Tähelepanu juhtimine

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / info@aki.ee / www.aki.ee / registrikood 70004235

Lp Antti Adur

Juhatuse liige

Upgr8 OÜ

legal@upi.ee

Meie 28.11.2023 nr 2.1.-5/23/2926-2

Tähelepanu juhtimine

Andmekaitse Inspektsioon (AKI) sai märgukirja, milles on juhitud tähelepanu ettevõtte Upgr8 OÜ

(registrikood 16044755) Lasnamäe Centrumis aadressil Mustakivi tee 13, Tallinn asuva poe

tööruumidesse paigaldanud videovalve kaameratele. Märgukirja kohaselt ei vasta töötajate

isikuandmete kaameratega töötlemine isikuandmete kaitse üldmääruse1 (IKÜM) nõuetele.

Seetõttu juhime tähelepanu videovalve töökeskkonnas kasutamise nõuetele ning selgitame

andmekaitsenõudeid.

Andmekaitse Inspektsiooni selgitused

1. Isikuandmete töötlemise alused

Isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav

füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada2. Kaamerate abil on isik (eriti

töötaja) igal juhul tuvastatav. Seega on videovalve puhul tegemist isikuandmete töötlemisega,

mille osas tuleb järgida IKÜM-is sätestatud nõudeid.

Upgr8 OÜ kui isikuandmete, sh oma töötajate isikuandmete vastutav töötleja on kohustatud

järgima IKÜM art 5 lõikes 1 sätestatud põhimõtteid. Nende põhimõtete täitmise eest vastutab ja

peab olema võimeline nende täitmist tõendama vastutav töötleja ise3. Selles osas, mil andmetöötlus

ei vasta täielikult IKÜM artikkel 5 lõikes 1 sätestatud põhimõtetele, on andmetöötlus keelatud.

Kaamerate kasutamisel tuleb lähtuda muuhulgas järgnevatest isikuandmete töötlemise

põhimõtetest.

a. Seaduslikkus, õiglus ja läbipaistvus (IKÜM artikkel 5 lg 1 punkt a)

Igasugune isikuandmete töötlemine peab olema õiglane ja seaduslik ehk täielikult kooskõlas

IKÜM-i ja isikuandmete kaitse seadusega ning läbipaistev. Selleks peab kogu isikuandmete

töötlemisega seotud teave olema andmesubjektile, antud juhul töötajatele lihtsalt kättesaadav,

arusaadav ning selgelt sõnastatud. Andmesubjekte tuleb isikuandmete töötlemisest ka teavitada4.

1 Euroopa parlamendi ja nõukogu isikuandmete kaitse üldmäärus (EL) 2016/679. 2 IKÜM art 4 punkt 1. 3 IKÜM art 5 lõige 2. 4 IKÜM põhjenduspunkt 39.

2 (4)

Seda reguleerivad täpsemalt IKÜM artiklid 12-14. Kaamerate kasutamisel tuleb

andmesubjektidele teabe esitamisel lähtuda IKÜM artikkel 13 nõuetest.

b. Eesmärgi ja säilitamise piirang. Võimalikult väheste andmete kogumine (IKÜM

artikkel 5 lg 1 punktid b, c ja e)

Selleks, et hinnata, kas kaamerate kasutamine vastab eesmärgi piirangu ning võimalikult väheste

andmete kogumise põhimõttele, tuleb:

1) tuua välja kõik kaamerate kasutamise eesmärgid ja seda hästi konkreetselt;

2) hinnata, kas nimetatud eesmärkide täitmisel on kaamerate kasutamine vajalik või on selle

täitmiseks muid ja andmesubjekti vähem riivavamaid meetmeid.

Keelatud on töötajate jälgimine kaameratega terve tööaja vältel ning salvestisi ei või

kasutada töötajate töökohustuste või -distsipliini täitmise kontrollimiseks. Kaamerad tuleb

suunata konkreetsetele turvariskidele. Jälgimisseadmeid ei saa kasutada üldise viitega

võimalikele rikkumistele, mis ettevõtte territooriumil võivad aset leida. Iga turvarisk tuleks

määratleda eraldi ja detailselt, tuginedes reaalsetele ja tõestatavatele andmetele riski olemasolu ja

ulatuse kohta.

Kaamerate paigaldamise eesmärgiks aga ei saa olla ka töötajate reaalajas jälgimine. Oluline on ka

tagada töötajatele võimalus kaamera vaateväljast eemal olla, nt paigutada kaamerad selliselt, et

need ei rikuks töötaja privaatsust puhkeajal ega jälgiks töötaja tegevusi, mis ei ole seotud

tööprotsessiga.

Isikuandmete töötlemine tuleb lõpetada ja andmed kustutada või viia isikustamata kujule kohe kui

langeb ära õiguslik alus ja/või on täidetud eesmärgid, milleks neid koguti. Isikuandmete töötlemise

aeg peab piirduma rangelt minimaalsega. Selle tagamiseks, et isikuandmeid ei töödelda vajalikust

kauem, peab vastutav töötleja kindlaks määrama tähtajad isikuandmete kustutamiseks ning

perioodiliseks läbivaatamiseks5.

Euroopa Andmekaitsenõukogu6 seisukohal tuleb isikuandmed enamikul juhtudel (nt vandalismi

avastamiseks) kustutada – ideaaljuhul automaatselt – mõne päeva pärast. Mida pikem on

ettenähtud säilitamisaeg (eriti kui see on pikem kui 72 tundi), seda rohkem tuleb põhjendada

eesmärgi õiguspärasust ja säilitamise vajalikkust. Seega olukorras, kus eriseadusest ei tulene 72st

tunnist pikemat säilitamistähtaega, tuleb vastutaval töötlejal salvestiste pikema säilitamise tähtaja

vajadust selgelt ja arusaadavalt põhjendada.

c. Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse,

sh kaitseb loata või ebaseadusliku töötlemise eest (IKÜM artikkel 5 lg 1 punkt f)

Selleks, et oleks võimalik tagantjärgi kontrollida, kes, millal ja millist kaamerasalvestist on

vaadanud, peab olema loodud logimissüsteem. AKI hinnangul on logimine ainuke võimalik viis,

mis võimaldab kontrollida seda, et kaamera otsepilti või salvestisi ei oleks vaadatud

ebaseaduslikult, sh ilma põhjuseta.

2. Õigustatud huvi analüüs

Kui ettevõttele ei tule eriseadusest kaamerate paigaldamise/kasutamise kohustust, on võimalik

kaamerate kasutamisel tugineda üksnes IKÜM artikkel 6 lg 1 punktis f sätestatud alusele -

õigustatud huvile. See sätestab, et „isikuandmete töötlemine on seaduslik üksnes juhul, kui see on

vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise

huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta

isikuandmeid“.

5 IKÜM põhjenduspunkt 39. 6 Euroopa Andmekaitsenõukogu suunised 3/2019 isikuandmete töötlemise kohta videoseadmetes, lk 28 p 121.

3 (4)

Selleks, et õigustatud huvile saaks tugineda, peavad korraga olema täidetud kõik kolm tingimust:

- vastutaval töötlejal või andmeid saaval kolmandal isikul või kolmandatel isikutel on

andmetöötluseks õigustatud huvi;

- isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;

- vastutava töötleja ja/või kolmanda isiku õigustatud huvid kaaluvad üles kaitstava

andmesubjekti huvid, põhiõigused ja – vabadused.

Esiteks tuleb esmalt täpselt välja selgitada, kas ja millised on andmetöötleja enda konkreetsed

õigustatud huvid. Ennekõike on oluline, et õigustatud huvi oleks kooskõlas kehtivate

õigusaktidega, sõnastatud piisavalt selgelt (st piisavalt konkreetne) ning reaalne ja hetkel esinev

(st mitte spekulatiivne).

Teiseks tuleb analüüsida ja läbi mõelda, millised on võimalikud andmesubjekti huvid või

põhiõigused– ja vabadused, mida võidakse isikuandmete töötlemisega kahjustada.

Kolmandaks tuleb tasakaalustada andmetöötleja õigustatud huvid andmesubjekti huvide ja

põhiõigustega. Siinjuures võrreldakse isikuandmete töötlemisest (kogumisest, edastamisest,

avalikustamisest) andmesubjektile tekkida võivat mõju vastutava töötleja ja/või kolmanda isiku

õigustatud huvidega ning hinnatakse, kas ja millises ulatuses vastutava töötleja ja/või kolmanda

isiku õigustatud huvi kaalub andmesubjekti huvid üles. Rõhutame, et vastutava töötleja või

kolmanda isiku õigustatud huvid ei kaalu automaatselt üles kaitstavate andmesubjektide

põhiõiguste ja -vabadustega seotud huve.

Võimalus jälgida töötajaid terve tööaja vältel toob kaasa väga suure riive. Töötajal ei ole võimalik

teha ühtegi liigutust nii, et tema tegemisi ei oleks võimalik jälgida (v.a sanitaar– ja

puhkeruumides). See võib omakorda mõjutada töötaja vaimset heaolu. Seetõttu tuleb kaamerate

kasutamisel töökeskkonnas alati hoolikalt kõik aspektid läbi mõelda ja kaaluda, kas isikuandmete

töötlemisega tekitatav mõju andmesubjektidele on proportsionaalne taotletavate eesmärkide

suhtes.

Alati tuleb kaaluda, kus ja millal on videovalvemeetmed tingimata vajalikud ning kas eesmärki ei

ole võimalik mõistlikult saavutada töötajaid vähem häirivate meetmetega. Rõhutame, et

riietusruumis, wc-s ja duširuumis ei ole kaamerate kasutamine lubatud. 7

Õigustatud huvi analüüsiga peab olema võimalik tutvuda igal andmesubjektil (nii kliendil kui

töötajal). Kuidas õigustatud huvi täpselt hinnata, oleme selgitanud eraldi juhendis.

Juhul, kui andmetöötleja jätab õigustatud huvi analüüsi korrektselt tegemata (sh ei arvesta töötaja

õigustega), on kaamerate kasutamine keelatud ning tegemist on IKÜM nõuete rikkumisega.

4. Andmekaitsetingimused

Andmekaitsetingimustes tuleb kajastada muuhulgas järgnev (vt IKÜM artikkel 13 lõiked 1 ja 2):

- vastutava töötleja nimi ja tema kontaktandmed;

- isikuandmete töötlemise eesmärgid ja õiguslikud alused;

- kui isikuandmete töötlemine põhineb õigustatud huvil, siis teave vastutava töötleja

õigustatud huvide kohta;

- teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

- isikuandmete säilitamise tähtaeg;

- teave andmesubjekti õiguse kohta taotleda: a) juurdepääsu teda puudutavatele

isikuandmetele (nii klientidel kui töötajatel on õigus saada enda kohta käivaid salvestisi);

b) isikuandmete kustutamist; c) isikuandmete töötlemise piiramist.

- teave õiguse kohta esitada vastuväide kaamerate kasutamise osas;

7 Euroopa Inimõiguste Kohtu 21. juuni 2012.a kohtuotsus kohtuasjas E.S v Rootsi, avaldus nr 5786/08.

4 (4)

- teave õiguste kohta esitada kaebus järelevalveasutusele.

Iga vastutav töötleja peab ise koostama enda äritegevusest lähtuvalt andmekaitsetingimused ning

kontrollima nende vastavust IKÜM artiklites 12-13 sätestatud nõuetele.

Andmekaitsetingimused tuleb koostada vastavalt tegelikule andmetöötlusele. Tingimused ei saa

piirduda näidetega, vaid loetelu peab olema lõplik. Sõnade „näiteks, eelkõige,

muuhulgas“ kasutamine ei ole lubatud. Kui andmetöötluse sisu või eesmärgid aja jooksul

muutuvad, siis tuleb andmekaitsetingimusi vastavalt sellele ka ajakohastada.

Töötajatel peab olema võimalik andmekaitsetingimustega ja õigustatud huvi analüüsiga igal ajal

tutvuda (nt puhkeruumis või asutuse siseses infosüsteemis).

Kokkuvõte

Palume Teil üle vaadata, kas isikuandmete töötlemise protsessi vastavad isikuandmete kaitse

üldmääruse nõuetele ning kui seda veel tehtud ei ole, tutvustada töötajatele ettevõttes isikuandmete

töötlemise korda (andmekaitsetingimusi, õigustatud huvi analüüsi) ning selgitada, kust saab

vajadusel teavet isikuandmete töötlemise kohta. Lisaks selgitada isikutele, kellel on kaamera

salvestistele juurdepääs isikuandmete töötlemise korda, sh ka kaamerate salvestiste vaatamise

lubatavust. AKI-le teadaolevalt on Upgr8 OÜ-l avatud esindus ka T1 kaubanduskeskuses, mistõttu

palume videovalve kasutamine ka seal üle vaadata ja nõuetega vastavusse viia.

Kuigi AKI käesolevale tähelepanu juhtimisele vastust ei oota, võib AKI igal ajal ette teatamata

kontrollida kaamerata kasutamise õiguspärasust ning õigustatud huvi analüüsi ja

andmekaitsetingimuste olemasolu, sh ka kaamerate salvestiste vaatamise logisid, ja vajadusel

rikkumise korral algatada ka järelevalvemenetluse.

Lugupidamisega

(allkirjastatud digitaalselt)

Mari-Liis Uprus

jurist

peadirektori volitusel