11.10.2016 Teisipäev

Isikuandmete töötlemiseks on vajalik subjekti selge nõusolek

Advokaadibüroo Triniti jätkab 2018. aasta mais jõustuva andmekaitse üldmääruse tutvustamist. Seekord saab ülevaate isikuandmete töötlemiseks vajalikust andmesubjekti nõusolekust, mille tingimused on määruses oluliselt karmistunud.

Klen Laus, vandeadvokaat
Klen Laus, vandeadvokaat Foto: Advokaadibüroo TRINITI

Uue andmekaitsemääruse kohaselt on isikuandmete töötlemine seaduslik kas andmesubjekti nõusolekul või muul määruse artiklis 6 sätestatud alusel. Mõlema töötlemise aluse kasutamiseks tuleb juba täna alustada tööd, et tagada võime tõendada enda andmekasutuse kooskõla üldmäärusega.

Seaduslik alus

Isikuandmete töötlemise lubatavus seadusliku aluse olemasolul jääb üldpildis samaks kehtivaga ehk nõusolekut ei ole vaja töötlemiseks näiteks lepingu täitmiseks või töötleja juriidiliste kohustuste täitmiseks.

Samas tuleb pöörata tähelepanu, et tulemas on ka muudatusi, näiteks õigustatud huvist lähtuv töötlemise alus kitseneb. Nimelt ei ole töötlemine lubatud, kui võrreldes töötleja huvidega on olulisemad andmesubjekti huvid ja seda eriti siis, kui tegemist on alaealisega.

Üldmäärus lubab teatud kindlatel tingimustel töödelda andmeid uuel eesmärgil võrreldes sellega, millisel neid algselt koguti. Muu eesmärgi lubatavuseks tuleb otsustada, kas see uus eesmärk sobib kokku algse eesmärgiga ning arvesse tuleb võtta, milline oli kogumise kontekst, milliseid andmeid koguti ja millised on võimalikud tagajärjed andmesubjektile.

Näiteks võib tuua olukorra, kus ettevõte on võtnud nõusoleku e-kirja teel uudiskirja saatmiseks enda autoremonditeenuste osas teabe edastamiseks, siis lubatud võiks olla ka uudiskirja saatmine uudsel tehnoloogilisel viisil või uue tooteliini avamisel, näiteks autopuhastusteenuste kohta teabe edastamiseks.

Nõusolek peab olema selge ja vabatahtlik

Nõusoleku küsimine ei ole uus kohustus, sest valdav osa isikuandmete töötlemistest leiab ka praegu aset andmesubjekti nõusolekul. Küll aga on määruses nõusolekut käsitlevaid nõudeid oluliselt karmistatud.

Määruse kohaselt kehtib nõusolek isikuandmete töötlemiseks ainult juhul, kui selleks on antud selge avaldus, kinnitus (olgu siis suuliselt, elektrooniliselt või kirjalikult) või nõusolekut väljendav tegevus. Nõusolek ei saa tuleneda isiku vaikimisest või tegevusetusest. Seega on määruse mõtte kohaselt nõusolek antud nt veebisaidil kastis linnukese või risti tegemisega, kuid vabatahtliku nõusolekuga ei ole tegemist, kui linnuke või rist kastis on juba eelnevalt olemas (ja isik peaks keeldumiseks selle ise eemaldama).

Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.

Nõusoleku andmist loetakse vabatahtlikuks üksnes ulatuses, milles see on eesmärgipäraselt (nt lepingu täitmiseks) vajalik ning nõusolek ei tohiks olla teenuse osutamise eeltingimuseks, kui see ei ole iseenesest lepingu täitmiseks vajalik. Näiteks ei ole eelduslikult vabatahtlikuks nõusolekuks ka selline nõusolek, kus ei ole võimalik anda erinevate töötlemise toimingutele eraldi nõusolekut ega nõusolek, mis on antud selgelt ebavõrdses olukorras (eelkõige nt töösuhe).

Isikuandmete töötlemiseks nõusoleku küsimine peab määruse kohaselt olema lihtne ja arusaadav. Samuti peaks andmesubjekt olema teadlik, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Määruse kohaselt peab nõusolek hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Teisisõnu, kui isikuandmete töötlemisel on mitu eesmärki või kasutusviisi, tuleks nõusolek anda iga eesmärgi ja viisi kohta.

Alaealiste isikuandmete töötlemisel on erisused. Määrusega rõhutatakse, et laste isikuandmed väärivad erilist kaitset, mistõttu on infoühiskonna teenuste pakkumisega seoses lapse isikuandmete töötlemine seaduslik ainult juhul, kui laps on vähemalt 16-aastane (liikmesriikidele on antud voli vanusemäära vähendada kuni 13 aastani) või nooremate laste korral juhul ja sellises ulatuses, milleks on nõusoleku või loa andnud lapse vanem või eestkostja. Teenuse pakkuja peab mõistlikult kontrollima, et nõusoleku on andnud lapse vanem või eeskostja.

Seega, kui isikuandmete töötlemine toimub nõusoleku alusel, peab vastutav töötleja suutma tõendada, et andmesubjekt on andnud toiminguks määruse nõuetele vastava väga selge ja konkreetse nõusoleku.

Sealjuures tuleb ka enne määruse jõustumist küsitud nõusolekud viia määrusega kooskõlla.

Nõusolek: andmesubjekti õigus isikuandmete kasutamise mõjutamiseks

Määruse kohaselt on andmesubjektil õigus iga hetk oma nõusolek tagasi võtta, nõuda teda käsitlevate isikuandmete parandamist ja töötlemise lõpetamist aga teatud juhtudel ka kustutamist ehk „õigus olla unustatud“. Samuti on määruse kohaselt andmesubjektil isikuandmete automatiseeritud töötlemise korral õigus saada vastutavalt töötlejalt isiku poolt esitatud ja teda puudutavaid isikuandmeid struktureeritud ja masinloetavas vormis.

Kokkuvõttev soovitus ja tegevuskava

Määruse kohaselt peab töötleja olema võimeline tõendama, et ettevõttes andmete töötlemine on kooskõlas üldmäärusega. Selline tõendamise kohustus ei hõlma ainult andmeid, mida kogutakse alates 2018. aastast, vaid kehtib ka kõigi juba aastate jooksul kogutud andmete kohta.

Seega tuleb juba praegu hakata ettevõtetel analüüsima olemasolevaid isikuandmeid, et:

  •   määrata isikuandmete töötlemise alused (nõusolek või seadus) ja ulatus;
  •   täpsustada võimalused rakendada uusi töötlemisviise, ning
  •   luua register, kus sellised andmekategooriad ja töötlemise eesmärgid on talletatud.

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
430824810 430800019636154 7356040320163199917 n255