Uus isikuandmete kaitse üldmäärus laiendab töötajate õigusi ja kehtestab uued nõuded isikuandmete töötlemisele

• Estonia

• Employment law

31-03-2017

Tööandjad töötlevad suures mahus isikuandmeid, alustades töölesoovija CV-st ja lõpetades töölepingu ülesütlemise avaldusega. 25.05.2018 jõustub Euroopa Parlamendi ja Nõukogu füüsiliste isikute isikuandmete kaitse üldmäärus 2016/679 (Määrus), mis loob uusi kohustusi isikuandmete töötlemisel ning suurendab vastutust reeglite rikkumisel. Teatud rikkumiste, näiteks andmetöötluse aluspõhimõtete eiramise korral on võimalik trahv kuni 20 miljonit eurot või 4% eelneva majandusaasta käibest.

Töötajad kui andmesubjektid saavad suurema kontrolli oma andmete üle

Määruse kohaselt tuleb töötajat teavitada, et tal on õigus tutvuda tema kohta kogutud andmetega, ning saada kogutud andmete koopiaid, infot andmete koosseisust, töötlemise eesmärkidest, adressaatidest, andmete allikast (kui andmed ei pärine töötajalt), andmete säilitamise perioodist, kaebuse esitamise õigusest. Määrus sätestab üksikasjalikumalt teavitamise vormi ja viisi. Teavitada tuleb kokkuvõtlikult, selgelt, arusaadavalt, lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt. Selgitused võivad olla eluliste näidete vormis. Näiteks kui tööandja töötleb kooskõlas kehtivate nõuetega ärisaladuse hoidmise kohustuse rikkumise kahtluse alusel töötaja e-posti, ning seejuures saadakse juurdepääs töötaja isikuandmetele, siis tuleb tööandjal teavitada töötajale kirjalikult, millisel perioodil tema andmeid töödeldi, millisel eesmärgil, milline oli tulemus ja et töötlemise käigus tuvastatud isiklikud e-kirjad suleti koheselt.

Andmesubjektil on endiselt õigus nõuda andmete töötlejalt ebaõigete või ebatäpsete andmete parandamist. Lisaks reguleerib Määrus täpsemalt õigust piirata andmesubjekti puudutavate andmete töötlemist või esitada vastuväide andmete töötlemise legitiimsusele. Eeldusel, et töötaja vastuväide on põhjendatud ega puuduta infot, mis on vajalik töölepingu edasiseks täitmiseks (nt nimi, aadress, haridus, kvalifikatsioon), võib tööandja töötaja vaidlustatud andmeid edasi töödelda üksnes töötaja nõusolekul.

Määrus karmistab ka nõusoleku, kui ühe levinuma isikuandmete töötlemise aluse, kehtivuse ja rakendamise tingimusi. Määruse järgi ei ole nõusolek vabatahtlik, kui andmesubjekt ja töötleja on selgelt ebavõrdses seisus. See käib ka töösuhte kohta. Töösuhtes on seaduse alusel lubatud ainult selliste andmete töötlemine, mis on otseselt vajalikud tööülesannete täitmiseks (nt nimi, aadress, isiku erialane kvalifikatsioon ja sõltuvalt töö iseloomust ka muud andmed). Muude isikuandmete töötlemist töösuhtes, mis eeldavad töötaja nõusolekut (nt andmed tervise, rassi, usu, poliitiliste vaadete vms kohta) tuleb vältida. Kui muu seaduslik alus selliste andmete töötlemiseks puudub (nt töötaja terviseandmeid võib koguda ka töötervishoiu ja ohutuse seaduse nõuete täitmiseks), siis tuleb isikuandmete töötlemisest hoiduda või õigusvastane töötlemine koheselt lõpetada. 

Määrus täpsustab EL kohtupraktikas tunnistatud õigust olla unustatud (ingl. k. „right to be forgotten“). Töötajal on õigus nõuda andmete kustutamist, kui andmete kogumise eesmärk on ammendunud. See õigus on siiski piiratud tööandja seadusliku kohustusega andmeid säilitada. Tööandjal on kohustus säilitada tööõnnetusi või kutsehaigestumisi puudutavaid andmeid vähemalt 55 aastat ja raamatupidamise algdokumente (nt lähetuse kuluarveid) 7 aastat. Kuna töötajal on õigus esitada töötasust tulenevaid nõudeid 3 kalendriaasta jooksul ja diskrimineerivast käitumisest põhjustatud kahju hüvitamise nõudeid 1 aasta jooksul, siis on tööandja õigustatud säilitama ka vastavaid dokumente.

Määrus tutvustab uue õigusena andmesubjekti õiguse nõuda andmete töötlejalt tema kohta käivate andmete ülekandmist teisele töötlejale (ingl. k. „data portability“). Töötajal on võimalik nõuda tema kohta tööandja poolt kogutud andmete väljastamist struktureeritud ja üldkasutaval digitaalsel kujul ning ülekandmist teisele töötlejale. Ülekandmisele ei kuulu andmed, mis on tööandja poolt kogutud paberkandjale, sisaldavad ärisaladusi, tehniliselt ülekandmatud või mis on tööandja poolt muul viisil töödeldud ning saanud lisandväärtuse (nt analüüsid andmete põhjal).

Tööandjate, kui andmetöötlejate kohustus rakendada tugevamaid turvameetmeid

Isikuandmete turvaliseks ja seaduslikuks töötlemiseks kohustuvad tööandjad Määruse järgi rakendama asjakohaseid tehnilisi ja korralduslike meetmeid, mis sõltuvad töötlemise laadist, ulatusest, kontekstist, eesmärkidest ning töötlemisega kaasnevatest ohtudest. Tööandjad peavad suutma tõendada isikuandmete töötlemise kooskõla Määrusega. Kaitsemeetmed peavad olema lõimitud andmete töötlemisse ning vaikimisi tagama töötlemise vastavuses Määrusega ja töötlemise eesmärkidega. Määrus näeb mh ette tööandjate poolt asjakohaste isikuandmete töötlemise protseduurireeglite väljatöötamise.

Volitatud töötlejad on Määruse järgi samuti kohustatud isikud.

Määrus sätestab järgmised isikuandmete turvalist ja seaduslikku töötlemist tagavad meetmed:

• isikuandmete töötlemise toimingute kirjalik või elektrooniline registreerimine;
• asjakohasete turva- ja korralduslike meetmete rakendamine, nagu isikuandmete pseudonümiseerimine/krüpteerimine, võime kiiresti taastada kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral, rakendatavate meetmete tõhususe korrapärane testimine ja hindamine isikuandmete töötlemise turvalisuse tagamiseks;
• isikuandmetega seotud rikkumisest järelevalveasutusele teatamine hiljemalt 72 tunni jooksul pärast sellest teada saamist (v.a kui rikkumine ei ole ohtlik);
• andmesubjekti viivitamata teavitamine isikuandmetega seotud rikkumisest (v.a kui rikkumine ei kujuta endast suurt ohtu, on rakendatud turvameetmed või võetud hilisemad meetmed, mis teevad suure ohu teket andmetele vähetõenäoliseks);
• kavandatava töötlemise mõju hindamine andmete kaitsele;
• eelnev järelevalveasutusega konsulteerimine, kui mõjuhinnangust nähtub töötlemisel andmetele suur ohu tekkimise võimalus;
• Andmespetsialisti määramine teatud liiki andmetöötlejate või teatud spetsiifiliste andmete või nende ulatuse töötlemise puhul. 

Soovitatavad tegevused lähitulevikus

Kuigi Määruse jõustumiseni on veel aasta aega, on tööandjatel mõistlik alustada ettevalmistustega juba praegu. Soovitused:

• Kaardistage töödeldavad andmed ja andmete töötlemise protseduurid ning hinnake nende vastavust Määruses sätestatud eesmärkidele ja nõuetele;
• Hinnake andmete töötlemisel ja säilitamisel kasutatavaid turva- ning korraldusmeetmeid;
• Vaadake üle ja täiendage kasutatavaid vorme andmesubjektide teavitamiseks nende õigustest, eriti kui andmeid töödeldakse nõusoleku alusel, ning rakendatavatest isikuandmete töötlemise põhimõtetest;
• Hinnake, kas ettevõtte olemust, töödeldavate andmete liiki või ulatust arvestades peab määrama andmekaitsespetsialisti ning alustage protsessi vastava ametipositsiooni loomiseks;
• Veenduge, kas teil on sobiv spetsialist, kes jälgib Määrusest tulenevate kohustuste täitmist ning vajadusel korraldage vastava spetsialisti koolitamine või värbamine;
• Küsimuste korral konsulteerige õigusspetsialistiga.