Kinnistusraamatuseadmuse muutmise seadus
| Dokumendiregister | Registrite ja Infosüsteemide Keskus |
| Viit | 8-4-1/2025/842 |
| Registreeritud | 03.02.2025 |
| Sünkroonitud | 04.02.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Avalike teenuste haldus |
| Sari | 8-4 Kirjavahetus klientidega teenuste ja lepingute küsimustes |
| Toimik | 8-4-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Julianus Inkasso OÜ |
| Saabumis/saatmisviis | Julianus Inkasso OÜ |
| Vastutaja | Hedi Stenman (Registrite ja Infosüsteemide Keskus, Strateegia valdkond, Klienditoe tiim) |
| Originaal | Ava uues aknas |
Failid
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
|
|
|
|
From:
RIK info <[email protected]>
Date: Thursday, 9. January 2025 at 10:42
To: Krista Raudsepp <[email protected]>
Subject: RE: Kinnistusraamatuseadmuse muutmise seadus
Tere
Tänan kirja eest.
XML-teenus on nn mugavusteenus, mis võimaldab kinnistusraamatu andmeid pärida suuremas koguses. XML-teenuse teel tehtud päringutele kehtivad samad reeglid, mis tavapäringutele (nii otsingu tingimused kui tasu). Seadus ütleb, kellel on õigus vastavate kriteeriumite alusel päringuid teha, mitte ei reguleeri olukorda, mil viisil või kes ei tohi päringuid teha.
Õigus teabenõude raames andmeid küsida jääb alles.
Samuti soovitame saata juhatuse liikme poolt digitaalselt allkirjastatud avaldus, kus tuues ära õiguslikud alused, põhjendate oma soovi lepingulise kliendina füüsilise isiku järgi otsingu kasutamiseks.
Lugupidamisega
|
|
|
|
From: Krista Raudsepp <[email protected]>
Sent: Wednesday, January 8, 2025 1:52 PM
To: RIK info <[email protected]>
Subject: Re: Kinnistusraamatuseadmuse muutmise seadus
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Täname RIK´i 02.01.2025. a edastatud vastuse eest. Julianus Inkasso OÜ on teie vastusest lähtudes analüüsinud asjakohast seadust ja selle juurde kuuluvat seletuskirja ning pöördub täiendavalt.
Esmalt kirjutate: “KRS § 74 lõiked 41 ja 42 kehtivad ka XML-teenuste ja API-liidestuste kaudu tehtavatele päringutele.” – Küll aga seaduse muudatuse tekstist ei tulene, et päringud on edaspidi keelatud XML teenuse ja API liidestuse kaudu.
Nimelt sedastab seadus selgelt, et isikute ringi kitsendati ainult veebilehe kaudu tehtavate päringute osas:
“ „(41) Käesoleva paragrahvi 4. lõikes nimetatud veebilehe kaudu kinnistusraamatu andmeid pärides võib päringu aluseks olla: /---/
(42) Lisaks käesoleva paragrahvi 41. lõikes nimetatud alustele võivad kinnistusraamatu andmeid pärida füüsilise isiku nime ja isikukoodi alusel järgmised isikud:”
Seega esmalt, millele tugineb tõlgendus, et XML-teenuste ja API-liidestuste kaudu tehtavatele päringutele kitsendused kohalduvad.
Teiseks ja mis veelgi olulisem: nende isikute ringi kitsendamisega, kes saab veebilehe kaudu lihtsustatult ise päringuid teha, ei kadunud seadusest ära isikute õigus saada andmeid õigustatud huvi alusel. Ka pärast 15.01.2025 kehtib kinnistusraamatu seaduses edasi norm: „§ 74 Kinnistustoimikuga võib tutvuda ja sellest väljatrükke saada õigustatud huvi olemasolu korral. Kinnistu omanik, notar, kohtutäitur, kohus ja järelevalveõiguslik asutus ei pea kinnistustoimikuga tutvumiseks tõendama õigustatud huvi.“
Niisamuti ka EL-i isikuandmete kaitse üldmäärus (IKÜM) sedastab isikuandmete töötlemise õiguslike alustena nii seadusest tuleneva kohustuse (IKÜM art 6.1.c) kui ka õigustatud huvi(IKÜM art 6.1.f).
Kui loete seadusmuudatuste seletuskirja (eelnõu 467 SE), siis ka seal sedastatakse selgelt, et Kinnistusraamatul tuleb õigustatud huviga isikule info teabenõude raames edastada („Eelnõus on valitud lahendus, mis piirab just teabe saamise viisi, jättes võimaluse vajadusel teabenõude korras andmeid saada. Näiteks võib võlausaldajatel tekkida vajadus teha kindlaks võlgniku varaline seis, et kaaluda tsiviilkohtumenetluse seadustiku (TsMS) § 378 lg 1 punktides 1 ja 2 sätetatud hagi tagamise abinõu rakendamist (kohtuliku hüpoteegi või keelumärke kandmine kinnistusraamatusse“).
Julianus Inkasso OÜ-l on andmete saamiseks õigustatud huvi ja võime edastada ka sellekohase analüüsi s.t tõendada õigustatud huvi olemasolu. Lühidalt selgitame, et Julianus vajab andmeid sellistel seaduspärastel õigustatud huvi eesmärkidel nagu hagi tagamine, menetluskuludeks tagatise küsimine, võimalike notariaalsete kokkulepete sõlmiseks, ja kohtuvälises menetluses väga suurte võlanõuete puhul kliendi kasuks hüpoteegi seadmise kokkuleppe sõlmimine - kõik on nii inkasso- kui õigusabiteenuste osutamiseks õigustatud ja vajalikud).
Seega kui jääte ka selle juurde, et Julianust kitsendatud isikute ringis ei ole, siis ei saa vaidlust olla, et Julianusel (kellel on seejuures ka Finantsinspektsioonist inkassoteenuse osutamise luba) ning Inkasso Õigusbürool on Kinnistusraamatust andmete saamiseks õigustatud huvi.
Palume selgitust kuidas siit edasi läheme?
Kuidas Kinnistusraamat näeb, et tagatakse Julianusele arvukate õigustatud päringute võimalikult kiire ja mugav vastamine s.t et see ei koormaks ülemääraselt ei teid ega meid.
Lugupidamisega
Krista Raudsepp
|
|
|
|
From:
RIK info <[email protected]>
Date: Thursday, 2. January 2025 at 15:01
To: Krista Raudsepp <[email protected]>
Subject: RE: Kinnistusraamatuseadmuse muutmise seadus
Tere
Tänan kirja eest.
Alates 15.01.2025 saavad füüsilisest isikust kinnisasja omaniku nime ja isikukoodi järgi andmeid otsida kinnistusraamatuseaduse § 74 lõikes 42 nimetatud isikud seaduses sätestatud ülesannete täitmiseks.
KRS § 74 lõiked 41 ja 42 kehtivad ka XML-teenuste ja API-liidestuste kaudu tehtavatele päringutele.
Seega kinnistusraamatu lepingulised kliendid, kellele ei kohaldu KRS § 74 lg 42, ei saa edaspidi teha päringuid füüsilise isiku nime ja isikukoodi järgi.
Kinnistusraamatu XML teenus „Objektide arv“ jääb avatuks kõikidele lepingulistele klientidele.
Juhul kui Julianus Inkasso OÜ leiab, et kuulub kinnistusraamatuseaduse § 74 lõikes 42 nimetatud isikute hulka, palume saata digitaalselt allkirjastatud avaldus, kus on ära toodud viited, milliste seaduses sätestatud ülesannete täitmiseks vajatakse juurdepääsu füüsilise isiku nime ja isikukoodi järgi otsingule.
Lugupidamisega
|
|
|
|
From: Krista Raudsepp <[email protected]>
Sent: Thursday, January 2, 2025 10:34 AM
To: RIK info <[email protected]>
Subject: Kinnistusraamatuseadmuse muutmise seadus
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Julianus Inkasso OÜ pöördub seoses 15.01.2025. a jõustuva kinnistusraamatuseaduse muutmise seadusega. Kas Julianus Inkasso OÜ saab õigesti aru, et alates 15.01.2025. a Julianus Inkasso OÜ poolt e-kinnistusraamatusse
tehtavate päringute osas muutusi ja muudatusi ei toimu?
Head uut aastat soovides!
Krista Raudsepp
|
|
|
|
Digiallkirjad
Julianus Inkasso OÜ - õigustatud huvile tuginemise hinnang Töötlemistoiming: Võlgade sissenõudmine (inkasso teenus) ja sellega seonduvad tegevused
Küsimus Vastus
Hinnang Vali rippmenüüst
hinnang küsimuse ja vastuse seosele
GDPR-iga
0. Milles töötlemistoiming seisneb? (Kirjeldus)Milleks on õigustatud huvi alusel töötlemine vajalik?
Julianus Inkasso OÜ (edaspidi vastutav töötleja) töötlemistoiming, mille õigustatud huvi käesolevalt hinnatakse on võlgade sissenõudmiseks (krediidiinkasso teenuse osutamiseks) vajalik ja seda toetav andmetöötlus. Selleks töötleb vastutav töötleja: - isikuandmeid võlgniku või juriidilisest isikust võlgniku füüsilisest isikust esindaja/töötaja kohta; täisnimi, tugeva autentimise õnnestumise teave (kui kasutatud), kasutajanimi (kui kasutatud); kontaktandmed (e-post/telefon), kirjavahetus/suhtlus, ametikoht, volitused, kui ettevõte, siis ettevõte teave, sh esindaja andmed; kinnitus andmete õigsuse kohta, nõude/võla teave - isikuandmeid võlausaldaja/võlausaldaja esindaja või juriidilisest isikust võlausaldaja füüsilisest isikust esindaja/töötaja/kolmanda isiku (pärija, võla ära maksnud isiku) kohta teave võib oleneda asjaoludest üldjuhul: täisnimi, tugeva autentimise õnnestumise teave (kui kasutatud), kasutajanimi (kui kasutatud), isikukood/sünniaeg, kontakt (aadress, telefoni number, e-posti aadress), võla teave; makskäitumise teave, varalise seisundi teave (kinnisavara, osalused jms), maksehäirete teave Võlgade sissenõudmiseks on vajalikud töötlemistoimingud: a) isikuandmetega tutvumine/lugemine/tõendina esitamine/edastamine (isikuandmete allikaks: võlgnik, võlausaldaja, kolmas isik, menetlused, riiklikud registrid (Rahvastikuregister, Transpordiameti liiklusregister, Äriregister, Avalikud Teadaanded, abieluvara register, pärimisregister, kinnistusraamat, kohtutäituritelt teave, Riigi Teataja), maksehäire register (Creditinfo AS, Krediidiregister OÜ); b) isiku identifitseerimine, isiku andmete valideerimine mh kontaktandmete valideerimine (isikuandmete allikaks mh Rahvastikuregister, Transpordiameti liiklusregister, Äriregister/Krediidiregister OÜ) c) sissenõudmisega seonduv suhtlus võlgniku ja võlausaldajaga (nõuete edastamine, suhtlus kirja, telefoni teel); läbirääkimised (mh maksegraafikud, kokkulepped jm) (isikuandmete allikas - võlgniku/võlausaldaja tema esindaja suhtlusest tulenevad andmed); d) sissenõudmine kohtumenetluses(mh kasutades OÜ Julianuse Õigusbüroo-d esindajana) (sissnõudmine võib kohtuvälisest staadiumist üle kasvada kohtumenetluseks) (allikas - kohtumenetluses poolte esitatud ja menetluseks kogutud andmed mh kinnistusraamatust ). Kinnistusraamatu andmed on vajalikud sellistel seaduspärastel õigustatud huvi eesmärkidel nagu hagi tagamine, menetluskuludeks tagatise küsimine, võimalike notariaalsete kokkulepete sõlmiseks ja kohtuvälises menetluses suurte võlanõuete puhul kliendi kasuks hüpoteegi seadmise kokkuleppe sõlmimine - kõik tegevused, kus Kinnistusraamatu andmeid vastutav töötleja vajab on nii inkasso- kui õigusabiteenuste osutamiseks õigustatud ja vajalikud).
Lisaks on vastutav töötleja läbi viinud eraldiseisva õigustatud huvi hinnangu maksehäire info töötlemiseks (vt Õigustatud huvi hindamine_maksehäire infotöötlus).
Täielikult kooskõlas GDPR-iga
A) Õigustatud huvi identifitseerimine 1. Mis on töötlemistoimingu eesmärk? Isikuandmete töötlemise eesmärgiks on võlgade sissenõudmine ja selleks vajalik/seonduv andmetöötlus.
Täielikult kooskõlas GDPR-iga
2. Kas töötlemine on vajalik vastamaks ühele või mitmele ettevõtte eesmärgile?
Jah, andmetöötlus võimaldab teostada vastutava töötleja põhitegevust ja töödelda andmeid vastutava töötleja ja kolmandate isikute õigusnõuete, eelkõige kohtuvälise kaitsmise eesmärgil, mis on ka ettevõtte põhiliseks eesmärgiks. Inkasso teenus ongi Julianus Inkasso OÜ ehk vastutava töötleja põhitegevusalaks. Täielikult kooskõlas
GDPR-iga
3. Kas töötlemine on vajalik vastamas ühele või mitmele kolmanda isiku eesmärgile?
Vastutava töötleja andmetöötlus vastab kolmandate isikute eesmärkidele õigusnõuete kaitsel. Täielikult kooskõlas
GDPR-iga
4. Kas GDPR, E-privaatsusemäärus või muu õigusakt identifitseerib töötlemistoimingu kui õigustatud tegevuse läbi tasakaalustustesti positiivset tulemit?
Jah. IKÜM art 9(2)(f) sätestab, et isegi eriliiki isikuandmete töötlemiseks on alus, kui töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks. Käesoleval juhul küll eriliiki isikuandmeid reeglina ei töödelda (menetlus võib küll harval juhul hõlmata ka andmeid näiteks võlgniku/võlausaldaja tervise kohta), kuid seda enam on selge, et võlgase sissenõudmine on legitiimseks/õigustatud andmetöötluseks.
Seejuures on ka Euroopa Andmekaitse Nõukogu selgitanud, et mh kohtuväline võlgade sissenõudmine on õigustatud huvi alusel toimuvaks andmetöötluseks: "enforcement of legal claims including debt collection via out-of-court procedures " (URL: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf, lk 25).
Täielikult kooskõlas GDPR-iga
5. Kas töötlemise huvi on "õigustatud"? Jah, hinnatav eesmärk on legitiimine s.t seadus ei keela võlgade sissenõudmist, sellel eesmärgil andmete kogumist (mh riiklikest registritest nagu kinnistusraamat ) ja edastamist. Õigustatud on nõuete esitamise ja kaitsmise eesmärk. Täielikult kooskõlas GDPR-iga
B) Vajalikkuse test 1. Miks on töötlemistoiming vastutavale töötlejale vajalik? Ilma isikuandmeid töötlemata ei ole võimalik võlgnevusi sisse nõuda - mh selleks andmed pärida, lugeda või ka edastada ega ka äritegevuse põhieesmärke saavutada.
Täielikult kooskõlas GDPR-iga
2. Miks on töötlemistoiming tähtis teistele isikutele, kellele andmeid võidakse avaldada (kui on relevantne)?
Töötlemistoiming otseselt võlgnikust andmesubjekti huve ei teeni, kuid samal ajal ka nt andmesubjektidest võlausaldajatel ei ole vastasel juhul võimalik oma õigusnõudeid maksma panna ja oma õigusi kaitsta. Samas võlgnikust andmesubjekt saab teinekord võlaandmete edastamisel selguse, mis on andmesubjekti huvides. Pigem kooskõlas
GDPR-iga
3. Kas on muu viis saavutamaks eesmärk? Ei ole. Võlgnevuste sissenõudmisega seonduvat infot ei ole võimalik töödelda mh edastada/sellega tutvuda/seda edastada ilma isikuandmeid töötlemata. Täielikult kooskõlas
GDPR-iga
C) Tasakaalustamise test
1. Kas isikule võib sellist töötlust ette näha? Jah, andmesubjektidele ei tule üllatusena, millised isikuandmeid vastutav töötleja töötleb/millised toiminguid teeb. Vastutava töötleja privaatsuspoliitika selgitab detailselt nii isikuandmete loetu, allikaid, tegevusi kui aluseid vt URL: https://julianus.ee/andmekaitsetingimused/. Tingimustest tuleneb ka selgelt, et just võlgade sissenõudmine ja sellega seonduv andmetöötlus ongi Julianus Inkasso OÜ põhitegevuseks.
Täielikult kooskõlas GDPR-iga
2. Kas toiming lisab väärtust tootele või teenusele, mida isik ise kasutab?
Analüüsitaval eesmärgil andmetöötlus ei loo otseselt alati väärtust võlgnikust andmesubjektile aga õigusnõuete lahenemine on ka võlgnikust andmesubjekti huvides. Andmetöötlus on samas selgelt võlausaldaja huvides. Pigem kooskõlas
GDPR-iga
3. Kas töötlemistoiming mõjutab tõenäoliselt negatiivselt isiku õigusi?
Ei ole välistatud, et juhul, kui isikult nõutakse inkasso vahendusel võlga sisse, siis tehakse sellest negatiivseid järeldusi (vt ka küsimus/vastus C. 4, C.12 ja C.18). Pigem kooskõlas
GDPR-iga
4. Kas töötlemistoiming võib lõppeda soovimatu kahju või kannatusega isikule?
Isikule võib tekkida soovimatu kahju, kui isikut on seostatud võlaga nt vea tõttu andmetes. Või ka põhjusel, et vastutava töötleja töötaja sisestab võlainfo ekslikult, pahatahtlikult või menetletakse võlga, mille puhul hiljem selguvad asjaolud, et võla sissenõudmine ei olnud põhjendatud. Selle riski maandamiseks rakendab vastutav töötleja äärmist hoolt, et menetlemisel/andmete edastamisel/sisestamisel viidaks läbi kontroll andmete edastamise õiguse osas. Just ka sellel põhjusel on võlgade sissenõudmise käigus vajalik tugineda usaldusväärsetele riiklike registritele nagu kinnistusraamatu andmed. Vastutav töötleja võtab ka arvesse, et isikuandmete töötlemine võib tekitada isikutes ärritumistunnet ja muret, mis võib tuleneda sellest, et andmesubjektil ei ole täielikku võimu oma isikuandmete üle (vastutav töötleja on käesoleva ÕHH-i koostamisel arvestanud Andmekaitse Inspektsiooni poolt väljatooduga: https://www.aki.ee/sites/default/files/dokumendid/oigustatud_huvi_juhend_15052020.pdf). Riske, et vastutava töötleja töötajad näevad liiga palju andmeid või neid kolmandate isikutega ilma õigusliku aluseta jagavad, on vastutav töötleja maandanud nii rollipõhiselt infole ligipääsemise õigustega, korrektsete tööprotsesside kui töötajatega sõlmitud lepingute abil (vt ka küsimus p C.8, C.12 ja C.18). Töötajad on ka koolitatud ning päringud uudishimust või tööülesannetega mitte seonduvates asjades on nii vastutava töötleja, kolmandate isikute kui riiklikesse registritesse rangelt keelatud.
Pigem ei ole kooskõlas GDPR-iga
5. Kas töötlemistoimingu mittekasutamisel on kahju vastutavale töötlejale?
Võlausaldajale kaasneks ka koheselt otsene varaline kahju, kui vastutav töötleja ei saa õigusnõudeid esitada ja kaitsta. Kahju kaasneks ka vastutavale töötlejale, kuivõrd vastutav töötleja ei saaks äritegevusega jätkata. Täielikult kooskõlas
GDPR-iga
6. Kas töötlemistoimingu mittekasutamisel on kahju kolmandale isikule?
Jah, eesmärgi mitte täitmine mõjutab ka kolmandate isikute (võlausaldajad) võimalust oma õigusi rakendada. Täielikult kooskõlas
GDPR-iga
7. Kas töötlemistoiming toimub isiku huvides, kelle andmeid töödeldakse?
Töötlus on iseenesest ka isiku huvides, kes tegelikkuses ei ole suutnud võlakoormat kanda ning selle suurendamine viiks isiku jaoks tõsiste probleemideni. Seda enam, et võlgade sissenõudmine kohtumenetluses ning veel advokaatide vahendusel oleks võlgnikule veelgi kulukam.
Täielikult kooskõlas GDPR-iga
8. Kas isiku õigustatud huvi on tasakaalus selle isiku õigustatud huviga, kes õigustatud huvi erandile soovib tugineda?
Teabe töötlemine võlgnevuste sissenõudmise eesmärgil: Seoses andmete menetluses kasutamisega/vaatamisega/salvestamisega on vastutav töötleja võtnud meetmed, et seda teeksid ainult ettevõttes selleks volitatud töötajad ning seda ainult käesolevas õigustatud huvi hinnangus analüüsitud ja privaatsuspoliitikas kirjeldatud eesmärgil.
Täielikult kooskõlas GDPR-iga
9. Mis on isiku ja ettevõtte vaheline seos? Seosed võivad olla erinevad: Reeglina otsene seos puudub. Klient/endine klient. Töötaja.
Täielikult kooskõlas GDPR-iga
10. Mis on töödeldavate andmete iseloom? Kas on eriliiki andmed?
Andmetöötluse raames reeglina eriliiki isikuandmeid IKÜM art 9.1. mõttes ei töödelda. Täielikult ei saa aga välistada, et sissenõudmise käigus edastab võlgnik/võlausaldaja vmt ka infot nt oma tervise kohta. Täielikult kooskõlas
GDPR-iga
11. Kas eksisteerib kahepoolne suhe ettevõtte ning isiku vahel, kelle andmeid tahetakse töödelda Kui jah, siis kui lähedane on suhe?
Seosed võivad olla erinevad: • olemasolev; • perioodiline; • ühekordne; • puudub; • on lõppenud (st isikutel võib olla erinevaid suhteid).
Pigem kooskõlas GDPR-iga
12. Kas töötlemine piirab või riivab isiku õigusi? Õigusteks, mida isikuandmete töötlemisega riivatakse, on eeskätt põhiseaduse §s 26 sätestatud õigus eraelu puutumatusele ja §s 19 sätestatud enesemääramisõigus. Isikuandmete töötlemine võib riivata ka üldiselt inimväärikust. Seega on riive privaatsusele, andmekaitsele ning andmetöötlusega kaasneb andmesubjektile ohte, millega tuleb andmetöötlusel arvestada. Need võivad hõlmata võimalikke tulevasi otsuseid või meetmeid, mida võtab nii vastutav töötleja kui kolmandad isikud, ning olukordi, kus töötlemine võib põhjustada üksikisikute tõrjumist või diskrimineerimist, maine kahjustamist või laiemalt olukordi, kus esineb maine, läbirääkimisjõu või autonoomsuse kahjustamise risk. Lisaks kahjulikele tagajärgedele, mida on konkreetselt võimalik ette näha, võib kaasneda ka laiem emotsionaalne mõju, nagu ärritumine, hirm ja mure, mis võivad tuleneda sellest, et andmesubjektil ei ole enam võimu oma isikuandmete üle või ta saab aru, et neid on või neid võidakse kuritarvitada või seada ohtu, näiteks internetis avalikustamise kaudu.
Pigem kooskõlas GDPR-iga
13. Kas isikuandmed on saadud otse isikult või kaudselt? Andmeid võidakse saada otse, võlausaldajalt, kolmandatelt isikutelt, riiklikest registrist, eraettevõtete registritest. Täielikult kooskõlas
GDPR-iga
14. Kas on subordinatsiooni või võimusuhe isiku ja ettevõtte vahel
Töötajate suhtes, jah. Täielikult kooskõlas
GDPR-iga
15. Kas on tõenäoline, et isik võib oodata, et infot sel eesmärgil töödeldakse?
Jah. Inkassoteenuse/võlgade sissenõudmise teenuse raames läbiviidavad analüüsitavad töötlemistoimingud on turul tavapäraseks praktikaks ning selle kohta saab infot ka vastutava töötleja andmetöötluse tingimustest. Täielikult kooskõlas GDPR-iga
16. Kas töötlemist võib vaadelda kui intensiivset või kohatut? Kas sellisena võib seda näha isik või tulenevalt suhte kontekstist?
Sissenõudmise eesmärgil isiku andmete tootmist mh pärimist, vaatamist ja edastamist võiks lugeda liialt intensiivseks ja kohatuks, kui töötlemistoimingu eesmärk oleks isikut alandada ning välja pressida või muus suhtes läbirääkimistes millestki loobuma. Sellist eesmärki aga andmetöötluse ei ole. Andmetele saab vastutava töötleja töötajatest ligi vaid piiratud hulk volitatud isikuid s.t andmeid ei vaadata iga kliendi/töötaja suhtes, vaid vastavalt suhte määratletud vajadustele. Pigem kooskõlas
GDPR-iga
17. Kas isikule on avaldatud privaatsustingimused? Kuidas? Jah, töötlemistoiminguid kirjeldab ka kehtiv privaatsuspoliitika: https://julianus.ee/andmekaitsetingimused/ Täielikult kooskõlas
GDPR-iga
18. Kas isikul, kelle andmeid töödeldakse, saab lihtsasti kontrollida töötlemistoimingut või sellele vastu vaielda?
ANDMESUBJEKTI HUVI: Ühelt poolt on vastutav töötleja hinnangu p-s C.12 välja toonud andmesubjekti huvid ja õigused (PS § 26, PS § 19 ja õigus inimväärikuse) ja samas ka kaasnevad ohud (tõrjumine, diskrimineerimine, maine kahju, läbirääkimiste jõu, autonoomsuse kahjustamine, emotsionaalne mõju nagu ärritumine, hirm, mure, andmete avalikustamine internetis). VASTUTAVA TÖÖTLEJA HUVI: Teiselt poolt on vastutaval töötlejal õigustatud huvi, legitiimsed eesmärgid andmete edastamiseks ja vaatamiseks/salvestamiseks/edastamiseks vt hinnangu p-s A.1. KAALUMINE: Järgnevalt kaalub vastutav töötleja, kas võlaandmete/sissenõudmiseks vajalike isikuandmete töötlemisel ei kaalu andmesubjekti huvid või põhiõigused ja vabadused üles vastutava töötleja või kolmanda isiku õigustatud huve. Vastutav töötleja ei vii võlgade sissenõudmist läbi aluseta või selleks, et kedagi alandada või mõnitada, et sellest saaks tõrjumise, diskrimineerimise või maine kahjustamise vahend. Inimväärikust alandavates olukorras võlgade sissenõudmise eesmärgil töötlemist ei toimu. Vastutav töötleja on andmesubjekti andmetöötlusest teavitanud s.t andmete edastamine, vaatamine, pärimine ei toimu salaja. Võetud on kaitsemeetmed. Puuduvad andmesubjekti õigusi vähem kahjustavad meetmed. Andmete säilitamise tähtaeg ning juurdepääs on piiratud. Kui andmetöötlust ei toimuks, siis ei ole võimalk saavutada vastutava töötleja ega kolmandast isikust võlausaldajate eesmärke. Kaaludes andmesubjekti huvisid, vastutava töötleja huvi, riskide maandamise meetmeid, siis on vastutava töötleja valitud meede proportsionaalne ja kaalub vastutava töötleja andmetöötluse vajadus üles kaitsemeetmete rakendamisel andmesubjekti õiguste riive. Info töötlemise detailide kohta on avalik; vastustav töötleja tagab informatsiooni turvalisuse ning õigsuse; vastutaval töötlejal on õigustatud huvi andmeid vastavalt töödelda ja sissenõudmise eesmärk koos kaitsemeetmetega kaalub üle andmesubjekti huvid. Seega andmetöötlused ei põhjusta andmesubjekti õiguste rikkumist.
Täielikult kooskõlas GDPR-iga
19. Kas töötlemise ulatust saab muuta vähendamaks olulisi privaatsusriske? Võlaandmete vaatamist on piiratud range rollijaotusega ning töötajate pädevuse regulatsiooniga. Päringud registrisse saavad toimuda vaid tööülesannete raames ja täitmiseks ning võlgade sissenõudmise eesmärgil. Uudishimu jmt päringud rangelt on
keelatud. Töötajad on koolitatud. Täielikult kooskõlas
GDPR-iga
D) Kaitsemeetmed ja kompenseerivad kontrollid 1. Kaitsemeetmed hõlmavad mitmesuguseid
kompenseerivaid kontrollimeetmeid või meetmeid, mida võib kehtestada isikute kaitseks või mille kaudu vähendada töötlemisega kaasnevaid riske või võimalikke negatiivseid mõjusid.
Need on tõenäoliselt identifitseeritud andmekaitse mõjuhinnangutes, nt andmete minimeerimine, de- identifitseerimine, tehnilised ja korralduslikud meetmed, vaikimisi privaatsuspõhimõte , täiendav läbipaistvus, krüptimise täiendavad kihid, mitmefaktoriline autentimine, säilitamine, piiratud juurdepääs, Opt-out, räsimine ja muud andmekaitsega seotud tehnilised turvameetodid.
Kas kasutusele on võetud vajalikud kaitsemeetmed?
Kaitsemeetmed: - võlaandmetele ligipääs on ettevõtte sees piiratud ning logitud; - inimliku eksimuse vältimiseks on võlgade sissenõudmise protsessis mh andmete sisestamisel mitmed toimingud automatiseeritud; - piiratud on isikute ring, kelle andmeid võidakse vaadata; - isikuandmeid hoitakse EMPs; - võlaandmete töötlus ei puuduta reeglina lapsi.
Vastustav töötleja täidab oma informeerimise ning vastuväidete esitamise kohustust: - andmesubjektid saavad teavet andmetöötluse kohta vastutava töötleja kliendiandmete töötlemise põhimõtetest (https://julianus.ee/andmekaitsetingimused/); - andmesubjektid saavad vastutava töötleja poole pöördudes oma isikuandmete töötlusele vastu vaielda ning enne otsuse tegemist viib vastutav töötleja läbi täiendava õigustatud huvi hinnangu, et arvestada konkreetse andmesubjekti huvidega võimalikult suurel määral.
Täielikult kooskõlas GDPR-iga
E) Otsus ja dokumenteerimine Tulemus
Number on indikatiivne ning lõpphinnang ning vajalikud tegevused saavutamaks parem tulemus kirjuta järgmisele reale
25,0
Seega eelnevast tulenevalt on vastutaval töötlejal kaitsemeetmete rakendamisel õigustatud huvi sissenõudmiseks vajalike isikuandmete töötlemiseks.
Tulemuste selgitus: •29: õigustatud huvi alusel töötlemine on GDPR-i nõuetega täielikult kooskõlas. •27-28: õigustatud huvi alusel töötlemine on madala riskiga •24-26: õigustatud huvi alusel töötlemine on keskmise riskiga •20-23 õigustatud huvi alusel töötlemine on riskiga •<20: õigustatud huvi alusel töötlemine on vastuolus GDPR nõuetega
Lugupeetud Rivo Reitmann Registrite ja Infosüsteemide Keskus E-post: [email protected] /kuupäev digiallkirjas/
TAOTLUS Käesolevaga esitab Julianus Inkasso OÜ (registrikood 10686553) taotluse kinnistusraamatu seaduse § 74 ja IKÜM artikkel 6.1.f (õigustatud huvi) alusel krediidiinkasso teenuse osutamise eesmärgil riiklikust registrist s.t kinnistusraamatust andmete saamiseks. Krediidiinkasso teenuse osutamiseks on Finantsinspektsioon väljastanud Julianus Inkasso OÜ-le loa nr 4.1-1/167. Taotlusele on lisatud põhjalik õigustatud huvi analüüs riiklikest registritest mh just kinnistusregistrist isikuandmete pärimiseks (vt LISA 1).
Lugupidamisega
Merle Laurimäe
Julianus Inkasso OÜ juhatuse liige
/allkirjastatud digitaalselt/
Digiallkirjad
Julianus Inkasso OÜ - õigustatud huvile tuginemise hinnang Töötlemistoiming: Võlgade sissenõudmine (inkasso teenus) ja sellega seonduvad tegevused
Küsimus Vastus
Hinnang Vali rippmenüüst
hinnang küsimuse ja vastuse seosele
GDPR-iga
0. Milles töötlemistoiming seisneb? (Kirjeldus)Milleks on õigustatud huvi alusel töötlemine vajalik?
Julianus Inkasso OÜ (edaspidi vastutav töötleja) töötlemistoiming, mille õigustatud huvi käesolevalt hinnatakse on võlgade sissenõudmiseks (krediidiinkasso teenuse osutamiseks) vajalik ja seda toetav andmetöötlus. Selleks töötleb vastutav töötleja: - isikuandmeid võlgniku või juriidilisest isikust võlgniku füüsilisest isikust esindaja/töötaja kohta; täisnimi, tugeva autentimise õnnestumise teave (kui kasutatud), kasutajanimi (kui kasutatud); kontaktandmed (e-post/telefon), kirjavahetus/suhtlus, ametikoht, volitused, kui ettevõte, siis ettevõte teave, sh esindaja andmed; kinnitus andmete õigsuse kohta, nõude/võla teave - isikuandmeid võlausaldaja/võlausaldaja esindaja või juriidilisest isikust võlausaldaja füüsilisest isikust esindaja/töötaja/kolmanda isiku (pärija, võla ära maksnud isiku) kohta teave võib oleneda asjaoludest üldjuhul: täisnimi, tugeva autentimise õnnestumise teave (kui kasutatud), kasutajanimi (kui kasutatud), isikukood/sünniaeg, kontakt (aadress, telefoni number, e-posti aadress), võla teave; makskäitumise teave, varalise seisundi teave (kinnisavara, osalused jms), maksehäirete teave Võlgade sissenõudmiseks on vajalikud töötlemistoimingud: a) isikuandmetega tutvumine/lugemine/tõendina esitamine/edastamine (isikuandmete allikaks: võlgnik, võlausaldaja, kolmas isik, menetlused, riiklikud registrid (Rahvastikuregister, Transpordiameti liiklusregister, Äriregister, Avalikud Teadaanded, abieluvara register, pärimisregister, kinnistusraamat, kohtutäituritelt teave, Riigi Teataja), maksehäire register (Creditinfo AS, Krediidiregister OÜ); b) isiku identifitseerimine, isiku andmete valideerimine mh kontaktandmete valideerimine (isikuandmete allikaks mh Rahvastikuregister, Transpordiameti liiklusregister, Äriregister/Krediidiregister OÜ) c) sissenõudmisega seonduv suhtlus võlgniku ja võlausaldajaga (nõuete edastamine, suhtlus kirja, telefoni teel); läbirääkimised (mh maksegraafikud, kokkulepped jm) (isikuandmete allikas - võlgniku/võlausaldaja tema esindaja suhtlusest tulenevad andmed); d) sissenõudmine kohtumenetluses(mh kasutades OÜ Julianuse Õigusbüroo-d esindajana) (sissnõudmine võib kohtuvälisest staadiumist üle kasvada kohtumenetluseks) (allikas - kohtumenetluses poolte esitatud ja menetluseks kogutud andmed mh kinnistusraamatust ). Kinnistusraamatu andmed on vajalikud sellistel seaduspärastel õigustatud huvi eesmärkidel nagu hagi tagamine, menetluskuludeks tagatise küsimine, võimalike notariaalsete kokkulepete sõlmiseks ja kohtuvälises menetluses suurte võlanõuete puhul kliendi kasuks hüpoteegi seadmise kokkuleppe sõlmimine - kõik tegevused, kus Kinnistusraamatu andmeid vastutav töötleja vajab on nii inkasso- kui õigusabiteenuste osutamiseks õigustatud ja vajalikud).
Lisaks on vastutav töötleja läbi viinud eraldiseisva õigustatud huvi hinnangu maksehäire info töötlemiseks (vt Õigustatud huvi hindamine_maksehäire infotöötlus).
Täielikult kooskõlas GDPR-iga
A) Õigustatud huvi identifitseerimine 1. Mis on töötlemistoimingu eesmärk? Isikuandmete töötlemise eesmärgiks on võlgade sissenõudmine ja selleks vajalik/seonduv andmetöötlus.
Täielikult kooskõlas GDPR-iga
2. Kas töötlemine on vajalik vastamaks ühele või mitmele ettevõtte eesmärgile?
Jah, andmetöötlus võimaldab teostada vastutava töötleja põhitegevust ja töödelda andmeid vastutava töötleja ja kolmandate isikute õigusnõuete, eelkõige kohtuvälise kaitsmise eesmärgil, mis on ka ettevõtte põhiliseks eesmärgiks. Inkasso teenus ongi Julianus Inkasso OÜ ehk vastutava töötleja põhitegevusalaks. Täielikult kooskõlas
GDPR-iga
3. Kas töötlemine on vajalik vastamas ühele või mitmele kolmanda isiku eesmärgile?
Vastutava töötleja andmetöötlus vastab kolmandate isikute eesmärkidele õigusnõuete kaitsel. Täielikult kooskõlas
GDPR-iga
4. Kas GDPR, E-privaatsusemäärus või muu õigusakt identifitseerib töötlemistoimingu kui õigustatud tegevuse läbi tasakaalustustesti positiivset tulemit?
Jah. IKÜM art 9(2)(f) sätestab, et isegi eriliiki isikuandmete töötlemiseks on alus, kui töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks. Käesoleval juhul küll eriliiki isikuandmeid reeglina ei töödelda (menetlus võib küll harval juhul hõlmata ka andmeid näiteks võlgniku/võlausaldaja tervise kohta), kuid seda enam on selge, et võlgase sissenõudmine on legitiimseks/õigustatud andmetöötluseks.
Seejuures on ka Euroopa Andmekaitse Nõukogu selgitanud, et mh kohtuväline võlgade sissenõudmine on õigustatud huvi alusel toimuvaks andmetöötluseks: "enforcement of legal claims including debt collection via out-of-court procedures " (URL: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf, lk 25).
Täielikult kooskõlas GDPR-iga
5. Kas töötlemise huvi on "õigustatud"? Jah, hinnatav eesmärk on legitiimine s.t seadus ei keela võlgade sissenõudmist, sellel eesmärgil andmete kogumist (mh riiklikest registritest nagu kinnistusraamat ) ja edastamist. Õigustatud on nõuete esitamise ja kaitsmise eesmärk. Täielikult kooskõlas GDPR-iga
B) Vajalikkuse test 1. Miks on töötlemistoiming vastutavale töötlejale vajalik? Ilma isikuandmeid töötlemata ei ole võimalik võlgnevusi sisse nõuda - mh selleks andmed pärida, lugeda või ka edastada ega ka äritegevuse põhieesmärke saavutada.
Täielikult kooskõlas GDPR-iga
2. Miks on töötlemistoiming tähtis teistele isikutele, kellele andmeid võidakse avaldada (kui on relevantne)?
Töötlemistoiming otseselt võlgnikust andmesubjekti huve ei teeni, kuid samal ajal ka nt andmesubjektidest võlausaldajatel ei ole vastasel juhul võimalik oma õigusnõudeid maksma panna ja oma õigusi kaitsta. Samas võlgnikust andmesubjekt saab teinekord võlaandmete edastamisel selguse, mis on andmesubjekti huvides. Pigem kooskõlas
GDPR-iga
3. Kas on muu viis saavutamaks eesmärk? Ei ole. Võlgnevuste sissenõudmisega seonduvat infot ei ole võimalik töödelda mh edastada/sellega tutvuda/seda edastada ilma isikuandmeid töötlemata. Täielikult kooskõlas
GDPR-iga
C) Tasakaalustamise test
1. Kas isikule võib sellist töötlust ette näha? Jah, andmesubjektidele ei tule üllatusena, millised isikuandmeid vastutav töötleja töötleb/millised toiminguid teeb. Vastutava töötleja privaatsuspoliitika selgitab detailselt nii isikuandmete loetu, allikaid, tegevusi kui aluseid vt URL: https://julianus.ee/andmekaitsetingimused/. Tingimustest tuleneb ka selgelt, et just võlgade sissenõudmine ja sellega seonduv andmetöötlus ongi Julianus Inkasso OÜ põhitegevuseks.
Täielikult kooskõlas GDPR-iga
2. Kas toiming lisab väärtust tootele või teenusele, mida isik ise kasutab?
Analüüsitaval eesmärgil andmetöötlus ei loo otseselt alati väärtust võlgnikust andmesubjektile aga õigusnõuete lahenemine on ka võlgnikust andmesubjekti huvides. Andmetöötlus on samas selgelt võlausaldaja huvides. Pigem kooskõlas
GDPR-iga
3. Kas töötlemistoiming mõjutab tõenäoliselt negatiivselt isiku õigusi?
Ei ole välistatud, et juhul, kui isikult nõutakse inkasso vahendusel võlga sisse, siis tehakse sellest negatiivseid järeldusi (vt ka küsimus/vastus C. 4, C.12 ja C.18). Pigem kooskõlas
GDPR-iga
4. Kas töötlemistoiming võib lõppeda soovimatu kahju või kannatusega isikule?
Isikule võib tekkida soovimatu kahju, kui isikut on seostatud võlaga nt vea tõttu andmetes. Või ka põhjusel, et vastutava töötleja töötaja sisestab võlainfo ekslikult, pahatahtlikult või menetletakse võlga, mille puhul hiljem selguvad asjaolud, et võla sissenõudmine ei olnud põhjendatud. Selle riski maandamiseks rakendab vastutav töötleja äärmist hoolt, et menetlemisel/andmete edastamisel/sisestamisel viidaks läbi kontroll andmete edastamise õiguse osas. Just ka sellel põhjusel on võlgade sissenõudmise käigus vajalik tugineda usaldusväärsetele riiklike registritele nagu kinnistusraamatu andmed. Vastutav töötleja võtab ka arvesse, et isikuandmete töötlemine võib tekitada isikutes ärritumistunnet ja muret, mis võib tuleneda sellest, et andmesubjektil ei ole täielikku võimu oma isikuandmete üle (vastutav töötleja on käesoleva ÕHH-i koostamisel arvestanud Andmekaitse Inspektsiooni poolt väljatooduga: https://www.aki.ee/sites/default/files/dokumendid/oigustatud_huvi_juhend_15052020.pdf). Riske, et vastutava töötleja töötajad näevad liiga palju andmeid või neid kolmandate isikutega ilma õigusliku aluseta jagavad, on vastutav töötleja maandanud nii rollipõhiselt infole ligipääsemise õigustega, korrektsete tööprotsesside kui töötajatega sõlmitud lepingute abil (vt ka küsimus p C.8, C.12 ja C.18). Töötajad on ka koolitatud ning päringud uudishimust või tööülesannetega mitte seonduvates asjades on nii vastutava töötleja, kolmandate isikute kui riiklikesse registritesse rangelt keelatud.
Pigem ei ole kooskõlas GDPR-iga
5. Kas töötlemistoimingu mittekasutamisel on kahju vastutavale töötlejale?
Võlausaldajale kaasneks ka koheselt otsene varaline kahju, kui vastutav töötleja ei saa õigusnõudeid esitada ja kaitsta. Kahju kaasneks ka vastutavale töötlejale, kuivõrd vastutav töötleja ei saaks äritegevusega jätkata. Täielikult kooskõlas
GDPR-iga
6. Kas töötlemistoimingu mittekasutamisel on kahju kolmandale isikule?
Jah, eesmärgi mitte täitmine mõjutab ka kolmandate isikute (võlausaldajad) võimalust oma õigusi rakendada. Täielikult kooskõlas
GDPR-iga
7. Kas töötlemistoiming toimub isiku huvides, kelle andmeid töödeldakse?
Töötlus on iseenesest ka isiku huvides, kes tegelikkuses ei ole suutnud võlakoormat kanda ning selle suurendamine viiks isiku jaoks tõsiste probleemideni. Seda enam, et võlgade sissenõudmine kohtumenetluses ning veel advokaatide vahendusel oleks võlgnikule veelgi kulukam.
Täielikult kooskõlas GDPR-iga
8. Kas isiku õigustatud huvi on tasakaalus selle isiku õigustatud huviga, kes õigustatud huvi erandile soovib tugineda?
Teabe töötlemine võlgnevuste sissenõudmise eesmärgil: Seoses andmete menetluses kasutamisega/vaatamisega/salvestamisega on vastutav töötleja võtnud meetmed, et seda teeksid ainult ettevõttes selleks volitatud töötajad ning seda ainult käesolevas õigustatud huvi hinnangus analüüsitud ja privaatsuspoliitikas kirjeldatud eesmärgil.
Täielikult kooskõlas GDPR-iga
9. Mis on isiku ja ettevõtte vaheline seos? Seosed võivad olla erinevad: Reeglina otsene seos puudub. Klient/endine klient. Töötaja.
Täielikult kooskõlas GDPR-iga
10. Mis on töödeldavate andmete iseloom? Kas on eriliiki andmed?
Andmetöötluse raames reeglina eriliiki isikuandmeid IKÜM art 9.1. mõttes ei töödelda. Täielikult ei saa aga välistada, et sissenõudmise käigus edastab võlgnik/võlausaldaja vmt ka infot nt oma tervise kohta. Täielikult kooskõlas
GDPR-iga
11. Kas eksisteerib kahepoolne suhe ettevõtte ning isiku vahel, kelle andmeid tahetakse töödelda Kui jah, siis kui lähedane on suhe?
Seosed võivad olla erinevad: • olemasolev; • perioodiline; • ühekordne; • puudub; • on lõppenud (st isikutel võib olla erinevaid suhteid).
Pigem kooskõlas GDPR-iga
12. Kas töötlemine piirab või riivab isiku õigusi? Õigusteks, mida isikuandmete töötlemisega riivatakse, on eeskätt põhiseaduse §s 26 sätestatud õigus eraelu puutumatusele ja §s 19 sätestatud enesemääramisõigus. Isikuandmete töötlemine võib riivata ka üldiselt inimväärikust. Seega on riive privaatsusele, andmekaitsele ning andmetöötlusega kaasneb andmesubjektile ohte, millega tuleb andmetöötlusel arvestada. Need võivad hõlmata võimalikke tulevasi otsuseid või meetmeid, mida võtab nii vastutav töötleja kui kolmandad isikud, ning olukordi, kus töötlemine võib põhjustada üksikisikute tõrjumist või diskrimineerimist, maine kahjustamist või laiemalt olukordi, kus esineb maine, läbirääkimisjõu või autonoomsuse kahjustamise risk. Lisaks kahjulikele tagajärgedele, mida on konkreetselt võimalik ette näha, võib kaasneda ka laiem emotsionaalne mõju, nagu ärritumine, hirm ja mure, mis võivad tuleneda sellest, et andmesubjektil ei ole enam võimu oma isikuandmete üle või ta saab aru, et neid on või neid võidakse kuritarvitada või seada ohtu, näiteks internetis avalikustamise kaudu.
Pigem kooskõlas GDPR-iga
13. Kas isikuandmed on saadud otse isikult või kaudselt? Andmeid võidakse saada otse, võlausaldajalt, kolmandatelt isikutelt, riiklikest registrist, eraettevõtete registritest. Täielikult kooskõlas
GDPR-iga
14. Kas on subordinatsiooni või võimusuhe isiku ja ettevõtte vahel
Töötajate suhtes, jah. Täielikult kooskõlas
GDPR-iga
15. Kas on tõenäoline, et isik võib oodata, et infot sel eesmärgil töödeldakse?
Jah. Inkassoteenuse/võlgade sissenõudmise teenuse raames läbiviidavad analüüsitavad töötlemistoimingud on turul tavapäraseks praktikaks ning selle kohta saab infot ka vastutava töötleja andmetöötluse tingimustest. Täielikult kooskõlas GDPR-iga
16. Kas töötlemist võib vaadelda kui intensiivset või kohatut? Kas sellisena võib seda näha isik või tulenevalt suhte kontekstist?
Sissenõudmise eesmärgil isiku andmete tootmist mh pärimist, vaatamist ja edastamist võiks lugeda liialt intensiivseks ja kohatuks, kui töötlemistoimingu eesmärk oleks isikut alandada ning välja pressida või muus suhtes läbirääkimistes millestki loobuma. Sellist eesmärki aga andmetöötluse ei ole. Andmetele saab vastutava töötleja töötajatest ligi vaid piiratud hulk volitatud isikuid s.t andmeid ei vaadata iga kliendi/töötaja suhtes, vaid vastavalt suhte määratletud vajadustele. Pigem kooskõlas
GDPR-iga
17. Kas isikule on avaldatud privaatsustingimused? Kuidas? Jah, töötlemistoiminguid kirjeldab ka kehtiv privaatsuspoliitika: https://julianus.ee/andmekaitsetingimused/ Täielikult kooskõlas
GDPR-iga
18. Kas isikul, kelle andmeid töödeldakse, saab lihtsasti kontrollida töötlemistoimingut või sellele vastu vaielda?
ANDMESUBJEKTI HUVI: Ühelt poolt on vastutav töötleja hinnangu p-s C.12 välja toonud andmesubjekti huvid ja õigused (PS § 26, PS § 19 ja õigus inimväärikuse) ja samas ka kaasnevad ohud (tõrjumine, diskrimineerimine, maine kahju, läbirääkimiste jõu, autonoomsuse kahjustamine, emotsionaalne mõju nagu ärritumine, hirm, mure, andmete avalikustamine internetis). VASTUTAVA TÖÖTLEJA HUVI: Teiselt poolt on vastutaval töötlejal õigustatud huvi, legitiimsed eesmärgid andmete edastamiseks ja vaatamiseks/salvestamiseks/edastamiseks vt hinnangu p-s A.1. KAALUMINE: Järgnevalt kaalub vastutav töötleja, kas võlaandmete/sissenõudmiseks vajalike isikuandmete töötlemisel ei kaalu andmesubjekti huvid või põhiõigused ja vabadused üles vastutava töötleja või kolmanda isiku õigustatud huve. Vastutav töötleja ei vii võlgade sissenõudmist läbi aluseta või selleks, et kedagi alandada või mõnitada, et sellest saaks tõrjumise, diskrimineerimise või maine kahjustamise vahend. Inimväärikust alandavates olukorras võlgade sissenõudmise eesmärgil töötlemist ei toimu. Vastutav töötleja on andmesubjekti andmetöötlusest teavitanud s.t andmete edastamine, vaatamine, pärimine ei toimu salaja. Võetud on kaitsemeetmed. Puuduvad andmesubjekti õigusi vähem kahjustavad meetmed. Andmete säilitamise tähtaeg ning juurdepääs on piiratud. Kui andmetöötlust ei toimuks, siis ei ole võimalk saavutada vastutava töötleja ega kolmandast isikust võlausaldajate eesmärke. Kaaludes andmesubjekti huvisid, vastutava töötleja huvi, riskide maandamise meetmeid, siis on vastutava töötleja valitud meede proportsionaalne ja kaalub vastutava töötleja andmetöötluse vajadus üles kaitsemeetmete rakendamisel andmesubjekti õiguste riive. Info töötlemise detailide kohta on avalik; vastustav töötleja tagab informatsiooni turvalisuse ning õigsuse; vastutaval töötlejal on õigustatud huvi andmeid vastavalt töödelda ja sissenõudmise eesmärk koos kaitsemeetmetega kaalub üle andmesubjekti huvid. Seega andmetöötlused ei põhjusta andmesubjekti õiguste rikkumist.
Täielikult kooskõlas GDPR-iga
19. Kas töötlemise ulatust saab muuta vähendamaks olulisi privaatsusriske? Võlaandmete vaatamist on piiratud range rollijaotusega ning töötajate pädevuse regulatsiooniga. Päringud registrisse saavad toimuda vaid tööülesannete raames ja täitmiseks ning võlgade sissenõudmise eesmärgil. Uudishimu jmt päringud rangelt on
keelatud. Töötajad on koolitatud. Täielikult kooskõlas
GDPR-iga
D) Kaitsemeetmed ja kompenseerivad kontrollid 1. Kaitsemeetmed hõlmavad mitmesuguseid
kompenseerivaid kontrollimeetmeid või meetmeid, mida võib kehtestada isikute kaitseks või mille kaudu vähendada töötlemisega kaasnevaid riske või võimalikke negatiivseid mõjusid.
Need on tõenäoliselt identifitseeritud andmekaitse mõjuhinnangutes, nt andmete minimeerimine, de- identifitseerimine, tehnilised ja korralduslikud meetmed, vaikimisi privaatsuspõhimõte , täiendav läbipaistvus, krüptimise täiendavad kihid, mitmefaktoriline autentimine, säilitamine, piiratud juurdepääs, Opt-out, räsimine ja muud andmekaitsega seotud tehnilised turvameetodid.
Kas kasutusele on võetud vajalikud kaitsemeetmed?
Kaitsemeetmed: - võlaandmetele ligipääs on ettevõtte sees piiratud ning logitud; - inimliku eksimuse vältimiseks on võlgade sissenõudmise protsessis mh andmete sisestamisel mitmed toimingud automatiseeritud; - piiratud on isikute ring, kelle andmeid võidakse vaadata; - isikuandmeid hoitakse EMPs; - võlaandmete töötlus ei puuduta reeglina lapsi.
Vastustav töötleja täidab oma informeerimise ning vastuväidete esitamise kohustust: - andmesubjektid saavad teavet andmetöötluse kohta vastutava töötleja kliendiandmete töötlemise põhimõtetest (https://julianus.ee/andmekaitsetingimused/); - andmesubjektid saavad vastutava töötleja poole pöördudes oma isikuandmete töötlusele vastu vaielda ning enne otsuse tegemist viib vastutav töötleja läbi täiendava õigustatud huvi hinnangu, et arvestada konkreetse andmesubjekti huvidega võimalikult suurel määral.
Täielikult kooskõlas GDPR-iga
E) Otsus ja dokumenteerimine Tulemus
Number on indikatiivne ning lõpphinnang ning vajalikud tegevused saavutamaks parem tulemus kirjuta järgmisele reale
25,0
Seega eelnevast tulenevalt on vastutaval töötlejal kaitsemeetmete rakendamisel õigustatud huvi sissenõudmiseks vajalike isikuandmete töötlemiseks.
Tulemuste selgitus: •29: õigustatud huvi alusel töötlemine on GDPR-i nõuetega täielikult kooskõlas. •27-28: õigustatud huvi alusel töötlemine on madala riskiga •24-26: õigustatud huvi alusel töötlemine on keskmise riskiga •20-23 õigustatud huvi alusel töötlemine on riskiga •<20: õigustatud huvi alusel töötlemine on vastuolus GDPR nõuetega
Lugupeetud Rivo Reitmann Registrite ja Infosüsteemide Keskus E-post: [email protected] /kuupäev digiallkirjas/
TAOTLUS Käesolevaga esitab Julianus Inkasso OÜ (registrikood 10686553) taotluse kinnistusraamatu seaduse § 74 ja IKÜM artikkel 6.1.f (õigustatud huvi) alusel krediidiinkasso teenuse osutamise eesmärgil riiklikust registrist s.t kinnistusraamatust andmete saamiseks. Krediidiinkasso teenuse osutamiseks on Finantsinspektsioon väljastanud Julianus Inkasso OÜ-le loa nr 4.1-1/167. Taotlusele on lisatud põhjalik õigustatud huvi analüüs riiklikest registritest mh just kinnistusregistrist isikuandmete pärimiseks (vt LISA 1).
Lugupidamisega
Merle Laurimäe
Julianus Inkasso OÜ juhatuse liige
/allkirjastatud digitaalselt/