Uue andmekaitsemääruse kohaselt on isikuandmete töötlemine seaduslik kas andmesubjekti nõusolekul või muul määruse artiklis 6 sätestatud alusel. Mõlema töötlemise aluse kasutamiseks tuleb juba täna alustada tööd, et tagada võime tõendada enda andmekasutuse kooskõla üldmäärusega.
Seaduslik alus
Isikuandmete töötlemise lubatavus seadusliku aluse olemasolul jääb üldpildis samaks kehtivaga ehk nõusolekut ei ole vaja töötlemiseks näiteks lepingu täitmiseks või töötleja juriidiliste kohustuste täitmiseks.
Samas tuleb pöörata tähelepanu, et tulemas on ka muudatusi, näiteks õigustatud huvist lähtuv töötlemise alus kitseneb. Nimelt ei ole töötlemine lubatud, kui võrreldes töötleja huvidega on olulisemad andmesubjekti huvid ja seda eriti siis, kui tegemist on alaealisega.
Üldmäärus lubab teatud kindlatel tingimustel töödelda andmeid uuel eesmärgil võrreldes sellega, millisel neid algselt koguti. Muu eesmärgi lubatavuseks tuleb otsustada, kas see uus eesmärk sobib kokku algse eesmärgiga ning arvesse tuleb võtta, milline oli kogumise kontekst, milliseid andmeid koguti ja millised on võimalikud tagajärjed andmesubjektile.
Näiteks võib tuua olukorra, kus ettevõte on võtnud nõusoleku e-kirja teel uudiskirja saatmiseks enda autoremonditeenuste osas teabe edastamiseks, siis lubatud võiks olla ka uudiskirja saatmine uudsel tehnoloogilisel viisil või uue tooteliini avamisel, näiteks autopuhastusteenuste kohta teabe edastamiseks.
Nõusolek peab olema selge ja vabatahtlik
Nõusoleku küsimine ei ole uus kohustus, sest valdav osa isikuandmete töötlemistest leiab ka praegu aset andmesubjekti nõusolekul. Küll aga on määruses nõusolekut käsitlevaid nõudeid oluliselt karmistatud.
Määruse kohaselt kehtib nõusolek isikuandmete töötlemiseks ainult juhul, kui selleks on antud selge avaldus, kinnitus (olgu siis suuliselt, elektrooniliselt või kirjalikult) või nõusolekut väljendav tegevus. Nõusolek ei saa tuleneda isiku vaikimisest või tegevusetusest. Seega on määruse mõtte kohaselt nõusolek antud nt veebisaidil kastis linnukese või risti tegemisega, kuid vabatahtliku nõusolekuga ei ole tegemist, kui linnuke või rist kastis on juba eelnevalt olemas (ja isik peaks keeldumiseks selle ise eemaldama).
Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.
Nõusoleku andmist loetakse vabatahtlikuks üksnes ulatuses, milles see on eesmärgipäraselt (nt lepingu täitmiseks) vajalik ning nõusolek ei tohiks olla teenuse osutamise eeltingimuseks, kui see ei ole iseenesest lepingu täitmiseks vajalik. Näiteks ei ole eelduslikult vabatahtlikuks nõusolekuks ka selline nõusolek, kus ei ole võimalik anda erinevate töötlemise toimingutele eraldi nõusolekut ega nõusolek, mis on antud selgelt ebavõrdses olukorras (eelkõige nt töösuhe).
Isikuandmete töötlemiseks nõusoleku küsimine peab määruse kohaselt olema lihtne ja arusaadav. Samuti peaks andmesubjekt olema teadlik, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Määruse kohaselt peab nõusolek hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Teisisõnu, kui isikuandmete töötlemisel on mitu eesmärki või kasutusviisi, tuleks nõusolek anda iga eesmärgi ja viisi kohta.
Alaealiste isikuandmete töötlemisel on erisused. Määrusega rõhutatakse, et laste isikuandmed väärivad erilist kaitset, mistõttu on infoühiskonna teenuste pakkumisega seoses lapse isikuandmete töötlemine seaduslik ainult juhul, kui laps on vähemalt 16-aastane (liikmesriikidele on antud voli vanusemäära vähendada kuni 13 aastani) või nooremate laste korral juhul ja sellises ulatuses, milleks on nõusoleku või loa andnud lapse vanem või eestkostja. Teenuse pakkuja peab mõistlikult kontrollima, et nõusoleku on andnud lapse vanem või eeskostja.
Seega, kui isikuandmete töötlemine toimub nõusoleku alusel, peab vastutav töötleja suutma tõendada, et andmesubjekt on andnud toiminguks määruse nõuetele vastava väga selge ja konkreetse nõusoleku.
Sealjuures tuleb ka enne määruse jõustumist küsitud nõusolekud viia määrusega kooskõlla.
Nõusolek: andmesubjekti õigus isikuandmete kasutamise mõjutamiseks
Määruse kohaselt on andmesubjektil õigus iga hetk oma nõusolek tagasi võtta, nõuda teda käsitlevate isikuandmete parandamist ja töötlemise lõpetamist aga teatud juhtudel ka kustutamist ehk „õigus olla unustatud“. Samuti on määruse kohaselt andmesubjektil isikuandmete automatiseeritud töötlemise korral õigus saada vastutavalt töötlejalt isiku poolt esitatud ja teda puudutavaid isikuandmeid struktureeritud ja masinloetavas vormis.
Kokkuvõttev soovitus ja tegevuskava
Määruse kohaselt peab töötleja olema võimeline tõendama, et ettevõttes andmete töötlemine on kooskõlas üldmäärusega. Selline tõendamise kohustus ei hõlma ainult andmeid, mida kogutakse alates 2018. aastast, vaid kehtib ka kõigi juba aastate jooksul kogutud andmete kohta.
Seega tuleb juba praegu hakata ettevõtetel analüüsima olemasolevaid isikuandmeid, et:
- määrata isikuandmete töötlemise alused (nõusolek või seadus) ja ulatus;
- täpsustada võimalused rakendada uusi töötlemisviise, ning
- luua register, kus sellised andmekategooriad ja töötlemise eesmärgid on talletatud.