Tähelepanu juhtimine

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp Maidu Laht

Pärnu Spordikeskus

[email protected]

Lp Roland Šimanis

Andmekaitsespetsialist

[email protected]

Meie 10.09.2024 nr 2.2-10/24/2003-2

Tähelepanu juhtimine

Andmekaitse Inspektsioon (AKI) sai märgukirja, mille kohaselt ei vasta Pärnu Spordikeskuses

töötajate isikuandmete töötlemine isikuandmete kaitse üldmääruse1 nõuetele, mh on töötajad

koolitamata, koostamata on andmekaitsetingimused ja andmetöötlusregister, reguleerimata või

kohaldamata kaamerate kasutamise ja töötajate ligipääsusid puudutavad nõuded.

Seetõttu juhime tähelepanu isikuandmete kaitse nõuete täitmise vajadusele ettevõttes ja

töökeskkonnas ning selgitame andmekaitsenõudeid.

Andmekaitse Inspektsiooni selgitused

Esmalt selgitan, et igasuguseks isikuandmete töötlemiseks peab olema õiguslik alus kas isiku

nõusolek või muu seadusest tulenev alus (isikuandmete kaitse üldmääruse (IKÜM) artiklid 5 ja 6).

Pärnu Spordikeskus, kui oma töötajate isikuandmete vastutav töötleja, peab isikuandmete

töötlemisel järgima IKÜM artiklis 5 lõikes 1 sätestatud põhimõtteid, vastutama nende põhimõtete

täitmise eest ja olema võimeline nende täitmist tõendama (IKÜM artikkel 5 lg 2). Nii nagu iga

andmetöötluse puhul, siis peab ka asutusesiseselt isikuandmeid töödeldes piirduma see rangelt

minimaalse ja vajalikuga. Asutusesisese andmete töötlemise reeglid (nt ametijuhendites,

sisekorraeeskirjades vms) ja ligipääsud peab kehtestama iga andmetöötleja ise, seejuures lähtudes

isikute tööülesannete vajadusetest. Tähtis on, et kõik töötajad oleks reeglitest ja kordadest

teadlikud ning et vajaduse korral suudaks asutus tõendada, et on teinud endast oleneva selleks, et

tagada andmete konfidentsiaalsus ja minimaalne ning eesmärgipärane töötlemine.

Eelviidatud põhimõtete juurde kuulub ka vastutava töötleja kohustus töödelda isikuandmeid viisil,

mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku

töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades

asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“,

IKÜM art 5 lg 1 p f).

Isikuandmete töötlemisülevaade

Üldmääruse üks läbivaid põhimõtteid on andmetöötleja vastutus. Andmetöötleja vastutab inimeste

suhtes seadusliku, õiglase ning läbipaistva andmetöötluse korraldamise eest.2 Seda kõike ei saa

teha, kui andmetöötlejal ei ole omaenda andmetöötlusest täit pilti. Seetõttu peab ta kaardistama

oma andmetöötlustoimingud. Nimetame selle tulemusena valminud dokumenti isikuandmete

töötlemisülevaateks. Kokkuvõtlikult üldmäärus kohustab kõiki andmetöötlejaid, kellel on

vähemalt üks töötaja ja/või vähemalt üks füüsilisest isikust klient, koostama isikuandmete

1 Euroopa parlamendi ja nõukogu isikuandmete kaitse üldmäärus (EL) 2016/679 2 Vt üldmääruse art. 5 lg 1 p. a ja lg 2.

2 (5)

töötlemise ülevaate.

Mida peab töötlemisülevaade sisaldama?

Vastutava töötleja ülevaade peab sisaldama vähemalt järgmist:

- vastutava töötleja, kaasvastutava töötleja (kui on), vastutavate töötlejate (kui on) ja

andmekaitsespetsialisti (kui on) nimi ja kontaktandmed;

- isikuandmete töötlemise eesmärgid;

- andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

- vastuvõtjate kategooriad, kellele isikuandmed avalikustatakse;

- kui isikuandmeid edastatakse kolmandasse riiki, siis andmed selle kohta koos riigi nimega,

ning muu teave edastamise asjaolude ja kaitsemeetmete kohta;

- eri andmeliikide kustutamiseks ette nähtud tähtajad;

- turvameetmete üldine kirjeldus.

Täpsemalt saate lugeda andmetöötlemisülevaate koostamise kohta AKI koostatud isikuandmete

töötleja üldjuhendist.

Lõimitud ja vaikimisi andmekaitse

Vastutav andmetöötleja, antud juhul Pärnu Spordikeskus, peab organisatsiooni siseselt sätestama

isikuandmete töötlemise korra ja viisi ning paika panema selle, millisel määral ja ulatuses on

töötajatel oma tööülesannete täitmiseks vajalik isikuandmetele juurde pääseda. Vastutaval

andmetöötlejal tulebki muuhulgas arvestada IKÜM artiklis 25 kirjeldatud lõimitud ja vaikimisi

andmekaitsenõuetega. Lõimitud andmekaitse eeldab, et eraelu kaitse on organisatoorsetesse ja

infotehnoloogilistesse vahenditesse n-ö sisse kirjutatud ja mida tundlikumaid andmeid

töödeldakse, seda tugevam andmete kaitse olema peab. Vaikimisi andmekaitse aga tähendab muu

hulgas, et vastutav töötleja peab piirama, kellel on juurdepääs isikuandmetele ja millist liiki

isikuandmetele, tuginedes vajalikkuse hindamisele. Samuti tagama, et isikuandmed on tegelikult

kättesaadavad neile, kes neid vajaduse korral vajavad. Ehk siis asutusesiselt peab olema

reguleeritud (näiteks ametijuhendis, sisekorraeeskirjas vms) kes, kuidas ning millises ulatuses

organisatsioonis täpselt andmeid töötleb. Vastutus võimalike andmekaitseliste rikkumiste puhul

lasub eelkõige vastutaval andmetöötlejal.

Kõik organisatsioonid, kes oma tegevuse käigus isikuandmetega kokku puutuvad, on kohustatud

tagama, et nende juures töödeldakse isikuandmeid turvaliselt. See tähendab muu hulgas, et

infosüsteemides olevaid isikuandmeid kasutatakse ainult sel eesmärgil, mille jaoks nad kogutud

on, ning keegi ei pääse andmetele ligi omakasupüüdlikel või pahatahtlikel eesmärkidel ega pelgast

uudishimust. Selleks, et ära hoida isikuandmete väärkasutamist ning tagada, et tagantjärele

oleks võimalik kindlaks teha, kes, millal ja miks infosüsteemis andmeid vaadanud või

kasutanud on, peabki elektroonilise andmetöötluse puhul pidama logikirjeid isikuandmete

töötlemise kohta.

Andmetöötlejal on ka kohustus tuvastada ning registreerida kõik isikuandmetega seotud

rikkumised. Need on oma sisult turvanõuete rikkumised, mis toovad kaasa töödeldavate

isikuandmete juhusliku või ebaseadusliku kaotsimineku, hävimise, muutmise või loata

juurdepääsu või avalikustamise. Isikuandmetega seotud rikkumiste menetlemisest saate lähemalt

lugeda eespool viidatud isikuandmete töötleja üldjuhendi 7. peatükist.

Kaamerad

Enne kaamerate kasutama hakkamist peab andmetöötleja olema teinud selgeks videovalve

kasutamise eesmärgi ning õigusliku aluse, samuti läbi mõtlema võimalikud alternatiivsed

lahendused sama eesmärgi saavutamiseks. Kaamerate kasutamine peab olema suunatud

konkreetse probleemi lahendamiseks ning kogutud andmeid ei tohi hiljem kasutada muul

eesmärgil. Andmetöötleja peab hindama ohtude tõsidust ja realiseerumise tõenäosust ning

analüüsima alternatiive videovalvele. Kui alternatiivsed meetmed ei ole piisavad ning kaamerate

paigaldamine on möödapääsmatu, peab andmetöötleja viima läbi õigustatud huvi analüüsi

3 (5)

(eeldusel, et kaamerate kasutamise õiguslikuks aluseks on IKÜM art 6 lg 1 punkt f). Õigustatud

huvi hindamine ja dokumenteerimine on kaamera paigaldaja kohustus. Kuidas õigustatud huvi

täpselt hinnata, oleme selgitanud eraldi juhendis.

1. Kaameratega isikuandmete töötlemise alused

Isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav

füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada3. Kaamerate abil on isik (eriti

töötaja) igal juhul tuvastatav. Seega on videovalve puhul tegemist isikuandmete töötlemisega,

mille osas tuleb järgida IKÜM-is sätestatud nõudeid.

Ettevõte kui isikuandmete, sh oma töötajate isikuandmete vastutav töötleja on kohustatud järgima

IKÜM art 5 lõikes 1 sätestatud põhimõtteid. Nende põhimõtete täitmise eest vastutab ja peab

olema võimeline nende täitmist tõendama vastutav töötleja ise4. Selles osas, mil andmetöötlus ei

vasta täielikult IKÜM artikkel 5 lõikes 1 sätestatud põhimõtetele, on andmetöötlus keelatud.

Kaamerate kasutamisel tuleb lähtuda muuhulgas järgnevatest isikuandmete töötlemise

põhimõtetest.

a. Seaduslikkus, õiglus ja läbipaistvus (IKÜM artikkel 5 lg 1 punkt a)

Igasugune isikuandmete töötlemine peab olema õiglane ja seaduslik ehk täielikult kooskõlas

IKÜM-i ja isikuandmete kaitse seadusega ning läbipaistev. Selleks peab kogu isikuandmete

töötlemisega seotud teave olema andmesubjektile, antud juhul töötajatele lihtsalt kättesaadav,

arusaadav ning selgelt sõnastatud. Andmesubjekte tuleb isikuandmete töötlemisest ka teavitada5.

Seda reguleerivad täpsemalt IKÜM artiklid 12-14. Kaamerate kasutamisel tuleb

andmesubjektidele teabe esitamisel lähtuda IKÜM artikkel 13 nõuetest.

b. Eesmärgi ja säilitamise piirang. Võimalikult väheste andmete kogumine

(IKÜM artikkel 5 lg 1 punktid b, c ja e)

Selleks, et hinnata, kas kaamerate kasutamine vastab eesmärgi piirangu ning võimalikult väheste

andmete kogumise põhimõttele, tuleb:

1) tuua välja kõik kaamerate kasutamise eesmärgid ja seda hästi konkreetselt;

2) hinnata, kas nimetatud eesmärkide täitmisel on kaamerate kasutamine vajalik või on selle

täitmiseks muid ja andmesubjekti vähem riivavamaid meetmeid.

Keelatud on töötajate jälgimine kaameratega terve tööaja vältel ning salvestisi ei või

kasutada töötajate töökohustuste või -distsipliini täitmise kontrollimiseks. Kaamerad tuleb

suunata konkreetsetele turvariskidele. Jälgimisseadmeid ei saa kasutada üldise viitega

võimalikele rikkumistele, mis ettevõtte territooriumil võivad aset leida. Iga turvarisk tuleks

määratleda eraldi ja detailselt, tuginedes reaalsetele ja tõestatavatele andmetele riski olemasolu ja

ulatuse kohta.

Kaamerate paigaldamise eesmärgiks aga ei saa olla ka töötajate reaalajas jälgimine. Oluline on ka

tagada töötajatele võimalus kaamera vaateväljast eemal olla, nt paigutada kaamerad selliselt, et

need ei rikuks töötaja privaatsust puhkeajal ega jälgiks töötaja tegevusi, mis ei ole seotud

tööprotsessiga.

Isikuandmete töötlemine tuleb lõpetada ja andmed kustutada või viia isikustamata kujule kohe kui

langeb ära õiguslik alus ja/või on täidetud eesmärgid, milleks neid koguti. Isikuandmete töötlemise

aeg peab piirduma rangelt minimaalsega. Selle tagamiseks, et isikuandmeid ei töödelda vajalikust

kauem, peab vastutav töötleja kindlaks määrama tähtajad isikuandmete kustutamiseks ning

perioodiliseks läbivaatamiseks6.

3 IKÜM art 4 punkt 1. 4 IKÜM art 5 lõige 2. 5 IKÜM põhjenduspunkt 39. 6 IKÜM põhjenduspunkt 39.

4 (5)

Euroopa Andmekaitsenõukogu7 seisukohal tuleb isikuandmed enamikul juhtudel (nt vandalismi

avastamiseks) kustutada – ideaaljuhul automaatselt – mõne päeva pärast. Mida pikem on

ettenähtud säilitamisaeg (eriti kui see on pikem kui 72 tundi), seda rohkem tuleb põhjendada

eesmärgi õiguspärasust ja säilitamise vajalikkust. Seega olukorras, kus eriseadusest ei tulene 72st

tunnist pikemat säilitamistähtaega, tuleb vastutaval töötlejal salvestiste pikema säilitamise tähtaja

vajadust selgelt ja arusaadavalt põhjendada.

c. Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase

turvalisuse, sh kaitseb loata või ebaseadusliku töötlemise eest (IKÜM artikkel

5 lg 1 punkt f)

Selleks, et oleks võimalik tagantjärgi kontrollida, kes, millal ja millist kaamerasalvestist on

vaadanud, peab olema loodud logimissüsteem. AKI hinnangul on logimine ainuke võimalik viis,

mis võimaldab kontrollida seda, et kaamera otsepilti või salvestisi ei oleks vaadatud

ebaseaduslikult, sh ilma põhjuseta.

2. Õigustatud huvi analüüs

Kui ettevõttele ei tule eriseadusest kaamerate paigaldamise/kasutamise kohustust, on võimalik

kaamerate kasutamisel tugineda üksnes IKÜM artikkel 6 lg 1 punktis f sätestatud alusele -

õigustatud huvile. See sätestab, et „isikuandmete töötlemine on seaduslik üksnes juhul, kui see on

vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise

huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta

isikuandmeid“.

Selleks, et õigustatud huvile saaks tugineda, peavad korraga olema täidetud kõik kolm tingimust:

- vastutaval töötlejal või andmeid saaval kolmandal isikul või kolmandatel isikutel on

andmetöötluseks õigustatud huvi;

- isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;

- vastutava töötleja ja/või kolmanda isiku õigustatud huvid kaaluvad üles kaitstava

andmesubjekti huvid, põhiõigused ja – vabadused.

Esiteks tuleb esmalt täpselt välja selgitada, kas ja millised on andmetöötleja enda konkreetsed

õigustatud huvid. Ennekõike on oluline, et õigustatud huvi oleks kooskõlas kehtivate

õigusaktidega, sõnastatud piisavalt selgelt (st piisavalt konkreetne) ning reaalne ja hetkel esinev

(st mitte spekulatiivne).

Teiseks tuleb analüüsida ja läbi mõelda, millised on võimalikud andmesubjekti huvid või

põhiõigused– ja vabadused, mida võidakse isikuandmete töötlemisega kahjustada.

Kolmandaks tuleb tasakaalustada andmetöötleja õigustatud huvid andmesubjekti huvide ja

põhiõigustega. Siinjuures võrreldakse isikuandmete töötlemisest (kogumisest, edastamisest,

avalikustamisest) andmesubjektile tekkida võivat mõju vastutava töötleja ja/või kolmanda isiku

õigustatud huvidega ning hinnatakse, kas ja millises ulatuses vastutava töötleja ja/või kolmanda

isiku õigustatud huvi kaalub andmesubjekti huvid üles. Rõhutame, et vastutava töötleja või

kolmanda isiku õigustatud huvid ei kaalu automaatselt üles kaitstavate andmesubjektide

põhiõiguste ja -vabadustega seotud huve.

Võimalus jälgida töötajaid terve tööaja vältel toob kaasa väga suure riive. Töötajal ei ole võimalik

teha ühtegi liigutust nii, et tema tegemisi ei oleks võimalik jälgida (v.a sanitaar– ja

puhkeruumides). See võib omakorda mõjutada töötaja vaimset heaolu. Seetõttu tuleb kaamerate

kasutamisel töökeskkonnas alati hoolikalt kõik aspektid läbi mõelda ja kaaluda, kas isikuandmete

töötlemisega tekitatav mõju andmesubjektidele on proportsionaalne taotletavate eesmärkide

suhtes.

7 Euroopa Andmekaitsenõukogu suunised 3/2019 isikuandmete töötlemise kohta videoseadmetes, lk 28 p 121.

5 (5)

Alati tuleb kaaluda, kus ja millal on videovalvemeetmed tingimata vajalikud ning kas eesmärki ei

ole võimalik mõistlikult saavutada töötajaid vähem häirivate meetmetega. Rõhutame, et

riietusruumis, wc-s ja duširuumis ei ole kaamerate kasutamine lubatud. 8

Õigustatud huvi analüüsiga peab olema võimalik tutvuda igal andmesubjektil (nii kliendil kui

töötajal). Kuidas õigustatud huvi täpselt hinnata, oleme selgitanud eraldi juhendis.

Juhul, kui andmetöötleja jätab õigustatud huvi analüüsi korrektselt tegemata (sh ei arvesta töötaja

õigustega), on kaamerate kasutamine keelatud ning tegemist on IKÜM nõuete rikkumisega.

3. Andmekaitsetingimused

Andmekaitsetingimustes tuleb kajastada muuhulgas järgnev (vt IKÜM artikkel 13 lõiked 1 ja 2):

- vastutava töötleja nimi ja tema kontaktandmed;

- isikuandmete töötlemise eesmärgid ja õiguslikud alused;

- kui isikuandmete töötlemine põhineb õigustatud huvil, siis teave vastutava töötleja

õigustatud huvide kohta;

- teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

- isikuandmete säilitamise tähtaeg;

- teave andmesubjekti õiguse kohta taotleda: a) juurdepääsu teda puudutavatele

isikuandmetele (nii klientidel kui töötajatel on õigus saada enda kohta käivaid salvestisi);

b) isikuandmete kustutamist; c) isikuandmete töötlemise piiramist.

- teave õiguse kohta esitada vastuväide kaamerate kasutamise osas;

- teave õiguste kohta esitada kaebus järelevalveasutusele.

Iga vastutav töötleja peab ise koostama enda äritegevusest lähtuvalt andmekaitsetingimused ning

kontrollima nende vastavust IKÜM artiklites 12-13 sätestatud nõuetele.

Andmekaitsetingimused tuleb koostada vastavalt tegelikule andmetöötlusele. Tingimused ei saa

piirduda näidetega, vaid loetelu peab olema lõplik. Sõnade „näiteks, eelkõige,

muuhulgas“ kasutamine ei ole lubatud. Kui andmetöötluse sisu või eesmärgid aja jooksul

muutuvad, siis tuleb andmekaitsetingimusi vastavalt sellele ka ajakohastada.

Töötajatel peab olema võimalik andmekaitsetingimustega ja õigustatud huvi analüüsiga igal ajal

tutvuda (nt puhkeruumis või asutuse siseses infosüsteemis).

Kokkuvõte

Palume Teil üle vaadata, kas Pärnu Spordikeskuse isikuandmete töötlemise protsessid ja seda

reguleerivad korrad vastavad isikuandmete kaitse üldmääruse nõuetele ning kui seda veel tehtud

ei ole, tutvustada töötajatele ettevõttes isikuandmete töötlemise korda ning selgitada, kust saab

vajadusel teavet isikuandmete töötlemise kohta.

Soovitame Teil täiendavalt läbi töötada AKI koostatud isikuandmete töötleja üldjuhendi9, mis

annab Teile parema aimduse, kuidas korraldada enda asutuses isikuandmete kaitse nõuetest lähtuv

tegevus ja dokumentatsioon.

Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota.

Lugupidamisega

Mari-Liis Uprus

jurist

peadirektori volitusel

8 Euroopa Inimõiguste Kohtu 21. juuni 2012.a kohtuotsus kohtuasjas E.S v Rootsi, avaldus nr 5786/08. 9 https://www.aki.ee/et/isikuandmete-tootleja-uldjuhendi-veebitekst