| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/996-2 |
| Registreeritud | 08.05.2024 |
| Sünkroonitud | 09.05.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tallinna Farmaatsiatehase AS |
| Saabumis/saatmisviis | Tallinna Farmaatsiatehase AS |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39, 10134 Tallinn Telefon 627 4135
Registrikood 70004235 E-post [email protected] www.aki.ee
Lp Maris Raju
Tallinna Farmaatsiatehase AS
Teie 05.04.2024 nr Meie 08.05.2024 nr 2.2-9/24/996-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles kirjutate: Pöördume Teie poole täpsustava küsimustega, korrektseks töötajate isikuandmete töötlemiseks tagamiseks. Ettevõtte omanikfirma, mis asub Lätis, soovib kasutusele võtta personalihaldustarkvara, mille eesmärk on tööprotsesside lihtsustamine ning ettevõtte digitaalne areng. Tegemist on rahvusvahelise kontserniga, kus nii emaettevõte kui tütarettevõte (meie) on eraldiseisvad aktsiaseltsid, seega töötajate mõistes ei ole emaettevõte töösuhte järgi siduv. Programmi kasutamine näeks välja nii, et Eestis asuv tütarettevõte kasutab programmi, kuid emaettevõtte töötajad (IT ja personaliosakond ca 6-10 inimest) saavad samuti andmeid töödelda. Programmi kasutamiseks on vajalik edastada alljärgnevad töötjate isiklikud andmed: Isikukood, Sünniaeg, telefoninumber (isiklik, töötajate puhul, kellel puudub tööandja telefoninumber, e-mail (isiklik, töötajate puhul, kellel puudub tööandja e-mail), Töötasu. Soovime, et programmi kasutusele võtt ei riiva ühegi töötaja õigusi, samas võimaldaks meil digiarengust osa saada. Kas on piisav kui ettevõttel on emaettevõttega sõlmitud andmete kaitset tagav leping või on eraldi vajalik küsida nõusolek ka töötajalt?
Isikuandmete kaitse nõuded Eestis on sätestatud peamiselt Euroopa Parlamendi ja Nõukogu
määruses (EL) 2016/679 (IKÜM) ning isikuandmete kaitse seaduses.
Isikuandmete kaitse üldmääruse (IKÜM) art 5 lg 1 p a sätestab, et isikuandmete töötlemine peab
olema seaduslik ja andmesubjektile läbipaistev; samuti tohib isikuandmeid koguda üksnes
kindlaksmääratud õiguspärastel eesmärkidel (art 5 lg 1 p b) ning koguda tuleb eesmärgi
seisukohalt võimalikult vähe andmeid (art 5 lg 1 p c). Seda, millisel õiguslikul alusel ja
eesmärgil andmetöötlust läbi viiakse, peab IKÜM art 5 lg 2 kohaselt selgitama ja tõendama
andmetöötleja ehk Teie ise. Kui õiguslik alus puudub, siis andmeid töödelda ei tohi.
Etteruttavalt saame selgitada, et nõusoleku alusel töötlemisest saab töösuhtes rääkida ainult
juhul, kui töötaja on ka tegelikult vaba oma valikutes ning tal on igal hetkel tegelikult võimalus
oma nõusolek tagasi võtta. Seega IKÜM artikkel 6 lg 1 p-st a lähtudes saaks nõusoleku ealusel
töötlemine kõne alla vaid juhul, kui nõusoleku tagasivõtmise järgselt on töötlemine võimalik ka
tegelikult ära lõpetada. Töösuhetes üldjuhul nõusolek õiguslikuks aluseks siiski olla ei saa, sest
tööandja on suhtes töötajaga jõupositsioonil ning nõusolek ei pruugi olla vabatahtlik, mistõttu
peab andmetöötluseks eelduslikult olema muu alus.
Märgime, et vastutav töötleja peab isikuandmete töötlemisel järgima IKÜM artiklis 5 lõikes 1
sätestatud põhimõtteid, vastutama nende põhimõtete täitmise eest ja olema võimeline nende
täitmist tõendama (IKÜM artikkel 5 lg 2). Eelviidatud põhimõtete juurde kuulub ka vastutava
töötleja kohustus töödelda isikuandmeid viisil, mis tagab isikuandmete asjakohase turvalisuse,
sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise
2 (2)
või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid
(„usaldusväärsus ja konfidentsiaalsus“, IKÜM art 5 lg 1 p f).
Isikuandmete töötlemisel (sh säilitamisel) peab eelkõige jälgima kõige tavapärasemaid
turvameetmeid. Näiteks tuleb teha nii, et andmed ei jõuaks õigustamata isikute kätte (igasugused
andmelekked, mis tulenevad ebapiisava turvalisega süsteemidest, õigustamata edastamised vms).
Seda, millist konkreetset andmebaasi või arvutitarkvara ettevõte kasutab, on siiski
ettevõtte enda valida. Teadma peab, et vastutus võimalike andmekaitseliste rikkumiste
puhul lasub eelkõige vastutaval andmetöötlejal, mistõttu tasub oma tegevused alati läbi
kaaluda (sh millist andmebaasi või süsteemi kasutada, kas ning milliseid andmeid on üldse
vaja koguda- minimaalsuse põhimõte).
Ettevõttel on oluline teadvustada, et töötajal on õigus teada, kellele tema isikuandmeid
edastatakse (ettevõttevälised isikud, nt maksu- ja tolliamet, haigekassa) ning kes neid andmeid
veel töötleb (ettevõttesisesed isikud ning ettevõttega seotud isikud, nt raamatupidamisteenuse
osutaja), mistõttu tasub eeskirjad kirja panna ning töötajale tutvustada enne tema isikuandmete
töötlemist.
Soovitame kindlasti tutvuda Andmekaitse Inspektsiooni isikuandmete töötlemise üldjuhendiga,
kus on kirjas kõige olulisem, mida isikuandmete töötleja peab teadma. Samuti on antud juhul
oluline juhend isikuandmete töötlemisest töösuhetes.
Loodan, et minu selgitustest on abi.
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|