Andmekaitse inspektsiooni aastaraamatus kirjeldab inspektsioon menetlusotsuseni jõudmise käiku reisikorraldaja juhtumi näitel, sest põhimõte võlaandmete töötlemisel on alati üks ja seesama.
Nimelt avalikustas reisikorraldaja oma klientide võlad veebilehel.
Isikuandmete töötlemisel tuleb arvestada isikuandmete kaitse seaduse (IKS) ja isikuandmete kaitse üldmääruse (IKÜM/üldmäärus) nõuetega. Muuhulgas on andmetöötlejal kohustus järgida ka IKÜM artiklis 5 sätestatud põhimõtteid, sh lg 1 punktis a, b, c sätestatut:
• töötlemine on seaduslik, õiglane ja isikule läbipaistev;
• eesmärgi piirang – isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel;
• võimalikult väheste andmete kogumine – isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt.
Kohustuste täitmist peab tõendama vastutav töötleja IKÜM artikkel 5 lg 2 alusel.
Isikuandmeid võib töödelda vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks ning seejuures peab tagama, et andmete töötlemise eesmärk riivaks võimalikult vähe inimese põhiõigusi.
Andmetöötlejal tuleb eelnevalt alati hinnata, kas andmete töötlemine (sh avalikustamine) on eesmärgi täitmiseks vältimatult vajalik või on eesmärgi täitmisel võimalik piirduda vähem riivavamate meetmetega.
Lisaks tuleb isikuandmete töötlemisel seoses võlasuhte rikkumisega arvestada ka IKS §-ga 10. IKS § 10 lg 1 tuleneb järgnev: „Võlasuhte rikkumisega seotud isikuandmete edastamine kolmandale isikule ja edastatud andmete töötlemine kolmanda isiku poolt on lubatud andmesubjekti krediidivõimelisuse hindamise eesmärgil või muul samasugusel eesmärgil ning üksnes juhul, kui vastutav või volitatud töötleja on kontrollinud edastatavate andmete õigsust ja õiguslikku alust isikuandmete edastamiseks ning on registreerinud andmeedastuse.“
Lähtuvalt eeltoodust on keelatud avalikustada võlglaste andmeid võrgulehel ning andmete edastamine on lubatud üksnes juhul, kui on täidetud IKS § 10 lg 1 sätestatud tingimused. Lisaks tuleb arvestada enne andmete edastamist ka IKS § 10 lg 2, milles on sätestatud tingimused, mis keelavad andmete edastamise.
Kuna reisikorraldaja ei arvestanud võlaandmete töötlemisel eeltoodud nõuetega, rikkus ta võlaandmete avalikustamisel isikuandmete kaitse seaduse ja üldmääruse nõudeid. Inspektsiooni menetlusotsus kohustas eemaldada võrgulehelt võlasuhte rikkumisega seotud isikuandmed.