25. mail 2018 jõustus Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR), mille eesmärk on muuta isikuandmete töötlemine inimestele läbipaistvamaks. Mida toob see määrus kaasa raamatupidajatele ja personalijuhtidele, selgitab raamatupidamisettevõtte Vesiir OÜ asutaja ja omanik Enno Lepvalts.
Segadust uue andmekaitseseadusega oli juba enne selle jõustumist omajagu ja ega lõpuni pole asjad selged ka praegu. Rahustuseks võib öelda, et kuigi inimesed kipuvad alati enne uute seaduste tulekut tundma hirmu, et kõik muutub, on tegelikult ju sarnase sisuga andmekaitsenõuded kehtinud meil Eestis juba pikemat aega.
Kas töölepingus sisaldavad andmed on seadusega nõutavad või vabatahtlikud?
Kuigi andmekaitsemääruse lugemisel tekib hirmutav küsimus, justkui peaksite hakkama oma töötajate käest küsima nõusolekut nende andmete töötlemiseks, see päris nii ei ole. Andmete töötlemine algab küll töölepingust, kuhu pannakse kirja inimese nimi, isikukood ja elementaarsed kontaktandmed (kusjuures hoolas tööandja küsib inimeselt ka dubleerivaid kontaktandmeid, mille kaudu ta oma töötajaga vajadusel kindlasti ühendust saaks), kuid siin tekibki esimene küsimus: kuidas saab see isik minu ettevõttes töötada, kui ta ei anna nõusolekut oma andmeid kasutada.
Andmekaitse inspektsiooni juhendmaterjal ütleb sellele teemale vastuseks, et on olemas seaduse alusel töödeldavad andmed ja nõusoleku alusel vabatahtlikult antavad andmed. Kumma alla kuuluvad siis inimese nimi, isikukood ja kontaktandmed? Mõningad õigusalainimesed arvavad, et ka töölepingut sõlmides peaks tegema sinna märke, et inimene annab nõusoleku oma andmete töötlemiseks. Kuid tegelikult on see nonsenss, sest mis juhtub, kui töötaja selle nõusoleku tagasi võtab.
Lühidalt öeldes on seadustest tulenevate nõuete täitmisel vaja lepingusse märkida inimese nimi ja isikukood ning mõningatel juhtudel ka lepingu sõlmimise asukoht. Lisaks on aga vajalikud ju inimese kontaktandmed, et anda talle üle töösuhtest tulev dokumentatsioon. Kindlasti ei ole selleks mõistlik kasutada tööandja kontakte, mis on ikkagi pigem selleks kohaks, kus täidetakse töösuhtest tulenevaid kohustusi. Ehk kuna luba teatud andmete töötlemiseks tuleneb lepingust, võib sinna juurde panna märke, et andmeid töödeldakse vastavalt seadusele. Nõusolekut töötajatelt selleks pole vaja võtta.
Mida teha andmetega, mis ei sisaldu seadusega ettenähtud töölepingus?
Selliste andmete jaoks on tõesti vaja töötajalt saada eraldi nõusolek. Näitena võib tuua tema teise või kolmanda telefoninumbri või töötaja isikliku sõiduauto registreerimisnumbri. Samas aga tasub tähele panna, et kui sõiduki registreerimisnumber ja tehnilise passi koopia on vajalik lepingust tulenevate töökohustuste täitmiseks, näiteks isikliku sõiduautoga seonduvate kulutuste kompenseerimiseks, on nende andmete kogumine tööandja poolt seadusega ette nähtud.
Uksekaardid, võtmed või muud tööruumidesse sisenemiseks vajalikud lahendused on mõeldud tööaja fikseerimiseks ning see kohustus tuleb jällegi seadusest. Milliste vahenditega tööandja seda teeb, on tema otsustada, kuid see vahend peab olema seaduse järgi piisav ja samas minimaalne.
Uue seaduse põhiline eesmärk on, et inimestel on õigus teada, kes milliseid andmeid tema kohta kogub. Seega on töötajal seadusest tulenevalt õigus teada, milliseid andmeid kogutakse tema kohta tulenevalt töötaja ja tööandja suhtest. Ühest küljest on see vajalik ka selleks, et kodanik saaks kontrollida, kas tema kohta esitatud andmed on tõesed ja ajakohased.
Mis saab ebavajalikest andmetest?
Selge on see, et inimene ei saa nõuda selliste andmete kustutamist, mille kogumine ja säilitamine on seadusest tulenev. Üldjuhul peab töölepinguid hoidma alles seitse aastat. Edasi on aga sätestatud, et pärast ettenähtud aja täitumist tuleks ebavajalikuks muutunud andmed viivitamatult kustutada, kuigi ilmselgelt päris iseenesest need ära ei kao. Ent kui keegi need andmed kustutab, peab andmebaas säilitama logiinfo, et kuidas ja millal inimese isikuandmetega midagi on tehtud. See tekitab omakorda küsimusi, milliseid andmeid ikkagi kustutati. Kui inimene saab teada, et tema neljast e-posti aadressist on kustutatud kolm ja ta tahab teada, millised need kolm kustutatut olid, pole ju võimalik neid enam taastada. See võib tunduda segane.
Logide säilitamisega on lood segased ka selles, kas inimene peab saama näha, kes ja milliseid tema andmeid on vaadanud, muutnud või kustutanud. Kas need logid on isikuandmed või mitte? Kui on, siis peab jääma ju logisse maha kirje, kes on kelle andmed kustutanud ja parim variant oleks, kui päringu teinud saaks ka vastuse, millised andmed ära kustutati. Ühesõnaga – praegu ei ole veel päris selge, kuidas need tehnilised nüansid lahendatakse.
Miks ja kes üldse andmehõivega kokku puutuvad?
On mitmed seadused, mis kohustavad andmehõivet tegema. Need on näiteks raamatupidamise seadus, maksukorralduse seadus ning rahapesu ja terrorismi rahastamise tõkestamise seadus. Kui kaks esimest neist sätestavad selgelt, mis andmeid kui kaua tuleb ega tekita nendest inimeste teavitamisel probleemi, siis rahapesu seadusega see nii selge ei ole. Selge on see, et andmeid korjatakse, kuid segadus tekib isikuseire seisukohast – kui kohustatud isikuna seiret teen, siis määratlen ju ise andmehulga, mida ma korjan, aga kui palju kogutud infost võib avaldada.
Raamatupidamisfirmana on meie partnerid suuresti juriidilised isikud ja me peame koguma nende kohta andmeid. See andmehulk on selgelt määratletud, kuid hägune osa seaduses määratletult on seire käigus korjatav andmestik. Kas seireandmeid tohib avaldada või mitte? Kui tohib, siis mis juhul ja mil määral? Keegi ei tahaks, et jõuasutused annavad neile mõista, et nad on avaldanud oma partnerite kohta lubamatuid andmeid, aga seadusest ei loe välja, millised õigused ja kohustused on nende avaldamisel. Loomulikult ei tohi neid andmeid avaldada juhul, kui isiku suhtes on algatatud juurdlus. Selge on küll see, et ärisuhte lõppedes tuleb viie aasta pärast kõik andmed kustutada.
Mida teha puhkenurga sünnipäevakalendrite ja avalike esinemistega?
Iga tänapäeva ettevõte jookseb turunduslikus mõttes kõigest väest, et mitte olla paigal. Tehakse reklaamikampaaniaid, mänge, avalikke esinemisi, loteriisid. Kui näiteks tarbijamängu võitja kohta on selge, et ta on pidanud mängu sisenedes panema ankeedile n-ö linnukese oma andmete avaldamise või mitteavaldamise kohta, siis kuidas on lood kampaaniat korraldava ettevõtte sekretäriga, kellel palutakse kaamera ees võitjale kink kätte anda või kes jääb kaamerasilma ette pooljuhuslikult. Kas tema on allkirjastanud lepingu, et tema pilti, nime ja ametikohta võib avaldada? Vastus on, kui sekretäri töölepingust ei ilmne, et see on tema kohustus ja ta pole andnud kirjalikku nõusolekut kampaanias osaleda ja oma isikuandmeid töödelda, on tegemist seaduserikkumisega.
Võrdne sellega on paljude töökohade puhkenurkades seintel rippuvad sünnipäevakalendrid. Ka selliste andmete avaldamiseks peab olema luba, sest kuniks kõik on korras, on ju hästi. Kui aga tööandja peaks mõne töötaja välja vihastama, leitakse alati variante, kuidas teist osapoolt seaduserikkumises süüdistada.
Murekohaks osutuvad tõenäoliselt ka infotehnoloogilised lahendused. Igas ettevõttes on olemas tarkvaralised lahendused, mille vastavuse seadustele peaks üle kontrollima. Praegu ei piisa ainult sellest, kui teie ettevõttele usaldatud andmed on kaitstud ja turvalises kohas, vaid peab suutma ka tõestada, et tarkvara vastab kõigile seadusega ettenähtud nõuetele ka logimiste ja andmevoogude kohta.
Hirm paneb inimesed küll liikuma, kuid alati samm ette. Lugege rahulikult seadust ja konsulteerige spetsialistidega.
