Tähelepanu juhtimine isikuandmete kaitse asjas

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Lp Mauri Kristjan Dorbek

juhatuse liige

Apollo Group OÜ

[email protected],

[email protected]

Lp Helen Metsvaht

juhatuse liige

Rocca al Mare Kaubanduskeskuse AS

[email protected]

Meie 12.02.2024 nr 2.1.-5/24/93-4

Tähelepanu juhtimine isikuandmete kaitse asjas

Andmekaitse Inspektsioon sai märgukirja seoses sellega, et Rocca al Mare kaubanduskeskuses

asuva Blenderi smuutibaari müügileti ja makseterminali kohal asub poolvarjatud kohas kaamera.

Märgukirjast ilmnes, et leti ees kohas, kus tavaliselt Blenderi klient seisab ja makseid sooritab, on

iluliistude või laepaneelide ribide taga poolvarjatud kohas kaamera. Kaamerasilm oli suunatud

otse alla ehk maksete sooritamise alale. Blenderis tööl olnud teenindaja ei olnud teadlik, et antud

kohta oli kaamera paigutatud. Ühtlasi oli algselt selgusetu, kellele kaamera kuulub. Osapoolte

vahel toimunud suhtluse tulemusena ilmnes, et kaamera kuulub Blenderile ja 16.01.2024 keerati

selle filmimise suund ümber.

Eelnevast tulenevalt juhib inspektsioon kaamerate kasutamisega seoses nii Blenderi (Apollo Group OÜ) kui ka Rocca al Mare kaubanduskeskuse tähelepanu isikuandmete kaitse nõuetele.

Andmekaitse Inspektsiooni selgitused

Isikuandmete kaitse peamised nõuded tulenevad Euroopa Parlamendi ja nõukogu määrusest (EL)

2016/679 (isikuandmete kaitse üldmäärus ehk IKÜM), isikuandmete kaitse seadusest ning

vastavatest eriseadustest.

1. Isikuandmete töötlemise alused

Isikuandmeteks on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav

füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada. Kaamerate abil on isik igal juhul

tuvastatav, seega on videovalve puhul tegemist isikuandmete töötlemisega, mille osas tuleb järgida

IKÜM-is sätestatud nõudeid.

Isikuandmete vastutav töötleja – asutus, kes on paigaldanud kaamera ja seadnud selle kasutamise

eesmärgi(d) ning valinud selleks vajalikud vahendid – on kohustatud tagama IKÜM art-s 6

nimetatud töötlemise seaduslikkuse (vt allpool õigustatud huvi selgitust) ja järgima IKÜM art-s 5

kehtestatud isikuandmete töötlemise põhimõtteid. Kusjuures lisaks põhimõtete täitmisele peab

vastutav töötleja olema võimeline ka nende põhimõtete täitmist tõendama.1

1 IKÜM art 5 lg 2.

2 (4)

Kaamerate kasutamisel tuleb lähtuda muuhulgas järgnevatest isikuandmete töötlemise

põhimõtetest.

a. Seaduslikkus, õiglus ja läbipaistvus (IKÜM art 5 lg 1 punkt a)

Igasugune isikuandmete töötlemine peab olema õiglane ja seaduslik ehk täielikult kooskõlas

IKÜM-i ja isikuandmete kaitse seadusega. Lisaks peab isikuandmete töötlemine olema läbipaistev.

Selleks peab kogu isikuandmete töötlemisega seotud teave olema andmesubjektile, antud juhul nii

töötajatele kui ka klientidele, lihtsalt kättesaadav, arusaadav ning selgelt sõnastatud.

Kirjelduse kohaselt oli kaamera poolvarjulises kohas ja selgusetu oli, kellele kaamera kuulub. See

teave peaks aga andmesubjektidele olema nähtav ja kättesaadav videovalve teavitussiltidena.

Teavitussiltide puudumisel on andmesubjektidel keeruline teostada oma õigust saada teavet

isikuandmete töötlemisest, sest pole teada, kellele kaamera kuulub ja kelle poole seetõttu

pöörduda. Enne videoalasse jõudmist tuleb seega inimesele avaldada

- kes on videovalve korraldaja ja milline on tema kontakt;

- millisel eesmärgil ja õiguslikul alusel videovalvet korraldatakse ning

- kust leiab täpsema info isikuandmete töötlemise kohta.

Andmekaitse Inspektsiooni veebilehel on videovalve sildi loomisel abiks videovalve sildi

genereerija, mida saab kasutada andmekaitsenõuetele vastava videojälgimise teavitussildi

loomiseks.

Kaubanduskeskuse puhul tuleks teavitamisel eristada alasid, kus klient liigub ja videovalvega

seotud vastutavaid töötlejaid. Keskusesse sisenedes ja selle üldalal liikudes saab klient

videovalvealasse sisenedes videovalvest teada reeglina keskuse ustel olevatelt teavitussiltidelt.

Kui aga mõni konkreetne keskuses tegutsev kaupleja kasutab oma kauplemispinnal enda

videovalvet, siis on ta selles osas ise vastutav töötleja ja peab samuti andmesubjekti sellisest

videovalvest teavitussiltidega teavitama. Seega ei saa pidada piisavaks kaubanduskeskuse ustel

olevaid üldisi videovalve teavitussilte juhul, kui Blender kaubanduskeskuses tegutseva

ettevõttena kasutab videovalvet, mille osas on ta vastutav töötleja, kuivõrd sellisest

videovalvest peab ta samuti andmesubjekte enda teavitussiltidega teavitama.

Teavitussiltidelt peab ilmnema, kelle poole andmesubjekt saab pöörduda, kui ta tahab täiendavat

infot. Täiendavat infot sisaldavad ja läbipaistvuse põhimõtet aitavad sisustada

andmekaitsetingimused. Seda reguleerivad täpsemalt IKÜM art-d 12–14. Andmekaitsetingimused

tuleb koostada vastavalt tegelikule andmetöötlusele.

b. Eesmärgi ja säilitamise piirang. Võimalikult väheste andmete kogumine (IKÜM art 5 lg 1

punktid b, c ja e)

Selleks et hinnata, kas kaamerate kasutamine vastab eesmärgi piirangu ning võimalikult väheste

andmete kogumise põhimõttele, tuleb:

1) tuua välja kõik kaamerate kasutamise eesmärgid ja seda hästi konkreetselt;

2) hinnata, kas nimetatud eesmärkide täitmisel on kaamerate kasutamine vajalik või on selle

täitmiseks muid ja andmesubjekti vähem riivavamaid meetmeid.

Leti kohale klientide maksealale suunatud kaamera puhul on küsitav, mis on selle eesmärk. Küsitav

on, miks sellisel viisil kogutud isikuandmeid vaja läheb. Lisaks isikuandmetele on selliselt

paigaldatud kaamera puhul oht, et kõrvalistele isikutele saab teatavaks kliendi maksmisega seotud

konfidentsiaalne teave (pangakaardi pin-kood).

Kui kaamera oli paigutatud eesmärgiga kontrollida töötajaid ja nende tegevust kassas, siis juhib

inspektsioon tähelepanu sellele, et kaamerate paigaldamise eesmärgiks ei saa olla töötajate

reaalajas jälgimine ega tema tegevuse kontrollimine. Lisaks on oluline tagada töötajatele võimalus

kaamera vaateväljast eemal olla, paigutades kaamerad näiteks selliselt, et need ei rikuks töötaja

privaatsust puhkeajal ega jälgiks töötaja tegevusi, mis ei ole seotud tööprotsessiga.

3 (4)

Ühtlasi tuleb aga isikuandmete töötleja poolt seatud eesmärgi saavutamisel arvestada sellega, et

isikuandmeid tuleb koguda nii vähe kui võimalik (minimaalsuse põhimõte). Igaks juhuks andmete

kogumine on ebaseaduslik. Seega tuleb kõnealuse kaamera puhul kaardistada, milliseid

andmeid tegelikkuses seatud eesmärgi saavutamiseks vaja on ja kas selleks on vaja just leti

kohal olevat kaamerat. Hinnata tuleb sedagi, et kui kaamera suunda ja vaatevälja on muudetud,

kas see täidab enam üldse seatud eesmärki või tuleks antud kaameraga isikuandmete töötlemine

lõpetada. Isikuandmete töötlemine tuleb lõpetada ja andmed kustutada või viia isikustamata kujule

kohe, kui langeb ära töötlemise õiguslik alus ja/või on täidetud eesmärgid, milleks neid koguti.

Isikuandmete töötlemise aeg peab piirduma rangelt minimaalsega. Selle tagamiseks, et

isikuandmeid ei töödelda vajalikust kauem, peab vastutav töötleja kindlaks määrama tähtajad

isikuandmete kustutamiseks ning perioodiliseks läbivaatamiseks.2 Euroopa Andmekaitsenõukogu

seisukoha järgi tuleb isikuandmed enamikul juhtudel kustutada – ideaaljuhul automaatselt – mõne

päeva pärast. Mida pikem on ettenähtud videosalvestise säilitamisaeg (eriti kui see on pikem kui

72 tundi), seda rohkem tuleb põhjendada eesmärgi õiguspärasust ja säilitamise vajalikkust. Seega

olukorras, kus eriseadusest ei tulene 72 tunnist pikemat säilitamistähtaega, tuleb vastutaval

töötlejal salvestiste pikema säilitamise tähtaja vajadust selgelt ja arusaadavalt põhjendada.3

c. Isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sh kaitseb

loata või ebaseadusliku töötlemise eest (IKÜM artikkel 5 lg 1 punkt f)

Selleks et oleks võimalik tagantjärgi kontrollida, kes, millal ja millist kaamerasalvestist on

vaadanud, peab olema loodud logimissüsteem. Inspektsiooni hinnangul on logimine ainuke

võimalik viis, mis võimaldab kontrollida seda, et kaamera otsepilti või salvestisi ei oleks vaadatud

ebaseaduslikult, sh ilma põhjuseta.

2. Õigustatud huvi analüüs

Kui ettevõttele ei tule eriseadusest kaamerate paigaldamise/kasutamise kohustust, on võimalik

kaamerate kasutamisel tugineda üksnes IKÜM artikkel 6 lg 1 punktis f sätestatud alusele –

õigustatud huvile. See sätestab, et „isikuandmete töötlemine on seaduslik üksnes juhul, kui see on

vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise

huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta

isikuandmeid“.

Õigustatud huvile tuginemiseks peavad viidatu kohaselt olema korraga täidetud kõik kolm

tingimust:

- vastutaval töötlejal või andmeid saaval kolmandal isikul või kolmandatel isikutel on

andmetöötluseks õigustatud huvi;

- isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks;

- vastutava töötleja ja/või kolmanda isiku õigustatud huvid kaaluvad üles kaitstava

andmesubjekti huvid, põhiõigused ja – vabadused.

Esiteks tuleb esmalt täpselt välja selgitada, kas ja millised on andmetöötleja enda konkreetsed

õigustatud huvid. Ennekõike on oluline, et õigustatud huvi oleks kooskõlas kehtivate

õigusaktidega, sõnastatud piisavalt selgelt (st piisavalt konkreetselt) ning reaalne ja hetkel esinev

(st mitte spekulatiivne).

Teiseks tuleb analüüsida ja läbi mõelda, millised on võimalikud andmesubjekti huvid või

põhiõigused– ja vabadused, mida võidakse isikuandmete töötlemisega kahjustada.

Kolmandaks tuleb tasakaalustada andmetöötleja õigustatud huvid andmesubjekti huvide ja

põhiõigustega. Siinjuures võrreldakse isikuandmete töötlemisest (kogumisest, edastamisest,

avalikustamisest) andmesubjektile tekkida võivat mõju vastutava töötleja ja/või kolmanda isiku

2 IKÜM art 5 lg 1 punkt c ja põhjenduspunkt 39. 3 Euroopa Andmekaitsenõukogu suunised 3/2019 isikuandmete töötlemise kohta videoseadmetes, lk 28 p 121, leitavad

https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_et.pdf.

4 (4)

õigustatud huvidega ning hinnatakse, kas ja millises ulatuses vastutava töötleja ja/või kolmanda

isiku õigustatud huvi kaalub andmesubjekti huvid üles. Rõhutame, et vastutava töötleja või

kolmanda isiku õigustatud huvid ei kaalu automaatselt üles kaitstavate andmesubjektide

põhiõiguste ja -vabadustega seotud huve.

Õigustatud huvi analüüsiga peab olema võimalik tutvuda igal andmesubjektil (nii kliendil kui

töötajal). Kuidas õigustatud huvi täpselt hinnata, oleme selgitanud eraldi juhendis. Juhul kui

andmetöötleja jätab õigustatud huvi analüüsi korrektselt tegemata (sh ei arvesta töötaja õigustega),

on kaamerate kasutamine keelatud ning tegemist on IKÜM nõuete rikkumisega.

Kokkuvõttes palume teil

- vaadata üle oma kaamerate asukohad ja vaateväljad ning mõelda hoolega läbi

kaamera kasutamise vajalikkus ja eesmärk;

- selge peab olema, kellele kaamera kuulub;

- samuti tuleb kaamerate kasutamisel paigaldada teavitussilt (-sildid).

Täpsemat infot kaamerate kasutamise kohta leiate Andmekaitse Inspektsiooni kodulehelt ning

samuti soovitame tutvuda ka vastava juhendiga. Andmekaitsetingimuste jm kohta leiate lisainfot

isikuandmete töötleja üldjuhendist.

Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota, kuid selgitame, et inspektsioon

võib igal ajal ette teatamata kontrollida kaamerata kasutamise õiguspärasust ning õigustatud huvi

analüüsi ja andmekaitsetingimuste olemasolu, sh ka kaamerate salvestiste vaatamise logisid.

Rikkumise korral võib inspektsioon algatada järelevalvemenetluse.

Lugupidamisega

Agnes Järvela

jurist

peadirektori volitusel