Autor: Pirkko-Liis Harkmaa • 22. veebruar 2021

Andmekaitse Inspektsioon avaldas hiljuti statistika möödunud aasta andmekaitsealaste rikkumisteadete kohta. Kokku sai Andmekaitse Inspektsioon 2020. aastal 138 rikkumisteadet, mida oli aasta varasema ajaga võrreldes 20% rohkem. Märkimisväärne on aga asjaolu, et üle poole kõikidest rikkumisteadetest puudutas juhtumeid, mis olid seotud töötajate tähelepanematuse ja hooletusega. Ka on Andmekaitse Inspektsiooni teatel varasemast rohkem teavitusi kliendiandmebaasi vargustest, kusjuures kõikide taoliste juhtumite ühiseks nimetajaks oli asjaolu, et kliendiandmebaasid kopeeriti infosüsteemist kaasa seoses teise tööandja juurde tööle asumisega või oma tööandjaga samalaadse teenuse osutama hakkamisega.

Varem sel aastal avaldas Andmekaitse Inspektsioon ka statistika 2020. aastal Andmekaitse Inspektsiooni infoliinile tehtud päringute kohta. Eelmisel aastal helistati infoliinile kokku 1222 korda. Peaaegu 250 kõnet olid valvekaamera kasutamise kohta, kusjuures kõige enam tunti valvekaamera kasutamise nõuete eiramise puhul muret töösuhete kontekstis. Samuti esitati küsimusi seoses e-posti sulgemisega pärast töösuhte lõppemist.

Märkame sageli ka oma igapäevases klienditöös mitmeid vajakajäämisi just töötajate isikuandmete kaitsmisel ning isikuandmete töötlemise reeglite jõustamisel, mistõttu Andmekaitse Inspektsiooni vastav statistika ei ole üllatav. Sageli peetakse isikuandmete kaitse küsimustega tegelemist pelgalt formaalsuseks või tüütuks bürokraatiaks. Niinimetatud sisemise majapidamise korrasolek muutub tihti oluliseks alles siis, kui on toimunud rikkumine või kui töötajaga tekib konfliktiolukord. Kui dokumentatsioon ja protseduurireeglid on puudulikud, ei õnnestu paraku selliseid olukordi tööandjale soodsalt lahendada ning tööandja võib kanda sellises olukorras märkimisväärset kahju, mis ei pruugi piirduda üksnes rahalise kahjuga, vaid võib kaasa tuua ka mainekahju.

Toome artiklis välja mõned enamlevinud puudused, mida oleme töö käigus tähele pannud.

Avaldatud andmekaitsetingimused ei peegelda tegelikkust

Isikuandmete kaitse üldmääruse kohaselt peab tööandja isikuandmete vastutava töötlejana andma töölesoovijatele ja töötajatele teada, milliseid nende isikuandmeid andmeid, millisel alusel ja millisel eesmärgil töödeldakse. Sageli puutume aga kokku olukorraga, kus tööandjal on küll töölesoovijate või töötajate andmekaitsetingimused olemas, kuid nende sisu ei kajasta kõiki tööle kandideerimise või töösuhte raames töödeldavaid isikuandmeid või kõiki nendega tehtavaid toiminguid.

Oleme täheldanud, et selle põhjuseks on enamasti asjaolu, et enne andmekaitsetingimuste väljatöötamist ei ole tehtud vajalikku eeltööd ning kaardistatud vastavaid andmevooge, puudub dokumenteeritud isikuandmete töötlemise ülevaade ja andmekaitsetingimuste koostamise aluseks on võetud näidisdokument, mida ei ole kohandatud oma ettevõtte spetsiifika järgi. Ka esineb olukordi, kus tööandja on küll isikuandmete kaitse üldmääruse kehtima hakkamisel tublisti kõik töötlemistoimingud kaardistanud, ülevaatesse ja andmekaitsetingimustesse kirja pannud, kuid ei ole neid hiljem enam uuendanud, kuigi andmevood ja töötlemistoiminguid on vahepeal muutunud.

See viib aga selleni, et andmekaitsetingimused ja tegelikkus on omavahel vastuolus. Kõige sagedamini unustatakse töötajaid teavitada töötajate jälgimiseks kasutatavatest sellistest meetmetest nagu videovalve, internetikasutuse monitoorimine või ligipääs töötaja e-postkastile. Seda näitab ka ülalpool viidatud Andmekaitse Inspektsiooni infoliini statistika. Töölesoovijate puhul unustatakse kõige sagedamini teavitada neid taustauuringute tegemisest. Viimasel ajal on märgata ka seda, et töötlemisülevaateid ja andmekaitsetingimusi ei uuendata koroonaviiruse levikust tingitud uute töödeldavate andmekategooriate ja töötlemistoimingutega.

Isikuandmete kaitse üldmääruse kohaselt peab tööandja kui andmetöötleja korraldama andmetöötluse selliselt, et see tugineks seadusele ning oleks õiglane ja läbipaistev. Avaldatud andmekaitsetingimuste põhjal saavad töölesoovijad ja töötajad muu hulgas hinnata, kas tööandja käib nende isikuandmetega ringi õiguspäraselt ega riku nende õigusi. Kui andmekaitsetingimused ei peegelda tegelikkust, siis ei ole see võimalik. Ka seab tööandja iseennast selliselt olukorda, kus tal puudub ülevaade selle kohta, kes milliseid isikuandmeid ning millisel eesmärgil töötleb. See tekitab isikuandmete väärkasutamise ohu ning raskendab tööandjal vastata töölesoovijate ja töötajate päringutele nende andmete töötlemise kohta. Samuti puudub tööandjal võimalus vaidluse korral tõendada, et ta on andmeid õiguspäraselt töödelnud.

Paraku valitseb sarnane olukord sageli ka kliendiandmete töötlemisel.

Tulekul 3. märtsil!

Veebiseminar: Töösuhete õigusaktide olulisimad muudatused ja kohtupraktika

Esinevad Pirkko-Liis Harkmaa ja Karin Madisson

Rohkem infot saad SIIT.

Töötajate isikuandmete töötlemise õigusliku alusena kasutatakse nõusolekut

Isikuandmete töötlemisel töösuhete raames on peamiseks õiguslikuks aluseks töölepingu ja seadusest tulenevate tööandja kohustuste täitmine. Reeglina ei ole tööandjal vajalik töötaja nõusolek tema isikuandmete töötlemiseks seoses töösuhtega. Töötaja nõusolekul saab tööandja töödelda üldjuhul üksnes selliseid isikuandmeid, mille töötlemine ei ole töösuhte seisukohalt n-ö hädavajalik. Seda põhjusel, et tulenevalt töösuhtele iseloomulikust töötaja ja tööandja vahelisest alluvussuhtest loetakse, et töötaja ei saa anda nõusolekut vabatahtlikult. Nõusoleku vabatahtlikkus on aga selle kehtivuse üheks eelduseks. Ka tuleks nõusolek anda muudest tahteavaldusest eraldi ehk töölepingu ja nõusoleku allkirjastamine peab toimuma eraldi.

Märkame ka seda, et nõusolekupõhiselt üritatakse töödelda selliseid töötajate isikuandmeid, mille suhtes puudub tööandjal õigustatud huvi. Nimelt on tööandjal õigus töödelda töötaja selliseid isikuandmeid, mille suhtes tal on õigustatud huvi. Eelkõige tähendab see selliseid andmeid, mis on vajalikud selleks, et hinnata, kas töötaja sobib tehtavale tööle või mis on vajalikud seoses töölepingu täitmisega. Kui andmed selleks vajalikud ei ole, siis anna õigust selliste andmete töötlemiseks ka töötajalt võetav nõusolek.

Kahjuks aga siiski märkame, et sageli sisalduvad töölepingutes endiselt sätted selle kohta, et töölepingule alla kirjutades annab töötaja ühtlasi ka nõusoleku oma isikuandmete töötlemiseks, või võetakse nõusolekuid selliste andmete töötlemiseks, milleks tööandjal puudub õigustatud huvi. Aga isegi kui nõusolek on antud selliste isikuandmete töötlemiseks, mida saab töösuhtes nõusolekupõhiselt töödelda, on selline töölepingus sisalduv nõusolek tühine ning kõik sellise nõusoleku aluselt põhinevad andmetöötlustoimingud on tehtud õigusliku aluseta.

Isikuandmete kaitsele ei pöörata ettevõttes vajalikku tähelepanu

Märkame oma töös sageli ka seda, et isikuandmete kaitse ei ole ettevõttes prioriteet ning vastavate protseduuride ja dokumentatsiooni väljatöötamise ja rakendamisega tegeletakse alles siis, kui muu äritegevuse kõrvalt selleks aega jääb. Näeme, et isegi kui andmekaitsetingimused on olemas, siis ettevõtetes tihti puuduvad sisemised reeglid, kuidas isikuandmete töötlemisega kokkupuutuvad töötajad neid töötlema peavad. Sellised reegleid peaksid olemas olema ka juhul, kui töödeldakse vaid oma töötajate või töölesoovijate isikuandmeid. Piisavat tähelepanu ei ole osutata IT- ja küberturvalisusele, muudele isikuandmete kaitse abinõude juurutamisele ning töötajaid ei koolitata isikuandmete kaitse alal.

See kõik aitabki kaasa sellise olukorra tekkimisele, kus tööandja enda vähene fokusseeritus andmekaitse tagamisele ning töötajate vähene teadlikkus andmeturbest võimaldab hooletusest tekkinud andmelekkeid või koguni tahtlikku andmete kuritarvitust.

Seega soovitame kõigil aeg-ajalt üle vaadata ja veenduda, et ettevõtte isikuandmete kaitset puudutav dokumentatsioon ajakohane, protseduurireeglid paigas, küberturvalisus tagatud ning töötajad on saanud piisava koolituse.