Kas isikuandmete töötlemisel igaühe huvi tähendab õigustatud huvi?

Mitmed ettevõtted on minu käest küsinud, et millised ikkagi on need isikuandmete töötlemise juhtumid, mil õigustatud huvile tugineda saab. Samuti seda, et mida kujutab endast nn „kaalumisotsuse“ tegemine.

GDPR ei anna ammendavat loetelu juhtudest,  mil tuleb just õigustatud huvile tugineda. Õigustatud huvile tuginemist tuleks kaaluda siis, kui muud õiguslikud alused (eelkõige isikuandmete töötlemine andmesubjektiga sõlmitud lepingu täitmiseks või andmesubjekti nõusolek) antud olukorras ei sobi.

Kuigi õigustatud huvile saab tugineda erinevatel isikuandmete töötlemise juhtudel, tuleb silmas pidada, et seda saab teha vaid teatud eelduste täitmisel. Nimelt sätestab GDPR, et vastutav töötleja võib õigustatud huvile tugineda ainult juhul, kui andmesubjekti huvid või põhiõigused ja -vabadused ei kaalu vastutava töötleja (või kolmanda isiku) õigustatud huvi üles. Et selles veenduda, tulebki koostada nn kaalumisotsus (inglise k balancing test).

Mida kujutab endast kaalumisotsus? See on õiguslik analüüs, kus esmalt selgitatakse, milles seisneb vastutava töötleja (või kolmanda isiku) õigustatud huvi. Näiteks: ettevõte töötleb oma töötajate isikuandmeid, lisades nende fotod oma veebilehele. Ettevõtte õigustatud huvi on sellisel juhul enda müügitulemuste kasvatamine (reklaamides end ja oma meeskonda potentsiaalsetele klientidele). Edasi analüüsitakse muuhulgas seda, kas kõnealune isikuandmete töötlemine on ettevõtte eesmärkide saavutamiseks vajalik, kas andmesubjekt võib sellist isikuandmete töötlemist eeldada, millised on töötlemise võimalikud tagajärjed andmesubjektile. Kaalumisotsuse järeldusena saab vastutav töötleja öelda, kas tal on antud juhul võimalik õigustatud huvile tugineda või mitte.

Mida riivavama iseloomuga on isikuandmete töötlemine (nt profiilianalüüs), seda olulisem on, et kaalumisotsuses oleks hoolikalt selgitatud, kuidas tagatakse andmesubjekti õiguste kaitse. Erilist tähelepanu tuleb kaalumisotsuse põhjendamisele pöörata ka siis, kui andmesubjekt on laps. 

Sageli on kliendid küsinud minult ka seda, et kes peab kaalumisotsuse allkirjastama. GDPR-is ei ole seda kindlaks määratud. Kaalumisotsuse allkirjastajaks võib olla andmekaitseametnik (DPO) või juhatuse liige.

Korrektselt koostatud kaalumisotsus on oluline, sest GDPR-i artikli 5 lõige 2 sätestab „vastutuse põhimõtte“. Vastutuse põhimõtte järgi peab vastutav töötleja järgima GDPR-is sätestatud isikuandmete töötlemise põhimõtteid ning olema võimeline seda tõendama. Vastutav töötleja peab olema valmis selleks, et põhjendada õigustatud huvile tuginemise võimalikkust nii andmesubjektile kui ka Andmekaitse Inspektsioonile.