10. peatükk. Läbipaistvus
Antud peatükis käsitletakse isikuandmete töötlemise läbipaistvuse nõuet üldmääruse kohaldamisalas. Üldmäärus on läbipaistvuse toonud esmakordselt andmekaitse aluspõhimõtete hulka.
Õiguskaitseasutuste andmekaitsedirektiivi aluspõhimõtete hulgas läbipaistvust ei ole.Kuigi suur osa üldmääruse läbipaistvusnõuetest on leitav ka direktiivist, on nende ulatus üldmäärusega võrreldes mõnevõrra väiksem ning liikmesriigi seadusandjal mõnevõrra vabamad käed. Õiguskaitsevaldkonna eripära arvestades on see ka mõistetav.
Seetõttu ei käsitleta selles peatükis direktiivi läbipaistvusnõudeid – inimeste teavitamist õiguskaitseasutuste poolt süütegude tõkestamisel, avastamisel, menetlemisel ja karistuste täideviimisel. Sellistel juhtudel on teavitamise sisu ja kord ettenähtud Eesti isikuandmete kaitse seaduses ning menetlusseadustikes.
Mida üldse tähendab läbipaistvus?
Andmekaitsealase läbipaistvuse võib kokku võtta järgmiselt:
1) inimesele tuleb siis, kui temalt andmeid kogutakse, anda andmetöötleja ja andmetöötluse kohta teavet.
2) seda tuleb teha ka siis, kui andmed ei ole saadud temalt endalt (v.a. kui teatamine oleks ebaproportsionaalselt keeruline või on andmete saamine või salajas hoidmine seadusega ette nähtud)
3) inimesel on enda kohta käivate andmete osas:
a. õigus tutvuda oma andmetega,
b. asjakohasel juhul õigus nõuda andmete parandamist, kustutamist, töötlemise piiramist, andmete ülekandmist, samuti õigus esitada vastuväiteid ja keelata otseturundust,
c. kaitse masina tehtud otsuste vastu (v.a. lepingu ja seaduse alusel otsustamisel);
4) kõigest eelnevast tuleb inimesele teada anda kokkuvõtlikult, selgelt ja arusaadavalt, lihtsasti kättesaadavas vormis, reeglina kuu aja jooksul ja reeglina tasuta.
Eelnevate nõuete täitmiseks on vastutaval töötlejal hädavajalik koostada ja avaldada oma andmekaitsetingimused – sarnaselt kliendilepingute üld- või tüüptingimustega.
Lisaks kindlustab läbipaistvust ka andmetöötleja kohustus anda suure ohu korral inimesele teada tema andmetega toimunud rikkumisest.
Andmekaitsetingimused – teave, mida peab andmetöötluse kohta andma
Vastutav töötleja avaldab inimesele tema andmete töötlemise kohta järgmise teabe (andmekaitsetingimused):
- vastutava töötleja nimi ja kontaktandmed;
- andmekaitseametniku kontaktandmed (kui ta on määratud);
- kui andmed ei ole saadud inimeselt endalt – andmete liigid ning nende päritoluallikad;
- isikuandmete töötlemise eesmärk ning õiguslik alus (nt leping, nõusolek), sh
a) kui isikuandmeid töödeldakse vastutava töötleja või kolmanda isiku õigustatud huvi alusel, siis teave selle kohta (õigustatud huvi eeldab põhjendamist);
b) kui andmed küsitakse inimeselt endalt – teave selle kohta, mis andmete esitamine tuleneb õigusaktist või lepingust, samuti esitamata jätmise võimalikud tagajärjed (inimene peab saama aru, mis on kohustuslik, mis soovitatav ja mis selgelt vabatahtlik, ilma kahjulike tagajärgedeta);
c) kui andmed saadakse nõusoleku alusel, siis teave õiguse kohta nõusolek igal ajal tagasi võtta;
- isikuandmete säilitamistähtaeg või kui see ei ole võimalik, siis vähemalt tähtaja määramise põhimõtted;
- teave inimese õiguste kohta oma andmete osas:
a) õigus tutvuda oma andmetega,
b) asjakohasel juhul õigus nõuda andmete parandamist, kustutamist, töötlemise piiramist, andmete ülekandmist, samuti õigus esitada vastuväiteid,
c) õigus kaevata andmekaitseasutusele;
- kui andmeid edastatakse teistele isikutele – isikuandmete vastuvõtjad kas nimeliselt või vähemalt nende liigid;
- kui andmed kavatsetakse edastada kolmandasse riiki, siis täpsem asjakohane teave selle kohta;
- kui tehakse automatiseeritud otsuseid – sellekohane teave, sh teave otsuste tegemise loogika ja otsuste mõju/tagajärgede kohta.
Kui andmeid kavatsetakse edasi töödelda muul eesmärgil, kui algselt koguti, siis tuleb teavitada muu eesmärgi ning muu asjakohase teabe osas enne töötlemise alustamist.
Kui eelnevat pikka nimekirja vaadata, siis on arusaadav, et tavalise asjaajamise käigus, kui sõlmitakse lepinguid või võetakse nõusolekuid või kus asutus teeb menetlusi, on kogu selle teabe igakordne esitamine tülikas. Seetõttu ongi mõistlik võtta eelnev kokku andmekaitsetingimusteks ning avaldada ettevõtte võrgulehel. Avaliku sektori asutustel on avaldamine seadusest tulenev kohustus.
Andmekaitsetingimuste teavitamise vormi koostamise hõlbustamiseks oleme kokku pannud kontrollküsimustiku käesoleva juhise lisas 3.
Millal ei pea inimesele teavet andma?
Inimesele ei pea andma teavet selles osas, mis talle on juba niigi teada.
Kui inimene soovib teostada andmetega seotud õigusi (tutvuda, nõuda parandamist, kustutamist, piiramist, ülekandmist), siis nõuab andmetöötleja põhjendatud kahtluse korral isiku tuvastamist (digitaalse allkirjaga, isikut tõendada dokumendiga).
Juhul, kui isikuandmeid ei ole kogutud inimeselt endalt, siis ei pea talle teada andma andmekaitsetingimustest:
a) kui andmete saamine või avaldamine on ette nähtud seaduses;
b) kui see nõuab ebaproportsionaalseid jõupingutusi (tingimusel, et on võetud kasutusele meetmed isiku huvide kaitseks, nt teave on avalikult kättesaadavaks tehtud) või
c) kui seadus nõuab andmete salajas hoidmist.
Üldmääruse art. 23 lubab liikmesriigi seadusandjal läbipaistvust täiendavalt kitsendada.
Vorm, tähtaeg, tasu
Andmekaitsetingimuste tekstile on sarnased nõuded nõusoleku tekstiga – see peab olema kokkuvõtlik, selge ja arusaadav ning lihtsasti kättesaadavas vormis.
Andmekaitsetingimustest teavitamise viise on mitmeid. Sobiva valiku peab andmetöötleja tegema ise lähtudes mõistlikkusest ning kasutajamugavusest. Teavet võib esitada nii suuliselt (kui isik seda nõuab), kirjalikult (nii eraldi dokumendina kui ka osana nõusoleku vormist) või elektrooniliselt (nt võrgulehel teavitusena või e-kirja teel). Heaks tavaks võib pidada seda, et andmekaitsetingimustest teavitatakse isikut samal viisil, mida kasutatakse andmete kogumiseks. Näiteks kogudes isikuandmeid elektroonilise vormi kaudu võiks seal samas ka isikule pakkuda selgitust andmete töötlemise kohta.
Elektrooniline andmekaitsetingimuste esitamine annab teavituseks ka enim viise ja võimalusi. Teavet võib esitada võrgulehel eraldi alalehena (viidates sellele andmeid saades), teavet võib esitada automaattekstina andmeid kogudes (nt isik täidab elektroonilist vormi, kus andmevälju täites ilmub automaatselt vastavasisuline teavitus), teavet võib esitada ühtse tekstina enne andmete andmist (nt nutiseadmetes kasutajatingimuste esitamine), teavet võib esitada video vahendusel jne.
Lisaks soovitame andmekaitsetingimuste esitamisel kasutada teksti liigendamist. Elektroonilisel esitamisel on võimalik alles vastavat (ala)pealkirja avades saada detailsem ülevaade. See võimaldab tekstist paremini aru saada ning endale olulist selekteerida. Samuti on teksti võimalik esitada ka vastavalt olukorrale erinevate nö kihtidena.
Olulisim andmekaitsetingimustest teavitamise puhul on siiski see, et teave oleks kergesti arusaadav ja lihtsasti kättesaadav. Eriti tuleb seda arvestada alaealistelt nõusoleku küsimisel ning ka nutiseadmete kasutamisel, kus teksti maht on ekraani väiksuse tõttu piiratud.
Andmekaitsetingimustest tuleb inimesele teatada temalt andmete kogumisel. Kui andmed ei ole saadud inimeselt endalt, tuleb reeglina teatada ühe kuu jooksul; kui neid kavatsetakse avaldada teistele isikutele, siis enne avaldamist.
Kui inimene soovib kasutada oma andmetega seotud õigusi (tutvumine, nõue parandada, kustutada, üle kanda, piirata), siis on tähtajaks üks kuu. Erandjuhul võib seda pikendada kahe kuu võrra (seega kokku kolm kuud). Pikendamisest ja selle põhjustest peab kuu jooksul taotlejale teada andma.
Tasu võib küsida üksnes juhul, kui taotlus on korduv, selgelt põhjendamatu või ülemäärane. Sellisel juhul võib küsida mõistlikku tasu arvestades tegelikke vajalikke kulutusi. Vastutaval töötlejal on kohustus tõendada taotluse põhjendamatust või ülemäärasust. Alternatiiv tasu küsimisele on taotluse rahuldamata jätmine, ka seda tuleb põhjendada.
Vaata lisa üldmääruse art. 5 lg 1 p. a ja lg 2, art. 12-22, pp. 39, 58-72. Vt.
Euroopa andmekaitsenõukogu suunist „Guidelines on transparency under Regulation 2016/679 (PDF)“ (eesti keelne).