Uudised

Kas isikuandmete töötlemisel igaühe huvi tähendab õigustatud huvi?

Isikuandmete kaitse üldmääruse (GDPR) järgi peab isikuandmete töötlemiseks olema sobiv õiguslik alus. Üheks õiguslikuks aluseks, mis ettevõtetel sageli küsimusi tekitab, on õigustatud huvi (inglise k legitimate interest).

Mitmed ettevõtted on minu käest küsinud, et millised ikkagi on need isikuandmete töötlemise juhtumid, mil õigustatud huvile tugineda saab. Samuti seda, et mida kujutab endast nn „kaalumisotsuse“ tegemine.

GDPR ei anna ammendavat loetelu juhtudest,  mil tuleb just õigustatud huvile tugineda. Õigustatud huvile tuginemist tuleks kaaluda siis, kui muud õiguslikud alused (eelkõige isikuandmete töötlemine andmesubjektiga sõlmitud lepingu täitmiseks või andmesubjekti nõusolek) antud olukorras ei sobi.

Kuigi õigustatud huvile saab tugineda erinevatel isikuandmete töötlemise juhtudel, tuleb silmas pidada, et seda saab teha vaid teatud eelduste täitmisel. Nimelt sätestab GDPR, et vastutav töötleja võib õigustatud huvile tugineda ainult juhul, kui andmesubjekti huvid või põhiõigused ja -vabadused ei kaalu vastutava töötleja (või kolmanda isiku) õigustatud huvi üles. Et selles veenduda, tulebki koostada nn kaalumisotsus (inglise k balancing test).

Mida kujutab endast kaalumisotsus? See on õiguslik analüüs, kus esmalt selgitatakse, milles seisneb vastutava töötleja (või kolmanda isiku) õigustatud huvi. Näiteks: ettevõte töötleb oma töötajate isikuandmeid, lisades nende fotod oma veebilehele. Ettevõtte õigustatud huvi on sellisel juhul enda müügitulemuste kasvatamine (reklaamides end ja oma meeskonda potentsiaalsetele klientidele). Edasi analüüsitakse muuhulgas seda, kas kõnealune isikuandmete töötlemine on ettevõtte eesmärkide saavutamiseks vajalik, kas andmesubjekt võib sellist isikuandmete töötlemist eeldada, millised on töötlemise võimalikud tagajärjed andmesubjektile. Kaalumisotsuse järeldusena saab vastutav töötleja öelda, kas tal on antud juhul võimalik õigustatud huvile tugineda või mitte.

Mida riivavama iseloomuga on isikuandmete töötlemine (nt profiilianalüüs), seda olulisem on, et kaalumisotsuses oleks hoolikalt selgitatud, kuidas tagatakse andmesubjekti õiguste kaitse. Erilist tähelepanu tuleb kaalumisotsuse põhjendamisele pöörata ka siis, kui andmesubjekt on laps. 

Sageli on kliendid küsinud minult ka seda, et kes peab kaalumisotsuse allkirjastama. GDPR-is ei ole seda kindlaks määratud. Kaalumisotsuse allkirjastajaks võib olla andmekaitseametnik (DPO) või juhatuse liige.

Korrektselt koostatud kaalumisotsus on oluline, sest GDPR-i artikli 5 lõige 2 sätestab „vastutuse põhimõtte“. Vastutuse põhimõtte järgi peab vastutav töötleja järgima GDPR-is sätestatud isikuandmete töötlemise põhimõtteid ning olema võimeline seda tõendama. Vastutav töötleja peab olema valmis selleks, et põhjendada õigustatud huvile tuginemise võimalikkust nii andmesubjektile kui ka Andmekaitse Inspektsioonile.

Soovid rohkem infot?
Mida saavad tööandjad teha, et kaitsta oma ettevõtteid küberrünnakute eest?

Mida saavad tööandjad teha, et kaitsta oma ettevõtteid küberrünnakute eest?

data analysis

Kindlustusandjad teavad sinust jätkuvalt rohkem kui sa ise

küberkurjategija

Küberriskide kindlustamine – kas tasub ära?

Data protection

Kaitse oma klienti, töötajat ja ennast – õpeta töötajatele andmekaitset

Creative industry

Loomeettevõtted: õiguslikud aspektid pandeemiast räsitud majanduskeskkonnas

Tasuta rakendus võib kalliks maksma minna

Andmekaitse ei välista töötajate ja klientide elu ja tervise kaitset

Andmekaitse ei välista töötajate ja klientide elu ja tervise kaitset

Kas tehisintellekt saab olla kooskõlas GDPR nõuetega?

Kas tehisintellekt saab olla kooskõlas GDPR nõuetega?

Puudulik küberhügieen läheb kalliks maksma

Puudulik küberhügieen läheb kalliks maksma

Google´i ja Facebooki online-turunduse tööriistad – kuidas neid edukalt kasutada?

Общий регламент по защите данных (GDPR) может привести к возникновению ряда проблем в связи с блокчейном

JORD Estonia: How to protect personal data in health care institutions?

Kuidas kaitsta isikuandmeid tervishoiuasutuses?

Kas isikuandmete töötlemisel igaühe huvi tähendab õigustatud huvi?

Kuidas reguleerida andmete kaitse kaugtöö puhul?

Kas tark maja võib olla „tagauks“ sinu isikuandmete juurde?

Tehnilised lahendused GDPR nõuete täitmisel

Üldise andmekaitse määrusega (GDPR) kaasnevad plokiahela väljakutsed

#GDPR – tähelepanu, valmis olla, läks!

Kaustas olevad reeglid ja juhendid ei kaitse isikuandmeid!

ABC teadmised küberhügieenist nii ema, isa kui ülemuse seisukohalt

Miks ma peaks seoses GDPR’ga lepingud üle vaatama?

Andmed on kallis vara – kas hoiad neid turvaliselt?

Kolm põhjust miks me vajame nii karme andmekaitse reegleid

Mis on GDPR ja kuidas see Sind mõjutab?

Eesti Andmekaitse Inspektsioon soovitab määruseks varakult valmistuda

Soovid saada õigusuudiseid?
Aitame teil leida parima lahenduse