| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/24/1800-2 |
| Registreeritud | 26.08.2024 |
| Sünkroonitud | 27.08.2024 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Mari-Liis Uprus (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim III) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Aivar Roop
Pet Retail OÜ
Meie 26.08.2024 nr 2.2-10/24/1800-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja, milles on juhitud tähelepanu ettevõtte Pet
Retail OÜ (registrikood 12841510) Kohila tn 2, Tallinn ruumidesse paigaldanud videovalve
kaameratele. Märgukirja kohaselt ei vasta isikuandmete kaameratega töötlemine isikuandmete
kaitse üldmääruse1 (IKÜM) nõuetele.
Seetõttu juhime tähelepanu videovalve töökeskkonnas kasutamise nõuetele ning selgitame
andmekaitsenõudeid.
Andmekaitse Inspektsiooni selgitused
1. Isikuandmete töötlemise alused
Isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav
füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada2. Kaamerate abil on isik (eriti
töötaja) igal juhul tuvastatav. Seega on videovalve puhul tegemist isikuandmete töötlemisega,
mille osas tuleb järgida IKÜM-is sätestatud nõudeid.
Ettevõte kui isikuandmete, sh oma töötajate isikuandmete vastutav töötleja on kohustatud
järgima IKÜM art 5 lõikes 1 sätestatud põhimõtteid. Nende põhimõtete täitmise eest vastutab ja
peab olema võimeline nende täitmist tõendama vastutav töötleja ise3. Selles osas, mil
andmetöötlus ei vasta täielikult IKÜM artikkel 5 lõikes 1 sätestatud põhimõtetele, on
andmetöötlus keelatud.
Kaamerate kasutamisel tuleb lähtuda muuhulgas järgnevatest isikuandmete töötlemise
põhimõtetest.
a. Seaduslikkus, õiglus ja läbipaistvus (IKÜM artikkel 5 lg 1 punkt a)
Igasugune isikuandmete töötlemine peab olema õiglane ja seaduslik ehk täielikult kooskõlas
IKÜM-i ja isikuandmete kaitse seadusega ning läbipaistev. Selleks peab kogu isikuandmete
töötlemisega seotud teave olema andmesubjektile, antud juhul töötajatele lihtsalt kättesaadav,
arusaadav ning selgelt sõnastatud. Andmesubjekte tuleb isikuandmete töötlemisest ka teavitada4.
Seda reguleerivad täpsemalt IKÜM artiklid 12-14. Kaamerate kasutamisel tuleb
andmesubjektidele teabe esitamisel lähtuda IKÜM artikkel 13 nõuetest.
1 Euroopa parlamendi ja nõukogu isikuandmete kaitse üldmäärus (EL) 2016/679. 2 IKÜM art 4 punkt 1. 3 IKÜM art 5 lõige 2. 4 IKÜM põhjenduspunkt 39.
2 (4)
b. Eesmärgi ja säilitamise piirang. Võimalikult väheste andmete kogumine
(IKÜM artikkel 5 lg 1 punktid b, c ja e)
Selleks, et hinnata, kas kaamerate kasutamine vastab eesmärgi piirangu ning võimalikult väheste
andmete kogumise põhimõttele, tuleb:
1) tuua välja kõik kaamerate kasutamise eesmärgid ja seda hästi konkreetselt;
2) hinnata, kas nimetatud eesmärkide täitmisel on kaamerate kasutamine vajalik või on selle
täitmiseks muid ja andmesubjekti vähem riivavamaid meetmeid.
Keelatud on töötajate jälgimine kaameratega terve tööaja vältel ning salvestisi ei või
kasutada töötajate töökohustuste või -distsipliini täitmise kontrollimiseks. Kaamerad tuleb
suunata konkreetsetele turvariskidele. Jälgimisseadmeid ei saa kasutada üldise viitega
võimalikele rikkumistele, mis ettevõtte territooriumil võivad aset leida. Iga turvarisk tuleks
määratleda eraldi ja detailselt, tuginedes reaalsetele ja tõestatavatele andmetele riski olemasolu ja
ulatuse kohta.
Kaamerate paigaldamise eesmärgiks aga ei saa olla ka töötajate reaalajas jälgimine. Oluline on
ka tagada töötajatele võimalus kaamera vaateväljast eemal olla, nt paigutada kaamerad selliselt,
et need ei rikuks töötaja privaatsust puhkeajal ega jälgiks töötaja tegevusi, mis ei ole seotud
tööprotsessiga.
Isikuandmete töötlemine tuleb lõpetada ja andmed kustutada või viia isikustamata kujule kohe
kui langeb ära õiguslik alus ja/või on täidetud eesmärgid, milleks neid koguti. Isikuandmete
töötlemise aeg peab piirduma rangelt minimaalsega. Selle tagamiseks, et isikuandmeid ei
töödelda vajalikust kauem, peab vastutav töötleja kindlaks määrama tähtajad isikuandmete
kustutamiseks ning perioodiliseks läbivaatamiseks5.
Euroopa Andmekaitsenõukogu6 seisukohal tuleb isikuandmed enamikul juhtudel (nt vandalismi
avastamiseks) kustutada – ideaaljuhul automaatselt – mõne päeva pärast. Mida pikem on
ettenähtud säilitamisaeg (eriti kui see on pikem kui 72 tundi), seda rohkem tuleb põhjendada
eesmärgi õiguspärasust ja säilitamise vajalikkust. Seega olukorras, kus eriseadusest ei tulene 72st
tunnist pikemat säilitamistähtaega, tuleb vastutaval töötlejal salvestiste pikema säilitamise tähtaja
vajadust selgelt ja arusaadavalt põhjendada.
c. Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase
turvalisuse, sh kaitseb loata või ebaseadusliku töötlemise eest (IKÜM
artikkel 5 lg 1 punkt f)
Selleks, et oleks võimalik tagantjärgi kontrollida, kes, millal ja millist kaamerasalvestist on
vaadanud, peab olema loodud logimissüsteem. AKI hinnangul on logimine ainuke võimalik viis,
mis võimaldab kontrollida seda, et kaamera otsepilti või salvestisi ei oleks vaadatud
ebaseaduslikult, sh ilma põhjuseta.
2. Õigustatud huvi analüüs
Kui ettevõttele ei tule eriseadusest kaamerate paigaldamise/kasutamise kohustust, on võimalik
kaamerate kasutamisel tugineda üksnes IKÜM artikkel 6 lg 1 punktis f sätestatud alusele -
õigustatud huvile. See sätestab, et „isikuandmete töötlemine on seaduslik üksnes juhul, kui see
on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui
sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb
kaitsta isikuandmeid“.
Selleks, et õigustatud huvile saaks tugineda, peavad korraga olema täidetud kõik kolm tingimust:
- vastutaval töötlejal või andmeid saaval kolmandal isikul või kolmandatel isikutel on
andmetöötluseks õigustatud huvi;
5 IKÜM põhjenduspunkt 39. 6 Euroopa Andmekaitsenõukogu suunised 3/2019 isikuandmete töötlemise kohta videoseadmetes, lk 28 p 121.
3 (4)
- isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;
- vastutava töötleja ja/või kolmanda isiku õigustatud huvid kaaluvad üles kaitstava
andmesubjekti huvid, põhiõigused ja – vabadused.
Esiteks tuleb esmalt täpselt välja selgitada, kas ja millised on andmetöötleja enda konkreetsed
õigustatud huvid. Ennekõike on oluline, et õigustatud huvi oleks kooskõlas kehtivate
õigusaktidega, sõnastatud piisavalt selgelt (st piisavalt konkreetne) ning reaalne ja hetkel esinev
(st mitte spekulatiivne).
Teiseks tuleb analüüsida ja läbi mõelda, millised on võimalikud andmesubjekti huvid või
põhiõigused– ja vabadused, mida võidakse isikuandmete töötlemisega kahjustada.
Kolmandaks tuleb tasakaalustada andmetöötleja õigustatud huvid andmesubjekti huvide ja
põhiõigustega. Siinjuures võrreldakse isikuandmete töötlemisest (kogumisest, edastamisest,
avalikustamisest) andmesubjektile tekkida võivat mõju vastutava töötleja ja/või kolmanda isiku
õigustatud huvidega ning hinnatakse, kas ja millises ulatuses vastutava töötleja ja/või kolmanda
isiku õigustatud huvi kaalub andmesubjekti huvid üles. Rõhutame, et vastutava töötleja või
kolmanda isiku õigustatud huvid ei kaalu automaatselt üles kaitstavate andmesubjektide
põhiõiguste ja -vabadustega seotud huve.
Võimalus jälgida töötajaid terve tööaja vältel toob kaasa väga suure riive. Töötajal ei ole
võimalik teha ühtegi liigutust nii, et tema tegemisi ei oleks võimalik jälgida (v.a sanitaar– ja
puhkeruumides). See võib omakorda mõjutada töötaja vaimset heaolu. Seetõttu tuleb kaamerate
kasutamisel töökeskkonnas alati hoolikalt kõik aspektid läbi mõelda ja kaaluda, kas
isikuandmete töötlemisega tekitatav mõju andmesubjektidele on proportsionaalne taotletavate
eesmärkide suhtes.
Alati tuleb kaaluda, kus ja millal on videovalvemeetmed tingimata vajalikud ning kas eesmärki
ei ole võimalik mõistlikult saavutada töötajaid vähem häirivate meetmetega. Rõhutame, et
riietusruumis, wc-s ja duširuumis ei ole kaamerate kasutamine lubatud. 7
Õigustatud huvi analüüsiga peab olema võimalik tutvuda igal andmesubjektil (nii kliendil kui
töötajal). Kuidas õigustatud huvi täpselt hinnata, oleme selgitanud eraldi juhendis.
Juhul, kui andmetöötleja jätab õigustatud huvi analüüsi korrektselt tegemata (sh ei arvesta töötaja
õigustega), on kaamerate kasutamine keelatud ning tegemist on IKÜM nõuete rikkumisega.
3. Andmekaitsetingimused
Andmekaitsetingimustes tuleb kajastada muuhulgas järgnev (vt IKÜM artikkel 13 lõiked 1 ja 2):
- vastutava töötleja nimi ja tema kontaktandmed;
- isikuandmete töötlemise eesmärgid ja õiguslikud alused;
- kui isikuandmete töötlemine põhineb õigustatud huvil, siis teave vastutava töötleja
õigustatud huvide kohta;
- teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;
- isikuandmete säilitamise tähtaeg;
- teave andmesubjekti õiguse kohta taotleda: a) juurdepääsu teda puudutavatele
isikuandmetele (nii klientidel kui töötajatel on õigus saada enda kohta käivaid salvestisi);
b) isikuandmete kustutamist; c) isikuandmete töötlemise piiramist.
- teave õiguse kohta esitada vastuväide kaamerate kasutamise osas;
- teave õiguste kohta esitada kaebus järelevalveasutusele.
Iga vastutav töötleja peab ise koostama enda äritegevusest lähtuvalt andmekaitsetingimused ning
kontrollima nende vastavust IKÜM artiklites 12-13 sätestatud nõuetele.
7 Euroopa Inimõiguste Kohtu 21. juuni 2012.a kohtuotsus kohtuasjas E.S v Rootsi, avaldus nr 5786/08.
4 (4)
Andmekaitsetingimused tuleb koostada vastavalt tegelikule andmetöötlusele. Tingimused ei saa
piirduda näidetega, vaid loetelu peab olema lõplik. Sõnade „näiteks, eelkõige, muuhulgas“
kasutamine ei ole lubatud. Kui andmetöötluse sisu või eesmärgid aja jooksul muutuvad, siis tuleb
andmekaitsetingimusi vastavalt sellele ka ajakohastada.
Töötajatel peab olema võimalik andmekaitsetingimustega ja õigustatud huvi analüüsiga igal ajal
tutvuda (nt puhkeruumis või asutuse siseses infosüsteemis).
Kokkuvõte
Palume Teil üle vaadata, kas kaameratega isikuandmete töötlemise protsessid vastavad
isikuandmete kaitse üldmääruse nõuetele ning kui seda veel tehtud ei ole, tutvustada töötajatele
ettevõttes isikuandmete töötlemise korda (andmekaitsetingimusi, õigustatud huvi analüüsi) ning
selgitada, kust saab vajadusel teavet isikuandmete töötlemise kohta. Lisaks selgitada isikutele,
kellel on kaamera salvestistele juurdepääs isikuandmete töötlemise korda, sh ka kaamerate
salvestiste vaatamise lubatavust.
Kuigi AKI käesolevale tähelepanu juhtimisele vastust ei oota, võib AKI igal ajal ette teatamata
kontrollida kaamerata kasutamise õiguspärasust ning õigustatud huvi analüüsi ja
andmekaitsetingimuste olemasolu, sh ka kaamerate salvestiste vaatamise logisid, ja vajadusel
rikkumise korral algatada ka järelevalvemenetluse.
Lugupidamisega
(allkirjastatud digitaalselt)
Mari-Liis Uprus
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|