| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-5/23/2926-2 |
| Registreeritud | 28.11.2023 |
| Sünkroonitud | 21.05.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-5 Õigusaktide tõlgendamisega seonduvad selgitustaotlused, märgukirjad, kirjavahetus (01.03.2024 suletud - ümber tõstetud 2.2-9, 2.2-10 ja 2.3-8 sarjadesse) |
| Toimik | 2.1.-5/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Upgr8 OÜ |
| Saabumis/saatmisviis | Upgr8 OÜ |
| Vastutaja | Mari-Liis Uprus (Andmekaitse Inspektsioon) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Antti Adur
Juhatuse liige
Upgr8 OÜ
Meie 28.11.2023 nr 2.1.-5/23/2926-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja, milles on juhitud tähelepanu ettevõtte Upgr8 OÜ
(registrikood 16044755) Lasnamäe Centrumis aadressil Mustakivi tee 13, Tallinn asuva poe
tööruumidesse paigaldanud videovalve kaameratele. Märgukirja kohaselt ei vasta töötajate
isikuandmete kaameratega töötlemine isikuandmete kaitse üldmääruse1 (IKÜM) nõuetele.
Seetõttu juhime tähelepanu videovalve töökeskkonnas kasutamise nõuetele ning selgitame
andmekaitsenõudeid.
Andmekaitse Inspektsiooni selgitused
1. Isikuandmete töötlemise alused
Isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav
füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada2. Kaamerate abil on isik (eriti
töötaja) igal juhul tuvastatav. Seega on videovalve puhul tegemist isikuandmete töötlemisega,
mille osas tuleb järgida IKÜM-is sätestatud nõudeid.
Upgr8 OÜ kui isikuandmete, sh oma töötajate isikuandmete vastutav töötleja on kohustatud
järgima IKÜM art 5 lõikes 1 sätestatud põhimõtteid. Nende põhimõtete täitmise eest vastutab ja
peab olema võimeline nende täitmist tõendama vastutav töötleja ise3. Selles osas, mil andmetöötlus
ei vasta täielikult IKÜM artikkel 5 lõikes 1 sätestatud põhimõtetele, on andmetöötlus keelatud.
Kaamerate kasutamisel tuleb lähtuda muuhulgas järgnevatest isikuandmete töötlemise
põhimõtetest.
a. Seaduslikkus, õiglus ja läbipaistvus (IKÜM artikkel 5 lg 1 punkt a)
Igasugune isikuandmete töötlemine peab olema õiglane ja seaduslik ehk täielikult kooskõlas
IKÜM-i ja isikuandmete kaitse seadusega ning läbipaistev. Selleks peab kogu isikuandmete
töötlemisega seotud teave olema andmesubjektile, antud juhul töötajatele lihtsalt kättesaadav,
arusaadav ning selgelt sõnastatud. Andmesubjekte tuleb isikuandmete töötlemisest ka teavitada4.
1 Euroopa parlamendi ja nõukogu isikuandmete kaitse üldmäärus (EL) 2016/679. 2 IKÜM art 4 punkt 1. 3 IKÜM art 5 lõige 2. 4 IKÜM põhjenduspunkt 39.
2 (4)
Seda reguleerivad täpsemalt IKÜM artiklid 12-14. Kaamerate kasutamisel tuleb
andmesubjektidele teabe esitamisel lähtuda IKÜM artikkel 13 nõuetest.
b. Eesmärgi ja säilitamise piirang. Võimalikult väheste andmete kogumine (IKÜM
artikkel 5 lg 1 punktid b, c ja e)
Selleks, et hinnata, kas kaamerate kasutamine vastab eesmärgi piirangu ning võimalikult väheste
andmete kogumise põhimõttele, tuleb:
1) tuua välja kõik kaamerate kasutamise eesmärgid ja seda hästi konkreetselt;
2) hinnata, kas nimetatud eesmärkide täitmisel on kaamerate kasutamine vajalik või on selle
täitmiseks muid ja andmesubjekti vähem riivavamaid meetmeid.
Keelatud on töötajate jälgimine kaameratega terve tööaja vältel ning salvestisi ei või
kasutada töötajate töökohustuste või -distsipliini täitmise kontrollimiseks. Kaamerad tuleb
suunata konkreetsetele turvariskidele. Jälgimisseadmeid ei saa kasutada üldise viitega
võimalikele rikkumistele, mis ettevõtte territooriumil võivad aset leida. Iga turvarisk tuleks
määratleda eraldi ja detailselt, tuginedes reaalsetele ja tõestatavatele andmetele riski olemasolu ja
ulatuse kohta.
Kaamerate paigaldamise eesmärgiks aga ei saa olla ka töötajate reaalajas jälgimine. Oluline on ka
tagada töötajatele võimalus kaamera vaateväljast eemal olla, nt paigutada kaamerad selliselt, et
need ei rikuks töötaja privaatsust puhkeajal ega jälgiks töötaja tegevusi, mis ei ole seotud
tööprotsessiga.
Isikuandmete töötlemine tuleb lõpetada ja andmed kustutada või viia isikustamata kujule kohe kui
langeb ära õiguslik alus ja/või on täidetud eesmärgid, milleks neid koguti. Isikuandmete töötlemise
aeg peab piirduma rangelt minimaalsega. Selle tagamiseks, et isikuandmeid ei töödelda vajalikust
kauem, peab vastutav töötleja kindlaks määrama tähtajad isikuandmete kustutamiseks ning
perioodiliseks läbivaatamiseks5.
Euroopa Andmekaitsenõukogu6 seisukohal tuleb isikuandmed enamikul juhtudel (nt vandalismi
avastamiseks) kustutada – ideaaljuhul automaatselt – mõne päeva pärast. Mida pikem on
ettenähtud säilitamisaeg (eriti kui see on pikem kui 72 tundi), seda rohkem tuleb põhjendada
eesmärgi õiguspärasust ja säilitamise vajalikkust. Seega olukorras, kus eriseadusest ei tulene 72st
tunnist pikemat säilitamistähtaega, tuleb vastutaval töötlejal salvestiste pikema säilitamise tähtaja
vajadust selgelt ja arusaadavalt põhjendada.
c. Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse,
sh kaitseb loata või ebaseadusliku töötlemise eest (IKÜM artikkel 5 lg 1 punkt f)
Selleks, et oleks võimalik tagantjärgi kontrollida, kes, millal ja millist kaamerasalvestist on
vaadanud, peab olema loodud logimissüsteem. AKI hinnangul on logimine ainuke võimalik viis,
mis võimaldab kontrollida seda, et kaamera otsepilti või salvestisi ei oleks vaadatud
ebaseaduslikult, sh ilma põhjuseta.
2. Õigustatud huvi analüüs
Kui ettevõttele ei tule eriseadusest kaamerate paigaldamise/kasutamise kohustust, on võimalik
kaamerate kasutamisel tugineda üksnes IKÜM artikkel 6 lg 1 punktis f sätestatud alusele -
õigustatud huvile. See sätestab, et „isikuandmete töötlemine on seaduslik üksnes juhul, kui see on
vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise
huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta
isikuandmeid“.
5 IKÜM põhjenduspunkt 39. 6 Euroopa Andmekaitsenõukogu suunised 3/2019 isikuandmete töötlemise kohta videoseadmetes, lk 28 p 121.
3 (4)
Selleks, et õigustatud huvile saaks tugineda, peavad korraga olema täidetud kõik kolm tingimust:
- vastutaval töötlejal või andmeid saaval kolmandal isikul või kolmandatel isikutel on
andmetöötluseks õigustatud huvi;
- isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;
- vastutava töötleja ja/või kolmanda isiku õigustatud huvid kaaluvad üles kaitstava
andmesubjekti huvid, põhiõigused ja – vabadused.
Esiteks tuleb esmalt täpselt välja selgitada, kas ja millised on andmetöötleja enda konkreetsed
õigustatud huvid. Ennekõike on oluline, et õigustatud huvi oleks kooskõlas kehtivate
õigusaktidega, sõnastatud piisavalt selgelt (st piisavalt konkreetne) ning reaalne ja hetkel esinev
(st mitte spekulatiivne).
Teiseks tuleb analüüsida ja läbi mõelda, millised on võimalikud andmesubjekti huvid või
põhiõigused– ja vabadused, mida võidakse isikuandmete töötlemisega kahjustada.
Kolmandaks tuleb tasakaalustada andmetöötleja õigustatud huvid andmesubjekti huvide ja
põhiõigustega. Siinjuures võrreldakse isikuandmete töötlemisest (kogumisest, edastamisest,
avalikustamisest) andmesubjektile tekkida võivat mõju vastutava töötleja ja/või kolmanda isiku
õigustatud huvidega ning hinnatakse, kas ja millises ulatuses vastutava töötleja ja/või kolmanda
isiku õigustatud huvi kaalub andmesubjekti huvid üles. Rõhutame, et vastutava töötleja või
kolmanda isiku õigustatud huvid ei kaalu automaatselt üles kaitstavate andmesubjektide
põhiõiguste ja -vabadustega seotud huve.
Võimalus jälgida töötajaid terve tööaja vältel toob kaasa väga suure riive. Töötajal ei ole võimalik
teha ühtegi liigutust nii, et tema tegemisi ei oleks võimalik jälgida (v.a sanitaar– ja
puhkeruumides). See võib omakorda mõjutada töötaja vaimset heaolu. Seetõttu tuleb kaamerate
kasutamisel töökeskkonnas alati hoolikalt kõik aspektid läbi mõelda ja kaaluda, kas isikuandmete
töötlemisega tekitatav mõju andmesubjektidele on proportsionaalne taotletavate eesmärkide
suhtes.
Alati tuleb kaaluda, kus ja millal on videovalvemeetmed tingimata vajalikud ning kas eesmärki ei
ole võimalik mõistlikult saavutada töötajaid vähem häirivate meetmetega. Rõhutame, et
riietusruumis, wc-s ja duširuumis ei ole kaamerate kasutamine lubatud. 7
Õigustatud huvi analüüsiga peab olema võimalik tutvuda igal andmesubjektil (nii kliendil kui
töötajal). Kuidas õigustatud huvi täpselt hinnata, oleme selgitanud eraldi juhendis.
Juhul, kui andmetöötleja jätab õigustatud huvi analüüsi korrektselt tegemata (sh ei arvesta töötaja
õigustega), on kaamerate kasutamine keelatud ning tegemist on IKÜM nõuete rikkumisega.
4. Andmekaitsetingimused
Andmekaitsetingimustes tuleb kajastada muuhulgas järgnev (vt IKÜM artikkel 13 lõiked 1 ja 2):
- vastutava töötleja nimi ja tema kontaktandmed;
- isikuandmete töötlemise eesmärgid ja õiguslikud alused;
- kui isikuandmete töötlemine põhineb õigustatud huvil, siis teave vastutava töötleja
õigustatud huvide kohta;
- teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;
- isikuandmete säilitamise tähtaeg;
- teave andmesubjekti õiguse kohta taotleda: a) juurdepääsu teda puudutavatele
isikuandmetele (nii klientidel kui töötajatel on õigus saada enda kohta käivaid salvestisi);
b) isikuandmete kustutamist; c) isikuandmete töötlemise piiramist.
- teave õiguse kohta esitada vastuväide kaamerate kasutamise osas;
7 Euroopa Inimõiguste Kohtu 21. juuni 2012.a kohtuotsus kohtuasjas E.S v Rootsi, avaldus nr 5786/08.
4 (4)
- teave õiguste kohta esitada kaebus järelevalveasutusele.
Iga vastutav töötleja peab ise koostama enda äritegevusest lähtuvalt andmekaitsetingimused ning
kontrollima nende vastavust IKÜM artiklites 12-13 sätestatud nõuetele.
Andmekaitsetingimused tuleb koostada vastavalt tegelikule andmetöötlusele. Tingimused ei saa
piirduda näidetega, vaid loetelu peab olema lõplik. Sõnade „näiteks, eelkõige,
muuhulgas“ kasutamine ei ole lubatud. Kui andmetöötluse sisu või eesmärgid aja jooksul
muutuvad, siis tuleb andmekaitsetingimusi vastavalt sellele ka ajakohastada.
Töötajatel peab olema võimalik andmekaitsetingimustega ja õigustatud huvi analüüsiga igal ajal
tutvuda (nt puhkeruumis või asutuse siseses infosüsteemis).
Kokkuvõte
Palume Teil üle vaadata, kas isikuandmete töötlemise protsessi vastavad isikuandmete kaitse
üldmääruse nõuetele ning kui seda veel tehtud ei ole, tutvustada töötajatele ettevõttes isikuandmete
töötlemise korda (andmekaitsetingimusi, õigustatud huvi analüüsi) ning selgitada, kust saab
vajadusel teavet isikuandmete töötlemise kohta. Lisaks selgitada isikutele, kellel on kaamera
salvestistele juurdepääs isikuandmete töötlemise korda, sh ka kaamerate salvestiste vaatamise
lubatavust. AKI-le teadaolevalt on Upgr8 OÜ-l avatud esindus ka T1 kaubanduskeskuses, mistõttu
palume videovalve kasutamine ka seal üle vaadata ja nõuetega vastavusse viia.
Kuigi AKI käesolevale tähelepanu juhtimisele vastust ei oota, võib AKI igal ajal ette teatamata
kontrollida kaamerata kasutamise õiguspärasust ning õigustatud huvi analüüsi ja
andmekaitsetingimuste olemasolu, sh ka kaamerate salvestiste vaatamise logisid, ja vajadusel
rikkumise korral algatada ka järelevalvemenetluse.
Lugupidamisega
(allkirjastatud digitaalselt)
Mari-Liis Uprus
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Pöördumine | 31.07.2024 | 1 | 2.1.-5/24/2926-7 🔒 | Sissetulev kiri | aki | H.C.L |
| Vastus pöördumisele | 12.07.2024 | 3 | 2.1.-5/24/2926-6 🔒 | Väljaminev kiri | aki | H-C.L |
| Küsimus | 04.06.2024 | 1 | 2.1.-5/24/2926-5 🔒 | Sissetulev kiri | aki | H-C.L |
| Korduv pöördumine | 20.05.2024 | 1 | 2.1.-5/24/2926-4 🔒 | Sissetulev kiri | aki | Tööinspektsioon |
| Vastus märgukirjale | 28.11.2023 | 175 | 2.1.-5/23/2926-3 🔒 | Väljaminev kiri | aki | H-C.L |
| Märgukiri | 07.11.2023 | 196 | 2.1.-5/23/2926-1 🔒 | Sissetulev kiri | aki | Tööinspektsioon |