selle eesmärgi saavutamiseks vaja.

Jäta kommentaar

Veendu, et kõik kohustuslik (*) info oleks sisestatud. HTML-i kasutamine pole lubatud.


Rubriigi Õigus viimased uudised

Sellest osast leiate te uudiseid tööturu ja tööõiguse teemal

  • Hagi tagamine – miks ja kuidas?
    Hagi tagamine – miks ja kuidas? Enne kohtumenetluse alustamist palutakse minul sageli hinnata asja perspektiivi. Sellisel juhul ei tule arvesse võtta üksnes seda, kui suur on tõenäosus, et hagiavaldus rahuldatakse, vaid ka asjaolu, kas kohtuotsust on võimalik hiljem täita. Rahalise nõude esitamisel tähendab eeltoodu eeskätt seda, kas võlgnikul on vara, mille arvel oleks võimalik hiljem kohtuotsust täita. Pole ju sisulist kasu kohtuotsusest, mida kliendil ei ole võimalik edukalt maksma panna.
  • EMA juhib tähelepanu hiigellageraieid võimaldavale seaduseaugule
    Kodanikuühendus Eesti Metsa Abiks (EMA) juhib tähelepanu seaduseaugule, mis võimaldab metsaseaduse mõttest mööda minnes raiuda lagedaks väga suuri alasid.
  • Euroopa Kohus ei leidnud müügimaksus vastuolu käibemaksureeglitega
    Euroopa Kohtu hinnangul ei ole 2010. aastal Tallinnas kehtestatud müügimaks vastuolus Euroopa Liidu (EL) käibemaksudirektiiviga, mis tähendab, et tasutud müügimaksu tagasi nõudvatel Tallinna Kaubamaja grupi ettevõtetel ei õnnestu riigikohtus sellele argumendile tugineda.
  • Vaikimine võib olla ka nõusolek
    <span class="green_key"></span>Vaikimine võib olla ka nõusolek Selles artiklis käsitletavatest riigikohtu lahenditest saame teada, kas ja millistel tingimustel saab lugeda lepingu muudetuks, kui kirjalikku kokkulepet ei ole lepingu muutmise kohta sõlmitud. Veel selgitab riigikohus, millised eeldused peavad olema täidetud, et äriühingu juhtorganilt oleks võimalik nõuda kahju hüvitamist äriühingu kahjustamise tõttu selle tegevuse mõjutamise kaudu.
  • III samba fondiosakud kolisid väärtpaberikontodelt pensionikontole
    Alates 6. augustist on lisaks senisele kohustusliku pensionifondiga seotud teabele pensionikontoga seatud ka vabatahtliku pensionisambaga seotud info.

Liituge meiega sotsiaalvõrgustikes