Vastus pöördumisele

1

Geili Keppi

Teema: FW: Palun AKI arvamust

From: Geili Keppi Sent: Friday, September 6, 2024 4:31 PM To: 'Kairit Matto' <[email protected]> Subject: RE: Palun AKI arvamust Tere, Kairit! Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles küsite AKI arvamust õigustatud huvi alusel uppumise tuvastamise süsteemi kasutusele võtmise kohta. Esmalt selgitan, et isikuandmete kaitse seaduse (IKS) § 56 lg 1 kohaselt on AKI pädevuseks isikuandmete kaitse üldmääruses, IKS-s ning muudes seadustes isikuandmete töötlemisele kehtestatud nõuete täitmise üle riikliku ja haldusjärelevalve läbiviimine. AKI ei ole seega pädev osutama õigusnõustamist ega andma väljaspool järelevalvemenetlusi kinnitusi andmetöötlejate tegevuse õiguspärasusele. Inspektsioon ei saa anda lõplikku hinnangut sellel, kas Teie poolt edastatud analüüs, jälgimisseadmestiku kasutamise kord ja andmekaitsetingimused on kaetud vajaliku sisuga ja kas neile võib tugineda. Lisaks vajaksid täpsustamist veel mitmed, sh tehnilised nüansid. Siiski saame selgitada üldiselt järgmisi andmekaitse vaatest olulisi aspekte. Õigustatud huvi analüüs Olete edastanud inspektsioonile kaamerate ning uppumise tuvastamise süsteemi õigustatud huvi analüüsi. Nii tavapäraste valvekaamerate kui ka uppumist tuvastava süsteemi puhul on õigustatud huvi analüüs viidud läbi ühe analüüsina. Seega tuginete nende andmetöötluste puhul isikuandmete kaitse üldmääruse (IKÜM) art 6 lg 1 punktile f. IKÜM art 6 lg 1 punktis f on ettenähtud kolm tingimust, mis kõik peavad olema täidetud, et isikuandmete töötlemine oleks lubatud:

- vastutaval töötlejal või kolmandatel isikutel on andmetöötluseks õigustatud huvi;

- isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;

- vastutava töötleja ja/või kolmanda isiku õigustatud huvid kaaluvad üles kaitstava andmesubjekti huvid, põhiõigused ja -vabadused.

Nimetatud õigusliku aluse kasutamise võimalikkuse ning hindamise võibki jagada piltlikult kolmeastmeliseks ehk esiteks isikuandmete töötleja või kolmandate isikute õigustatud huvid ja nende kaalukus, teiseks andmesubjekti õigused, huvid ja kaalukus ning kolmandaks vastanduvate huvide kaalumine, sh esialgne hinnang ja vajadusel täiendavad kaitsemeetmed ning lõplik hinnang. See, kui andmetöötlejal on õigustatud huvi isikuandmete töötlemiseks, ei tähenda automaatselt, et andmetöötlejal oleks võimalik tugineda IKÜM art 6 lg 1 punktile f. Vastutava töötleja huvi õigustatus on vaid lähtepunkt ehk üks elementidest, mida tuleb analüüsida ning see, kas õigustatud huvi alusele saab tugineda, sõltubki tasakaalustamise tulemusest.

2

Selleks, et aru saada, kas IKÜM art 6 lg 1 punkt f alusel on võimalik isikuandmeid töödelda, tuleb tõendada, kas ja milline on ettevõtte õigustatud huvi. Õigustatud huvid peavad olema sõnastatud piisavalt selgelt. Selleks on vaja reaalset ja hetkel esinevat huvi – midagi, mis on seotud parasjagu toimuva tegevuse või kasuga, mida eeldatakse saada lähitulevikus. Mõndade välja toodud ohtude ja huvide osas ei ole hetkel selge kui reaalsed need on ning milliseid olukordi on näiteks päriselt veekeskuses olnud, et selliste ohtude realiseerumist kahtlustatakse. Siinkohal selgude huvides rõhutan, et inspektsioon mõistab vajadust ennetada uppumisi. Ehk, ei piisa huvidest, mis on liiga ebamäärased või spekulatiivsed. Kui õigustatud huvid ei ole piisavalt selgelt sõnastatud, ei ole võimalik nimetatud huvisid ka andmesubjekti huvide ja põhiõigustega tasakaalustada. Seega on oluline, et õigustatud huvi oleks kooskõlas kehtivate õigusaktidega, sõnastatud piisavalt selgelt (st piisavalt konkreetne) ning reaalne ja hetkel esinev. Selle hindamiseks on vaja selgelt määratleda ohud varale või isikutele, selgitada nende ohtude tõsidust ja realiseerumise tõenäosust ning analüüsida, kas sama eesmärki oleks võimalik saavutada ka alternatiivsete ja isikut vähem riivavamate meetoditega. Teiseks tuleb analüüsida, millised on võimalikud andmesubjekti (töötajad, kliendid, külalised või muud isikud, kes kaamera vaatevälja jäävad) huvid või põhiõigused ja - vabadused, mida võidakse isikuandmete töötlemisega kahjustada. Lisaks tuleb välja tuua ka positiivsed tagajärjed andmesubjekti õigustele ja huvidele. Kolmandaks tuleb tasakaalustada OÜ Tartu Veekeskuse õigustatud huvid andmesubjektide (kliendid, töötajad, muud vaatevälja jäävad isikud) huvide ja põhiõigustega. Seejuures võrreldakse isikuandmete töötlemisest (kogumisest, kasutamisest, säilitamisest) andmesubjektidele tekkida võivat mõju vastutava töötleja õigustatud huvidega ning hinnatakse, kas ja millises ulatuses vastutava töötleja õigustatud huvi kaalub andmesubjektide huvid üles. Lisaks tuleb analüüsida, milliseid kaitsemeetmeid peaks kasutama, et riive isikute põhiõigustele ja -vabadustele saaks vähendada. Hetkel pole näiteks analüüsis põhjalikumalt välja toodud seda, kuidas tagatakse, et töötajate õigustele ei teki ülemäärast riivet. Olukorras, kus tööandja jälgib või on teoreetiliselt kasvõi võimalus jälgida terve tööaja oma töötajaid, on tegemist väga suure töötaja õiguste riivega. Seetõttu peavad ka turvakaamerate vaateväljad olema suunatud konkreetsetele ohukohtadele ja turvariskidele.

Salvestiste säilitamine

Samamoodi vähendab riivet isikutele ja on kooskõlas isikuandmete kaitse üldmääruse põhimõtetega see kui sikuandmeid säilitatakse minimaalselt. Säilitada võib vaid kuni kaamera kasutamise eesmärgi täitumiseni, st peab olema põhjendatud miks on vaja salvestist just see konkreetne periood säilitada. Euroopa Andmekaitsenõukogu on oma suunistes 3/2019 isikuandmete töötlemise kohta videoseadmetes välja toonud järgneva: „Isikuandmeid ei tohi säilitada kauem, kui on vajalik eesmärkidel, milleks neid töödeldakse (isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktid c ja e). /…/ Seda, kas isikuandmeid on vaja säilitada, tuleks kontrollida lühikese aja jooksul. Üldjuhul on videovalve õiguspärased eesmärgid sageli vara kaitse või tõendite säilitamine. Tekkinud kahju saab tavaliselt kindlaks teha ühe või kahe päeva jooksul. /…/ Võttes arvesse isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktides c ja e sätestatud põhimõtteid, nimelt võimalikult väheste andmete kogumist ja säilitamise piirangut, tuleks isikuandmed enamikul juhtudel (nt vandalismi avastamiseks) kustutada – ideaaljuhul automaatselt – mõne päeva pärast. Mida pikem on ettenähtud säilitamisaeg (eriti kui see on pikem kui 72 tundi), seda rohkem tuleb põhjendada eesmärgi õiguspärasust ja säilitamise vajalikkust. Hetkel on õigustatud huvi analüüs välja toodud, et salvestusi säilitatakse kuni 30 kalendripäeva. Mida suurem on säilitamise tähtaeg, seda rohkem tuleb selle vajadust põhjendada. Määrata tuleks ka konkreetsed säilitustähtajad. Hetkel on mitmel pool kasutatud sõna „kuni“.

3

Jälgimisseadmestiku kasutamise kord Olete edastanud ka jälgimisseadmestiku kasutamise korra, mis kehtib alates 16.07.2024. Korra kohaselt selles kindlaks määramata küsimustes lähtutakse veekeskuse andmekaitse tingimustest. Andmekaitsetingimuste kohaselt säilitatakse kaamerate salvestisi maksimaalselt 45 kalendripäeva. Seega pole lõpuni arusaadav, kui kaua tegelikult salvestisi säilitatakse. Lisaks ei ole tegemist jällegi ka konkreetse säilitustähtajaga. Andmekaitsetingimustes pole üldse käsitletud ka uppumissüsteemi kasutamise osa (juhul kui need on juba kasutuses). Seoses andmekaitsetingimustega selgitan veel, et et IKÜM artikli 5 lõike 1 punkti a kohaselt peab andmetöötlus olema isikutele mh läbipaistev, mis tähendabki, et koostatud ja avaldatud peavad olema andmekaitsetingimused. IKÜM artikkel 12 reguleerib läbipaistvuse tagamise korda. IKÜM artiklites 13-14 on välja toodud teave, mis peab olema andmekaitsetingimustes kajastatud. Artikli 12 lõike 1 järgi võtab vastutav töötleja (veekeskus) asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt. Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmekaitsetingimustes toodud teave, sh töödeldavate isikuandmete loetelu ning töötlemise eesmärk ja õiguslik alus peab olema isikule selge ja arusaadav. Hetkel ei ole jälgimisseadmete puhul õiguslikku alust välja toodud. Samamoodi on hetkel õigustatud huvi analüüsist lõpuni keeruline aru saada, kas ka nö tavapäraseid valvekaameraid kasutatakse reaalajas jälgimiseks või mitte. Analüüsi punktis 1.3 on öeldud, et veekeskuse territooriumile paigaldatud kaameratega ei toimu reaalajas jälgimist. Üldaladele paigutatud kaamerapilti kasutatakse ainult tagantjärele juhtumi tuvastamiseks, samas on aga analüüsi punktis. 3.2 öeldud, et videovalve võimaldab jälgida konkreetseid ohualasid reaalajas ning sekkuda kohe kui on näha, et oht võib realiseeruda. Hetkel ei ole ka inspektsioonile ka aru saada, millistes ruumides kaameraid kasutatakse ning millised on nende vaateväljad. Tähtis on, et dokumentatsioon oleks kooskõlas reaalse andmetöötlusega. Mõistame ka veekeskuse vajadust enda kliente kaitsta, kuid kuna teema on keeruline ja nüansirikas, siis selguse huvides oleks vaja selgitada veel teenuspakkuja poolt toimuvat andmetöötlust. Lisaks ei selgu pöördumisest kas olete teenusepakkujaga ka lisaks sõlminud andmetöötluslepingu ning kas olete läbi viinud andmekaitsealase mõjuhinnangu.

Seetõttu pakuksin Teile välja võimaluse korraldada üks kohtumine, kus saaksime kõiki siin välja toodud ja teisi küsimusi arutada. Esialgu saaksin pakkuda välja mõne aja ülejärgmisel nädalala (17.- 20. september). Kohtumine võib toimuda nii inspektsiooni kontoris Tallinnas (Tatari 39) kui ka veebikohtumisena. Kui pakkumine Teile sobib, siis saame aja ja kuupäeva osas juba täpsemalt kokku leppida.

Lugupidamisega

Geili Keppi Jurist

4

[email protected] + 372 6274141 ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST Tatari 39 | 10134 Tallinn | Eesti LinkedIn I Youtube