Global menu

Our global pages

Close

Maria Jotautas: Isikuandmete väärkasutusel karmid tagajärjed

  • Estonia
  • Other

22-12-2011Kui varasematel aastatel tegi Andmekaitse Inspektsioon isikuandmete töötlemise nõuete rikkumise eest ettekirjutusi harva, siis 2010-2011 on inspektsioon asunud aktiivsemalt nõuete täitmist jälgima ja on teinud arvukalt ettekirjutusi. Seega tasub ettevõtjatel isikuandmete töötlemise nõudeid tõsiselt võtta.

Isikuandmete töötlemise nõuete rikkumise eest võib Inspektsioon teha ettekirjutuse rikkumise kõrvaldamiseks. Kui seda ei täideta, võib kohaldada kuni 9600 eruo suurust sunniraha või trahvida juriidilist isikut kuni 32 000 euro ja tema alluvuses töötavat füüsilist kuni 1200 euro suuruse trahviga. Rikkujad ja vastavad menetlused avalikustatakse Inspektsiooni interneti kodulehel. Lisaks võivad rikkujale kaasneda kulud, kui ta peab nõuetele mittevastavad lepinguvormid või, kui andmeid kogutakse interneti kodulehe kaudu, siis ka kodulehe ümber tegema.

Mis on isikuandmed ja millal võib neid töödelda ja kasutada? Isikuandmed on mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata millisel kujul või vormis need on. Näiteks võib isik olla tuvastatav vaid oma elektronposti aadressi kaudu, kui aadress sisaldab isiku ees-ja perekonnanime või kui see võimaldab interneti otsingumootori abil leida tema muid isikuandmeid.

Töötlemine on iga isikuandmetega tehtav toiming, sh andmete kasutamine, kogumine, säilitamine, korrastamine, muutmine, edastamine, hävitamine, sõltumata kasutatavast vahendist ja viisist. Delikaatsetele isikuandmetele (nt terviseseisundi andmete) kohta kehtiva rangemad nõuded ning neid siinkohal ei käsitleta.

Reeglina võib isikuandmeid töödelda ainult andmesubjekti seadusega ettenähtud vormis antud nõusolekul. Erandina võib nõusolekuta andmeid töödelda näiteks isikuga sõlmitud lepingu täitmiseks või seaduse alusel.

Nõusolek peab üldiselt olema alati antud kas kirjalikult või kirjalikku taasesitamist võimaldavas vormis (näiteks elektronkirja või SMSi teel, interneti kodulehel asuva lingi kaudu), aktiivse tahteavaldusega ning tuginema vabal tahtel. Vaikimist või tegevusetust nõusolekuks ei loeta.

Näiteks tegi inspektsioon ettekirjutuse ja keelas tarbijate isikuandmete töötlemise kaubanduskeskusel, kes küsis tarbijamängu blanketil kliendi elektronposti aadressi ja kõrval olevasse kastikesse oli ära tehtud „linnuke“, mis näitas nõusolekut liituda kaubanduskeskuse uudiskirjaga. Sellega moonutati tarbijate vaba tahet.

Enne nõusoleku küsimist peab ettevõtja andmesubjektile teatavaks tegema andmetöötleja või tema esindaja nime, aadressi ja muud kontaktandmed. Nõusolekus peavad olema määratletud andmed, mille töötlemiseks luba antakse (nt nimi, elektronposti aadress), andmete töötlemise eesmärk (nt uudiskirjade, pakkumiste ja reklaami saatmine, ostuharjumuste analüüs), isikud kellele andmete edastamine on lubatud ja andmete edastamise tingimused ning isiku õigused tema isikuandmete edasise töötlemise osas. Kui nõusolek antakse koos teise tahteavaldusega (nt nõusolek on üks osa lepingust), peab nõusolek olema selgelt muust tekstist eristatav.

Mis on elektroonilised kontaktandmed? Elektroonilised kontaktandmed on andmed, mis võimaldavad elektroonilise side võrgu kaudu edastada isikule teavet, sealhulgas faksi, elektronposti või lühi- ja multimeediasõnumiga.

Reeglid on erinevad sõltuvalt sellest, kas kontaktid seonduvad isiku majandustegevusega (on juriidilise isiku omad) või mitte (on füüsilise isiku omad).

Kas tegu on juriidilise või füüsilise isiku kontaktidega, tuleb määratleda lähtuvalt olukorrast, tehnilistest kriteeriumidest (nt @gmail.com), kontekstist (info@xxx.ee ja mari.kask@xxx.ee), isiku positsioonist ja otsustuspädevusest. Näiteks kui ehitusfirma ostujuhile saadab pakkumise ehitusmaterjalide müüja (ehk potentsiaalne tarnija), on pakkumine suunatud juriidilisele isikule. Kui pakkumise saadab kosmeetikasalong, on pakkumine suunatud füüsilisele isikule, kuigi see saadetakse ostujuhi ametialasele elektronposti aadressile.

Millal võib kliendi kontaktandmeid kasutada talle pakkumiste saatmiseks Füüsilise isiku kontaktandmeid võib kasutada vaid juhul, kui ta on andnud selleks eespool kirjeldatud vormi- ja sisunõuetele vastava nõusoleku (opt-in põhimõte). Nõusoleku küsimine ei saa toimuda otseturustusliku teate saatmisega. Nõusolek peab olema antud juba enne esimese kommertsteadaande saatmist.

Juriidilise isiku puhul piisab, kui iga pakkumise saatmisel antakse selge ja arusaadav võimalus tasuta ja lihtsal viisil keelata oma kontaktandmete kasutamine ja võimaldatakse seda õigust realiseerida elektroonilise side võrgu kaudu, elektronkirja saatmise, lingile klikkimise vms teel (opt-out põhimõte).

Kui füüsilise või juriidilise isiku kontaktid on saadud seoses talle kauba või teenuse müügiga, võib neid kasutada samasuguste toodete või teenuste pakkumiseks juhul, kui talle antakse eespool kirjeldatud viisil võimalus keelata oma kontaktide kasutamine juba andmete esmase kogumise ajal ja iga kord, kui talle pakkumisi saadetakse. 

Kontaktide kasutamine otseturustuseks on keelatud, kui ei ole tuvastatav isik, kelle nimel pakkumine saadetakse. Samuti kui pakkumine ei sisalda juhendit, kuidas isik saaks pakkumistest keelduda, ei ole tuvastatav kommertsteadaandena, ei võimalda tuvastada müügiedenduspakkumisi või ergutab külastama veebilehti, mis eeltoodule ei vasta. Samuti kui isik on keelanud kontaktide sellise kasutamise.

Lisainfo: Maria Jotautas

Arvamusartikkel ilmus 22. detsembri Äripäevas ja Äripäeva veebis