Vastutavad töötlejad peavad isikuandmete seaduslikuks töötlemiseks tuginema õiguslikule alusele. Oluline on teha kindlaks asjakohane õiguslik alus, sest sellega võivad kaasneda erinõuded (nt nõusolek peab olema vabalt antud, konkreetne, teadlik ja ühemõtteline) ning sellel on tagajärjed üksikisikute õigustele (nt õigust andmete ülekantavusele kohaldatakse ainult siis, kui õiguslik alus on nõusolek või leping).
Sellelt lehelt leiate lisateavet isikuandmete kaitse üldmääruse erinevate õiguslike aluste kohta. Lisateave õiguste kohta, mis kehtivad iga õigusliku aluse kohta.
Millised on isikuandmete kaitse üldmääruse võimalikud õiguslikud alused?
Vastutavad töötlejad võivad isikuandmeid töödelda ainult ühel järgmistest asjaoludest:
- asjaomaste isikute nõusolekul;
- kui on olemas lepinguline kohustus (leping teie organisatsiooni ja üksikisiku vahel);
- täita ELi või siseriiklikest õigusaktidest tulenevat seadusjärgset kohustust;
- kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks ELi või siseriiklike õigusaktide alusel;
- kaitsta üksikisiku elulisi huve;
- teie organisatsiooni õigustatud huvides (välja arvatud juhul, kui need kaaluvad üles üksikisikute huvid või põhiõigused).
Lisaks kehtestatakse isikuandmete kaitse üldmäärusega täiendavad tingimused eriliigiliste andmete töötlemiseks.
Nõusolek
Teie organisatsioon võib otsustada isikuandmete töötlemisel tugineda nõusolekule.
Kui vastutav töötleja kasutab isikuandmete töötlemise õigusliku alusena nõusolekut, peab ta tagama, et nõusolek on antud vabatahtlikult, teadlik, konkreetne ja ühemõtteline. See tähendab, et üksikisikutel peab olema tõeliselt vaba valik küsimuses, kas nad nõustuvad oma isikuandmete töötlemisega või mitte; nad vajavad piisavalt teavet, et nad mõistaksid, milliseid andmeid töödeldakse, millisel eesmärgil ja kuidas seda tehakse; ja nad peavad saama oma nõusoleku tagasi võtta (ilma negatiivsete tagajärgedeta), kui nad hiljem meelt muudavad.
Kui organisatsioon peab andmeid töötlema ja ei saa võimaldada üksikisikutel oma nõusolekut tagasi võtta, näitab see, et nõusolek ei ole töötlemise asjakohane õiguslik alus, ning on vaja hinnata, kas kohaldada võiks muud õiguslikku alust.
Nõusoleku andmise tingimused
Vabatahtlik
Nõusolek antakse vabatahtlikult, kui üksikisikud saavad oma nõusolekust keelduda ja selle tagasi võtta ilma välise surve või negatiivsete tagajärgede ohuta. Samuti peab üksikisikutel olema õigus oma nõusolek igal ajal tagasi võtta; seda protsessi peab olema üksikisikute jaoks lihtne teha (sama lihtsalt kui seda oli pakkuda). Nõusoleku tagasivõtmine ei tohi mõjutada isiku isikuandmete töötlemist, mis toimus enne tagasivõtmist, kui nõusolek oli veel kehtiv.
Näiteks ei ole töötajatel põhimõtteliselt võimalik anda oma tööandjapoolseks töötlemiseks vabatahtlikult nõusolekut, sest töötajad võivad tunda, et nad ei saa tööandja taotlust tagasi lükata.
Konkreetne
Selleks et nõusolek oleks kehtiv, peab see olema seotud ka töötlemise eesmärgiga. See tingimus on tihedalt seotud teadliku nõusoleku tingimustega: üksikisikuid tuleb konkreetsetest eesmärkidest teavitada lihtsas ja kergesti arusaadavas keeles, et neil oleks selge ettekujutus, millisel eesmärgil nende andmeid töödeldakse. See tähendab ka seda, et kui töötlemistoimingu eesmärk muutub või kui lisatakse täiendavaid töötlemistoiminguid, tuleks üksikisikutelt uuesti küsida nende nõusolekut. Kui töötlemistoimingul on mitu eesmärki, tuleks anda nõusolek iga töötlemistoimingu jaoks.
Näiteks kogub voogedastusteenus nende klientide isikuandmeid, et pakkuda neile kohandatud vaatamissoovitusi. Mõne aja pärast otsustab voogedastusteenus jagada oma klientide isikuandmeid kolmandate isikutega, et nad saaksid oma vaatamisharjumuste põhjal saata klientidele suunatud reklaami. Kuna tegemist on uue eesmärgiga, peab voogedastusteenus küsima kliendi nõusolekut.
Informeeritud
Üksikisikult nõusoleku taotlemisel peab teie organisatsioon tagama, et see taotlus edastatakse üksikisikule arusaadaval ja kergesti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Tuleks anda teavet eesmärkide, vastutava töötleja isiku, andmeliikide, vastuvõtjate ja nõusoleku tagasivõtmise õiguse kohta.
Üheselt mõistetav
Selleks et nõusolek oleks üheselt mõistetav, peaks olema selge jaatav tegevus (ilma eelnevalt märgistatud lahtriteta ja kohaldatavatest üldtingimustest eraldi).
Nõusolekut on soovitatav asjakohaste ajavahemike järel värskendada. Lisaks peate suutma tõendada, et isik, kelle andmeid töödeldakse, on andnud oma nõusoleku, näiteks kirjaliku või allkirjastatud deklaratsiooniga või tahtliku tegevusega, nagu kasti märgistamine.
Laste nõusoleku suhtes kohaldatavad tingimused
Vastutava töötlejana peaksite tegema mõistlikke jõupingutusi, et kontrollida üksikisiku vanust.
16-aastaseid ja vanemaid lapsi peetakse võimaluseks anda oma nõusolek.
Alla 16-aastaste laste puhul peab teie organisatsioon taotlema nõusolekut selle lapse seaduslikult eestkostjalt või vanemalt. Sellisel juhul peate tegema mõistlikke jõupingutusi, et kontrollida, kas lapse nimel nõusoleku andnud isikul on vanemlik vastutus. Juhime siiski tähelepanu sellele, et isikuandmete kaitse üldmäärus annab ELi riikidele võimaluse määrata siseriikliku õiguse alusel nõusoleku vanuseks 13–16 aastat, kui teenuseid osutatakse interneti kaudu. Seetõttu on soovitatav kontrollida oma siseriiklikke õigusnorme selles küsimuses.
Kui lapsed saavad anda nõusoleku, tuleks teenusega seotud teabe edastamiseks kasutatavat keelt kohandada vastavalt nende vanusele
Lepingu täitmine
Üksikisiku isikuandmete töötlemine lepingu täitmiseks on kehtiv õiguslik alus, näiteks järgmistel juhtudel:
- Teie organisatsioon peab teenuse osutamiseks töötlema üksikisiku isikuandmeid.
- Potentsiaalne klient või tellija on palunud teil midagi teha enne teie organisatsiooniga lepingu sõlmimist, näiteks võib ta soovida saada teie pakutavate teenuste hinnapakkumist, mille jaoks peate võib-olla töötlema mõningaid nende isikuandmeid.
Töötlemine peab olema vajalik lepingu täitmiseks. Praktikas tähendab see seda, et teie organisatsioon ei saa jätkata lepingu või teenuse täitmist ilma kõnealuste isikuandmeteta. Soovitatav on, et teie organisatsioon dokumenteeriks põhjused, miks üksikisiku andmete töötlemine on lepingu täitmiseks vajalik.
Lisaks peaksite püüdma koguda võimalikult vähe isikuandmeid, mis on vajalikud lepingulise teenuse osutamiseks või asjakohaste lepingueelsete meetmete võtmiseks. Eelkõige ei saa te lepingut kasutada isikuandmete kategooriate või töötlemistoimingute liikide kunstlikuks laiendamiseks. Pigem peaksite tagama lepingulise eesmärgi tegeliku vastastikuse mõistmise, mis põhineb keskmise isiku ootustel lepingu sõlmimisel.
See õiguslik alus võib kehtida ka teatavate lepingujärgse garantiiga seotud toimingute suhtes ning teatavate meetmete suhtes, mida võib tavapärase lepingulise suhte raames mõistlikult ette näha ja vajalikuks pidada, näiteks ametlike meeldetuletuste saatmine tasumata maksete kohta või lepingu täitmise vigade või viivituste parandamine.
See õiguslik alus ei kehti siiski juhul, kui soovite töödelda üksikisiku isikuandmeid turunduslikel eesmärkidel, pettuste ennetamiseks, sihitud reklaamiks või muudel eesmärkidel, mis on seotud teie organisatsiooni ärimudeliga. Sellistel juhtudel võib olla võimalik kasutada muid õiguslikke aluseid, näiteks nõusolekut või õigustatud huvi, tingimusel et asjakohased kriteeriumid on täidetud.
Õigusaktidega võidakse ette näha ka isikuandmete töötlemine, isegi pärast lepingu lõppemist (näiteks raamatupidamisarvestuse pidamiseks).
Loomulikult peab leping olema kehtiv ka kohaldatava õiguse alusel.
Praktikas
- Olete ettevõte, mis müüb riideid nii internetis kui ka poes, peate võib-olla töötlema mõningaid oma klientide isikuandmeid, näiteks krediitkaardi andmeid, et saaksite töödelda oma klientide poolt rõivaste ostmiseks tehtud ostusid. Sellisel juhul võib lepingu täitmiseks olla vajalik klientide isikuandmete töötlemine.
- Olete ettevõte, mis pakub kodukindlustust. Potentsiaalne klient on küsinud oma kodukindlustuse hinnapakkumist. Seetõttu võivad mõned nende isikuandmed olla vajalikud, et pakkuda neile täpset hinda oma kodukindlustuse eest.
- Olete ettevõte, mis müüb raamatuid, mida mõned teie kliendid on ostnud. Kui need kliendid on need raamatud ostnud, võite olla kogunud mõned nende isikuandmed, mis olid vajalikud tehingu töötlemiseks. Nüüd soovite töödelda nende klientide isikuandmeid, sealhulgas andmeid nende varasemate ostude kohta, et soovitada muid raamatuid, mis võivad neile meeldida. Te ei saa lepingu täitmisel tugineda isikuandmete töötlemisele õigusliku alusena, sest klientide andmete töötlemine muude raamatute reklaamimise eesmärgil ei ole lepingu täitmiseks vajalik.
Seega peab teie ettevõte küsima klientide nõusolekut, et nad saaksid neile teisi raamatuid reklaamida, või võib sõltuvalt asjaoludest tugineda oma õigustatud huvile.
Vastutava töötleja seadusjärgse kohustuse täitmine
Isikuandmete kaitse üldmääruses on sätestatud veel üks õiguslik alus, nimelt: see on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks.
Sellele õiguslikule alusele võib tugineda juhul, kui töötlemistoiming on organisatsioonile kehtestatud ELi või siseriiklike õigusaktidega. Täpsemalt peavad olema täidetud neli tingimust:
- seadusejärgne kohustus peab olema määratletud vastutava töötleja suhtes kohaldatavas ELi või siseriiklikus õiguses;
- nende õigusnormidega tuleb kehtestada selge ja konkreetne kohustus neid isikuandmeid töödelda;
- need sätted peavad määratlema vähemalt töötlemise eesmärgid;
- see kohustus tuleks kehtestada vastutavale töötlejale, mitte andmesubjektidele.
Kui need tingimused ei ole täidetud, ei saa töötlemistoiming põhineda seadusejärgsel kohustusel ja tuleb taotleda muud õiguslikku alust.
Isikuandmete kaitse üldmääruses on sätestatud palju erinevaid olukordi, kus vastutavad töötlejad on õiguslikult kohustatud oma klientide või klientide isikuandmeid töötlema. Näiteks peavad tööandjad tavaliselt töötlema oma töötajate isikuandmeid sotsiaalkindlustuseesmärkidel või sageli peab ettevõte töötlema oma klientide või klientide isikuandmeid maksustamise eesmärgil.
Loe lähemalt
Üksikisiku elulised huvid
Andmete töötlemisele üksikisiku eluliste huvide kaitsmiseks saab tugineda ainult harvadel ja konkreetsetel juhtudel. See võib juhtuda näiteks siis, kui teil on vaja töödelda isikuandmeid, et kaitsta kellegi elu. Isikuandmete kaitse üldmääruse kohaselt on selle õigusliku aluse kohaldamisala siiski väga piiratud ja sellele saab tugineda ainult hädaolukordades
Praktikas
Teie organisatsioon pakub parvesõite. Ühe reisi ajal, mille korraldasite, on üks osalejatest raskelt vigastatud. Selle tulemusena on osaleja teadvuseta ja peab saama haiglas kiireloomulist arstiabi. Organisatsioonina peate võib-olla edastama (= töötlema) selle isiku isikuandmed haiglale, kes peab neid isiku elu päästmiseks ravima. Selles kontekstis võib teil olla võimalik töödelda selle isiku andmeid, et kaitsta nende elulisi huve.
Avalik huvi
Mõnel konkreetsel juhul võib teie organisatsioonil olla võimalik töödelda üksikisikute isikuandmeid avalikes huvides täidetava ülesande täitmiseks. Sellisel juhul peab töötlemine põhinema ELi või siseriiklikul õigusel. Eesmärk tuleb kindlaks määrata selles õiguslikus aluses või see peab olema vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Seetõttu võib see õiguslik alus olla asjakohane eelkõige avaliku sektori asutuste poolt nende ülesannete täitmiseks tehtavate töötlemistoimingute puhul.
Praktikas
Teie organisatsioon on kliinik, mis hõlmab hambaarsti ja üldarsti. Teil võib olla vaja töödelda nii hambaarsti kui ka üldarsti isikuandmeid tagamaks, et nende kvalifikatsioon, moraalne ja eetiline käitumine vastab teie meditsiinipraksise asukohariigis kehtestatud standarditele.
Õigustatud huvi
Teie organisatsioon võib olla võimeline töötlema üksikisikute andmeid õigustatud huvides, tingimusel et need huvid (ärilised, teie vara kaitse jne) ei põhjusta tasakaalustamatust, mis kahjustab üksikisikute õigusi ja huve.
Kuigi isikuandmete kaitse üldmääruses ja Euroopa Liidu Kohtu asjakohases kohtupraktikas on esitatud näiteid õigustatud huvide kohta, puudub ammendav loetelu.
Siiski peate tagama, et see huvi vastab teatud nõuetele:
- see peab olema seaduslik, selge, reaalne ja vahetu;
- töötlemine peab olema vajalik selle huvi täitmiseks;
- õigustatud huvi puhul tuleb arvesse võtta üksikisiku õigust andmekaitsele, mida ei saa tühistada. Selle nõude raames peab vastutav töötleja kaaluma oma õigustatud huvi ning üksikisikute huve või põhiõigusi ja -vabadusi ning kaaluma ka seda, mida nad võivad mõistlikult eeldada. Tasakaalustamisel tuleb arvesse võtta konkreetseid tingimusi, milles neid toiminguid tehakse.
Praktikas
Sa juhid renoveerimisfirmat. Üks teie klientidest vaidlustab köögi renoveerimise kvaliteedi ja keeldub arvet täies ulatuses maksmast. Esimese sammuna edastate kliendi andmed oma advokaadile, et kliendiga kokkuleppele jõuda. Kuna klient ikka veel keeldub maksmast, võtate ühendust inkasso firmaga. Te edastate menetluseks vajalikud isikuandmed ainult inkassole ja firma teostab ainult piiratud kontrolle, et kinnitada kliendi kontaktandmeid ja alustada kohtumenetlust.
Kuigi esimene samm võib siiski hõlmata lepingu täitmiseks vajalikku töötlemist, võib edasisi samme, näiteks inkassofirma kaasamist pidada vastutava töötleja õigustatud huvides olevaks. Kuna inkassofirma võetud meetmed ei ole liiga sekkuvad ja mõju kliendile on piiratud, võib õigustatud huvi olla asjakohane õiguslik alus.
Eriliigiliste isikuandmete töötlemine
Täiendavad nõuded kehtivad juhul, kui kavatsete töödelda andmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, ning töödelda geneetilisi andmeid, biomeetrilisi andmeid füüsilise isiku kordumatuks tuvastamiseks, terviseandmeid või andmeid füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta. Neid andmeliike nimetatakse eriliigilisteks andmeteks.
Eriliigiliste andmete töötlemine on üldiselt keelatud, välja arvatud järgmistel erijuhtudel.
- Isik on andnud oma selgesõnalise nõusoleku oma eriliigiliste andmete töötlemiseks.
- Eriliigiliste andmete töötlemine on vajalik, et vastutav töötleja saaks täita oma kohustusi, eelkõige tööhõive, sotsiaalkindlustuse ja sotsiaalkaitse valdkonnas. Näiteks võib vastutaval töötlejal olla vaja töödelda isiku eriliigilisi andmeid, et teha kindlaks, kas tal on õigus teatavatele sotsiaalkindlustushüvitistele või tööhõivetoetustele.
- Eriliigiliste andmete töötlemine on vajalik isiku eluliste huvide kaitsmiseks, kui isik ei ole füüsiliselt või õiguslikult võimeline nõusolekut andma. Näiteks kui inimene jääb õnnetuse tagajärjel teadvuseta ja vajab kohest arstiabi, võib olla vajalik töödelda tema isikuandmeid, et osutada asjakohast arstiabi.
- Eriliigilisi andmeid töödeldakse sihtasutuse, ühenduse või muu mittetulundusliku organisatsiooni õiguspärase tegevuse raames, millel on poliitiline, filosoofiline, usuline või ametiühingu eesmärk, ning üksnes nende liikmete, endiste liikmete või nendega regulaarselt kontaktis olevate isikute isikuandmete töötlemiseks.
- Eriliigilisi andmeid avalikustasid ilmselgelt üksikisikud.
- Eriliigiliste andmete töötlemine on vajalik kohtumenetluse kontekstis.
- Eriliigiliste andmete töötlemine on vajalik avalikku huvi pakkuvates küsimustes.
- Eriliigiliste andmete töötlemine on vajalik ennetus- või töömeditsiini kontekstis. Näiteks võib olla vajalik hinnata isiku eriliigilisi andmeid, nagu meditsiinilisi andmeid, et määrata kindlaks tema töövõime töötajana.
- Eriliigiliste andmete töötlemine on vajalik rahvatervisega seotud küsimustes ELi või siseriikliku õiguse alusel. Näiteks võib üksikisikute eriliigiliste andmete töötlemine olla vajalik selleks, et tagada tervishoiu ja meditsiinitoodete kõrge kvaliteet või võidelda tõsiste terviseohtude, näiteks viiruste vastu.
- Eriliigiliste andmete töötlemine on vajalik avalikes huvides toimuva arhiveerimise eesmärgil või teaduslikul, statistilisel, ajaloolisel või teadusuuringute eesmärgil. Näiteks võib eriliigiliste andmete töötlemine olla vajalik, et anda täpset statistikat riigi olukorra kohta konkreetses valdkonnas.
Eriliigiliste isikuandmete töötlemise kontrollnimekiri
- Küsige endalt, kas teil on vaja töödelda üksikisiku eriliigilisi isikuandmeid kavandatud töötlemiseks.
- Märkige isikuandmete töötlemise õiguslik alus (= õiguslik põhjendus). Peaksite viitama GDPR-i artiklile 6.
- Teha kindlaks, kas eriliigiliste andmete töötlemise lisatingimused on täidetud. Peaksite viitama GDPR-i artiklile 9.
- Tuvastage riskid ja kaitsemeetmed, näiteks tehnilised ja korralduslikud meetmed, mida teie organisatsioon võib vajada üksikisikute eriliigiliste andmete töötlemisel.
- Ärge unustage pidada arvestust üksikisiku eriliigiliste isikuandmete töötlemise põhjuste, sellega kaasneda võivate riskide ja nende riskide leevendamiseks võetud meetmete kohta.