Läbimõeldud andmekaitseprotsess võib lihtsustada ja teha loogilisemaks ka muid äriprotsesse

KPMG Law vanemjurist Kadri Levand.Foto: Jake Farra

„Me küll alati ei mõtle sellele, aga isikuandmete töötlemine toimub pidevalt ja igaüks meist võib olla mingil hetkel ka ise andmete töötleja rollis. Näiteks ei tulda selle peale, et ka füüsiline isik võib saada andmetöötlejaks, kui ta väljaspool oma isiklikke eesmärke kellegi isikuandmeid töötleb ja siis kohalduvad talle samamoodi isikuandmete kaitse üldmääruse nõuded,“ toob välja advokaadibüroo KPMG Law vanemjurist Kadri Levand. Näiteks kui kogutud isiklikele kontaktidele saata oma uue ettevõtte reklaampakkumisi, siis ei saa enam öelda, et tegemist on enda eraelus andmete töötlemisega.

Tihtilugu kuulen lauseid, et andmekaitse on keeruline ja seadusega on kõik keelatud. Tegelikult on vastupidi, seadus annab erinevad load andmeid töödelda, aga sunnib ka oma andmetöötluse selgelt ja loogiliselt läbi mõtlema ning lahti kirjeldama.

Õigete õiguslike aluste ja muude tingimuste valik võib aga tõesti olla keeruline. Seetõttu oleks hea see ühiselt koos andmekaitseeksperdiga läbi mõelda. Läbimõeldud andmekaitseprotsess võib lihtsustada ja teha loogilisemaks ka muid äriprotsesse. Paratamatult võib selline andmekaitsealane hindamine tuua kaasa üleüldisi muudatusi. Samas on see suurepärane võimalus analüüsida ettevõtte vastavust andmekaitse reeglistikule ning andmekaitseeksperdi kaasamisel saada asjakohaseid soovitusi protsessi parendamiseks.

Soovituslik on pikemalt tegutsenud ettevõtetel teatud aja tagant kõik sellised küsimused uuesti läbi käia, rääkimata alustavatest ettevõtjatest, kellel see ongi hädavajalik, et läbi mõelda, miks ja kuidas nad midagi teevad. Ettevõtet luues ei teata sageli kõiki vajalikke isikuandmete töötlemise eesmärke ja tähtaegu, mille tarbeks isikuandmeid säilitama peaks. Samuti võivad andmekaitse seadused aja jooksul muutuda ja ettevõtte tegevuse regulaarne ülevaatamine ning analüüs peaks olema ettevõtja tavapärane rutiin.

Isikuandmete töötlemiseks on vaja õiguslikku alust

Igasuguseks isikuandmete töötlemiseks on seega vaja leida nö luba ehk selleks peab olema õiguslik alus. Peamised alused tulevad andmekaitse üldmääruse artiklist 6 ja muud lisaalused teistest seadustest.

Üks levinumaid aluseid on lepingu täitmine, kuna paljud kliendisuhted ja seejuures ka töösuhe on oma olemuselt lepingud ja toimub selle täitmine. Ärisuhetes on möödapääsmatu õiguslik alus ka õigustatud huvi. Näiteks kasutatakse õigustatud huvi turvakaamerate kasutamisel ja seetõttu peab olema selleks vajalik analüüs tehtud kõikide avalikes kohtades kasutatavate turvakaamerate puhul, seda nii suurel laohoonel kui ka korteriühistul jt.

Õiguslikest alustest kõige nõrgem alus on nõusolek ja selle najal ei peaks üksi äri püsima, ent seda kasutatakse ikkagi üsna tihti. Lisaks sellele, et nõusolekut saab iga kell tagasi võtta, ei tohi unustada, et isegi kui nõusolek on olemas, peab andmetöötlejal ka sellisel juhul olema tegelik andmetöötlemine vajalik ja põhjendatud. Seetõttu ei saa sellisel õiguslikul alusel teha andmekorjet ega niisama enda huvides andmeid kokku koguda ja teha nendega, mis pähe tuleb.

“Linnutamine” loob eksitava mulje

Üks peamine eksitav tegevus on ettevõtte andmekaitsetingimustes (privaatsuseeskirjas) teha kohustuslikuks isikule märkida linnuke, et ta on andmekaitsetingimustega nõus. Tegelikkuses ei sõltu isiku soovist siin midagi, vaid isikut on lihtsalt vaja teavitada, kuidas ettevõte tema isikuandmeid töötleb. Seega sellise nõusoleku võtmine võib lisaks tüütule „linnutamise“ kohustusele luua eksitava mulje nagu isik saaks midagi otsustada.

Samuti võetakse vahel nõusolek igaks juhuks lisaks, kuigi on juba olemas muu seaduslik alus. Näiteks kui andmetöötleja õiguslik alus on lepingu täitmine ja selle tagamine (IKÜM art 6 lg 1 p b), siis võetakse lisaks nõusolek, et kliendi andmeid võib töödelda. Tegelikkuses on lihtsalt oluline kliendi tahteavaldus astuda lepingulisse suhtesse ja isiku soov toob kaasa paratamatu isikuandmete töötlemise, sest muul juhul ei saagi lepingut täita.

Meeles peab pidama muidugi seda, et töödeldakse andmeid vaid selles mahus, mis on selle konkreetse lepingu täitmiseks möödapääsmatu. See tähendab, et nt ei saa lisada klauslit, et kogutakse ka nt kliendireitinguid, sest lepingut saab täita ka ilma nende andmete kogumiseta.

Tegelikkuses tekib isikuandmete osas tihtilugu mitu eesmärki ja õiguslikku alust. Näiteks mainitud kliendireitingu kogumise aluseks peaks olema eraldi õigustatud huvi alus, mis omakorda toob kaasa eelneva kohustuse analüüsida ja põhjendada, millised andmetöötleja ärilised huvid isikute privaatsuse üle kaaluvad.

Andmetöötleja saab kõige paremini enda jaoks kõik kaardistada oma andmetöötlusregistris. Selline register on töötleja enda töövahend, mis peab igal juhul olemas olema. See andmetöötleja tervikpilt ettevõttes toimuvatest andmetöötlustoimingutest on oma loomult pidevalt uuenev dokument.

Nõusoleku aluse kasutamine on teatud suhete mudelis suisa välistatud

Näiteks puudutab see ebavõrdses vahekorras olevaid suhteid nagu tööandja vs töötaja ja kool vs õpilane. Seda seetõttu, et nõusoleku üks põhitingimus on väga selge vabatahtlikkus, aga sellistes alluvussuhetes, kus üks pool on nõrgemas positsioonis, ei saa me rääkida päriselt vabast tahtest.

Seepärast ei saa tööandja korjata töötajate nõusolekuid, et neid töö ajal kaameratega jälgida ja öelda, et nad ise olid nõus. Ka ei olnud koroonaajal covidi tõendite korjamine koolis käimiseks õiguspärane.
Nõusoleku alusel saaks töösuhtes jagada töötajate lastele jõulupakke ehk vabal tahtel anda pakke neile, kes annavad teada, et neil on vastavas vanuses lapsed.

Nõusoleku alusel avaldatakse fotosid töötajate lõbusast jõulupeost, kui asutus tahab väljapoole näidata kui tore ja kokkuhoidev on nende tööpere. Eristama peaks aga sellist fotode avalikustamist, kus asutus kasutab oma esindustöötaja pilti ärisuhete edendamiseks. Teatud ametikohad toovad kaasa selle, et töötaja peab olema valmis enda näo ja pildiga esinemiseks. Siis tasub see juba välja tuua töösuhte kokkuleppes, et hiljem ei peaks mõtlema, mis alusel pilte avaldada.

Kui tahetakse oma töötajatest teha reklaami eesmärgil fotosid, siis tasub nendega (nagu iga teise modelliga) sõlmida leping, et ei tekiks olukorda, kus pärast töösuhte lõppemist ei saa enam reklaame kasutada.

Õigustatud huvide analüüsi koostamine ongi suur töö

Õigustatud huvide analüüsi koostamine paneb andmetöötleja kõike läbi mõtlema ja põhjendama. Seejuures üle vaatama varasemaid tegevusi ning analüüsima, miks isikuandmete töötlemine on vältimatu järgmine samm. Määrus ei anna ühtegi selget vastust, kas andmeid tohib või ei tohi töödelda, vaid kriteeriumid, mis tuleb läbi mõelda ja seejärel ise vastuseni jõuda.

Seega on andmekaitse tõepoolest üks palju mõtlema ja hindama sundiv valdkond. Aga samas nii vajalik igapäevaelu osa, sest me kõik tahame, et meie õigusi austatakse ja meie soovidega arvestatakse. Andmekaitse sõna taga on peidus tegelikult sellised olulised väärtused nagu usaldus ja maine.

Seega jõuame selleni, et just kauakestvad ja edukad ettevõtjad mõtlevad ka sellistele väärtustele ja nende kliendid on neile seetõttu lojaalsed. Ühiste väärtustega saame aga luua jätkusuutliku majanduse ja meie kõigi heaolu.

Märksõnad: , , , ,
Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Sisuturundus

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas spetsiaalne DigiPRO liikmetele tehtud uudiskiri, et sa midagi olulist maha ei magaks.