9. peatükk. Nõusoleku küsimine

Vt. üldmääruse art. 4 p. 11, art. 6-9 ja pp. 27, 32, 33, 38, 40, 42, 43, 50. Vt. Euroopa andmekaitsenõukogu suunist „Suunised määruse 2016/679 kohase nõusoleku kohta“

Mis on nõusolek?

Nõusolek üldmääruse tähenduses on andmesubjekti

vabatahtlik,
konkreetne,
teadlik,
ühemõtteline

tahteavaldus, millega ta kas

avalduse vormis või
selget nõusolekut väljendava tegevusega nõustub enda kohta käivate isikuandmete töötlemisega.

Õiguskaitseasutuste andmekaitsedirektiivi kohaldamisalas (vt IKS 4. peatükk) nõusolekut ei kasutata.

Millal on nõusolek asjakohane?

Isiku nõusolek on üks kuuest võimalikust õiguslikest alustest isikuandmete töötlemiseks. Kui nõusoleku küsimine ei vasta üldmääruses ettenähtud tingimustele, tuleb andmete töötlemiseks leida muu õiguslik alus või neid mitte töödelda.

Nõusolek on vabatahtlik tahteavaldus, mida inimene võib ka igal ajal vabalt tagasi võtta. Selle küsimine on asjakohane vaid sellises olukorras, kus isikul on ka reaalselt võimalik otsustada oma isikuandmete töötlemise üle.

Väär on küsida nõusolekut olukorras, kus tegelikult on isikuandmete töötlemiseks muu õiguslik alus. Taoline tegevus on eksitav, jättes mulje, et inimesel on otsustusõigus olukorras, kus seda tegelikult ei ole.

Tuleb hoiduda nõusoleku mõiste kasutamisest seal, kus inimesele antakse lihtsalt teada lepingu alusel andmetöötlusest ettevõttes (või lepingu või tüüptingimuste muutumisest). Samuti peavad asutused hoiduma nõusoleku mõiste kasutamisest seal, kus nad tegelikult vaid informeerivad inimest avaliku võimu teostamise või avaliku ülesande täitmise käigus toimuvast andmetöötlusest.

Üldmääruse mõttes ei ole nõusolekuga tegu ka väljapoole üldmääruse kohaldamisala jäävates tegevustes. Näiteks ei kohaldata üldmäärust juhul, kui isikuandmeid töödeldakse isiklikul otstarbel.

Näide: lasteaiapeol laste pildistamine isikliku fotoalbumi tarbeks on isikuandmete töötlemine isiklikul otstarbel. Sel juhul ei kohaldata üldmäärusest tulenevaid nõudeid, sh nõusoleku osas. See ei välista heast kasvatusest tulenevat viisakust pildistamiseks pildistatava nõusolemist küsida.

Nõusolekut ei pea võtma olukorras, kus ettevõte/asutus tegelikult inimesi ei tuvasta ega saakski mõistlike pingutustega tuvastada. Näiteks on paljud veebiteenused sellised, kus kasutajaid ei tuvastata ei reaalse ega väljamõeldud identiteedi alusel ega viia profileerimiseks kokku samalt IPaadressilt tulnud erinevaid võrgulehe külastusi. Sellisel juhul ei pea hakkama inimest vastu tema tahtmist tuvastama, et talt andmete töötlemise nõusolek võtta.⁶⁰

Kas avalikus sektoris võib töödelda isikuandmeid nõusoleku alusel?

Kui isikuandmete töötlemine toimub avaliku võimu teostamise või avaliku ülesande täitmise käigus, ei ole andmetöötlejal õigust küsida isikult lisaks ka nõusolekut samade andmete töötlemiseks. Selline olukord on isikut eksitav ega vasta üldmääruse tingimustele.

See ei tähenda, et avaliku sektori asutuste andmetöötlusest on nõusolek kui õiguslik alus välistatud. Nõusoleku alusel võib isikuandmeid töödelda selliste juhtumite puhul, kus tõesti isikul on õigus otsustada oma andmete töötlemise üle kartmata kahjulikke tagajärgi. Nõusoleku annab isik vabatahtlikult ja võib selle igal hetkel tagasi võtta. Selliseks olukorraks võib pidada eeskätt mugavusteenuseid.

Kas avalikus sektoris võib töödelda isikuandmeid nõusoleku alusel? Kui isikuandmete töötlemine toimub avaliku võimu teostamise või avaliku ülesande täitmise käigus, ei ole andmetöötlejal õigust küsida isikult lisaks ka nõusolekut samade andmete töötlemiseks. Selline olukord on isikut eksitav ega vasta üldmääruse tingimustele. See ei tähenda, et avaliku sektori asutuste andmetöötlusest on nõusolek kui õiguslik alus välistatud. Nõusoleku alusel võib isikuandmeid töödelda selliste juhtumite puhul, kus tõesti isikul on õigus otsustada oma andmete töötlemise üle kartmata kahjulikke tagajärgi. Nõusoleku annab isik vabatahtlikult ja võib selle igal hetkel tagasi võtta. Selliseks olukorraks võib pidada eeskätt mugavusteenuseid.

Millal on nõusolek kehtiv?

Nõusolek on vabatahtlik tahtveavaldus, millega isik teadlikult lubab oma isikuandmete töötlemist. Nõusolekut ei loeta vabatahtlikult antuks, kui isikul puudub vaba valikuvõimalus või ta ei saa nõusoleku andmisest kahjulike tagajärgedeta keelduda või seda tagasi võtta. Nõusolek ei ole antud vabatahtlikult, kui näiteks teenust ostes puudub valikuvõimalus elektroonilise reklaami saamise osas („Me ei sõlmi Teiega seda lepingut, kui Te ei ole nõus meilt edaspidi uudiskirju ja soodsaid pakkumisi saama!“).

Sama kehtib ka olukorras, mil isikul puudub võimalus anda nõusolek iga andmetöötluse eesmärgi puhul eraldi.

Nõusolekut ei loeta vabatahtlikult antuks olukorras, kus inimene ja andmetöötleja on selgelt ebavõrdses olukorras (eriti avaliku sektori asutuse puhul või töösuhetes) ning on vähetõenäoline, et isik andis konkreetses olukorra nõusoleku vabatahtlikult.

Nõusoleku kehtivusele ei ole etteantud konkreetset ajalist tähtaega. Nõusoleku ajaline kehtivus sõltub andmete töötlemise tingimustest ja eesmärkidest. Seega tuleks andmetöötlejal eelnevalt antud nõusolekute asjakohasust aeg-ajalt uuesti hinnata. Andmete vastutav töötleja peab silmas pidama, et nõusoleku tõendamise kohustus lasub just temal. Kui andmete töötlemise eesmärgid, mahud ja muud tingimused muutuvad, siis ei ole eelnevalt antud nõusolek kehtiv ning tuleb küsida uus nõusolek.

Küll aga võib isik nõusoleku igal ajal tagasi võtta. Nõusoleku tagasivõtmise võimalusest tuleb isikut informeerida (nõusoleku vormis ja andmekaitse tingimustes) juba enne nõusoleku võtmist ning tagasivõtmise protseduur peab olema sama lihtne kui selle andmine. Nõusoleku tagasivõtmine ei mõjuta nõusoleku alusel toimunud andmete töötlemise seaduslikkust. Kui isik võtab oma nõusoleku tagasi, tuleb tema andmete töötlemine lõpetada.

Millised on nõuded nõusoleku sisule ja vormile?

Nõusolek peab olema selgesõnaline ja konkreetne kinnitus kirjalikus, elektroonilises või suulises vormis.

Nõusoleku sõnastus peab olema lihtsas ja arusaadavas sõnastuses ning kergesti kättesaadav. Nõusoleku sõnastamisel tuleb arvestada ka sihtgrupiga, kellelt nõusolekuid küsitakse, nt alaealiste puhul peaks olema sõnastus arusaadav ka alaealisele. Vaikimist, eeltäidetud (märgistatud) lahtreid ning tegevusetust ei loeta nõusoleku andmiseks.

Nõusoleku vormis peab olema teave selle kohta, kes on isikuandmete töötleja ning millisel eesmärgil isikuandmeid töödeldakse. Lisaks tuleb inimesele teatada võimalusest nõusolek tagasi võtta.

Olenevalt konkreetsest olukorrast ning nõusoleku küsimise viisist ei ole keelatud nõusoleku vormis esitada täpsemat ülevaadet andmetöötlustingimuste, sh isiku muude õiguste kohta. Kui töödeldakse lisaks ka eriliigilisi andmeid,⁶¹ siis peab see olema nõusoleku vormis selgelt välja toodud.

Kui nõusolekut küsiv dokument hõlmab ka muid küsimusi (näiteks lepingu teksti), siis peab nõusolek olema selgelt eristatav. Kui andmeid küsitakse nii nõusoleku alusel kui ka muudel alustel (nt seadusejärgne kohustus, lepingu sõlmimiseks või täitmiseks), siis peab andmeid esitades olema selgelt arusaadav, milliseid andmeid on kohustuslik esitada (nö tärniga märgistatud väljad) ja milliste andmete esitamine on vabatahtlik (nõusoleku alusel esitatavad). Kui andmete töötlemisel on mitu eesmärki, tuleb iga eesmärgi osas eraldi nõusolek anda.

Näide: Isik soovib osaleda elektroonilises uuringus tema käitumisharjumuste kohta. Korrektne ja lihtsas sõnastuses nõusoleku küsimine oleks sellisel juhul: Uuringufirma X korraldab uuringu, millega soovitakse kaardistada igapäevaseid sportimisharjumusi. Uuringu tulemused esitatakse anonüümse üldistatud kokkuvõttena. Uuringus osalemise nõusoleku võite igal ajal tagasi võtta. Täpsemalt nõusoleku tagasivõtmise ja uuringu enda kohta saate lugeda siit (link lehele).

Soovin osaleda sportimisharjumuste uuringus ning olen nõus uuringu jaoks oma andmete töötlemisega.

Nõusoleku andmiseks peab isik kasti tegema linnukese. Sellise näite puhul on väär kasutada isikuandmeid hiljem näiteks reklaami edastamiseks, kuna reklaami saatmiseks ei ole selle sõnastuse kohaselt nõusolekut küsitud.

Kuna nõusoleku olemasolu peab tõendama vastutav töötleja, siis peab nõusolekuid alles hoidma vähemalt andmete töötlemise lõpuni ning pidama nende aja- ja asjakohasuse osas arvestust.

Andmetöötleja peab arvestama, et isikul on õigus igal ajal nõusolekut tagasi võtta ning see peab toimuma sama lihtsal viisil, kui nõusoleku andmine. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud andmetöötluse seaduslikkust. Andmetöötleja peaks eelnevalt analüüsima ka tagasivõtmise viise ja võimalusi. Näiteks pakkuma oma võrgulehel vastavat vormi või võimaldama seda teha telefonitsi (näiteks juhul, kui algne nõusolek küsiti ka telefonitsi).

Nõusoleku küsimiseks ja paremaks haldamiseks koostasime kontrollküsimustiku – vt käesoleva üldjuhendi lisa 2.

Mida peab teadma alaealise isikuandmete töötlemisest?

Laste isikuandmed vajavad töötlemisel erilist kaitset, kuna laps ei pruugi täielikult mõista andmetöötlusega kaasnevaid ohtusid, tagajärgi ja kaitsemeetmeid. Seepärast annab alaealise andmete töötlemiseks nõusoleku tema lapsevanem või eestkostja.

Erand on lapse nõusolekule ettenähtud seoses infoühiskonna teenuste (Interneti vahendusel kasutatavad teenused) osutamisega. Nimelt, kui pakutakse infoühiskonna teenust nõusoleku alusel, siis on alaealise andmete töötlemine seaduslik vaid juhul, kui laps on vähemalt 13- aastane.⁶²

Seega alates sellest vanusest on alaealisel endal otsustusõigus ehk nõusoleku andmise õigus infoühiskonna teenuse saamiseks. Alla selle vanusepiiri annab lapse eest nõusoleku lapsevanem või eestkostja. Oluline on silmas pidada ka seda, et lapsevanema või eestkostja antud nõusolek kehtib lapse täiskasvanuks saamisel edasi.

Kui laps on saanud täiskasvanuks, siis on tal näiteks võimalus lapsevanema või eestkostja antud nõusolek tagasi võtta või seda muuta. Kui laps kasutab alaealistele suunatud on-line ennetus- või nõustamisteenust (nt lasteabi teenus), siis selleks ei ole vaja lapsevanema või eestkostja eelnevat nõusolekut.

Mida peab teadma nõusolekust pärast isiku surma?

Üldmäärus ei kohaldu surnu andmetele. Liikmesriikidel on siiski õigus surnu kaitseks (ja temaga seotud elavate kaitseks) andmekaitsereegleid kohaldada.⁶³

Eesti isikuandmete kaitse seadus on kehtestanud selles osas järgmised reeglid:

Isiku antud nõusolek kehtib tema eluajal ja 10 aastat pärast tema surma juhul, kui isik ei ole otsustanud teisiti. Kui isik suri alaealisena, siis kehtib tema antud nõusolek 20 aastat pärast tema surma. Kui ilmneb, et isikuandmeid on vaja töödelda pärast isiku surma, siis saab selleks nõusoleku anda surnud isiku pärija. Kui pärijaid on mitu, võib nõusoleku anda ja selle ka tagasi võtta ükskõik milline neist pärijatest. Kui töödeldakse vaid surnud isiku nime, sugu, sünni- ja surmaaega, surmafakti ning matmise aega ja kohta, siis ei ole pärija nõusolekut vaja. Seega võib ilma pärija nõusolekuta isikuandmeid töödelda järgnevatel juhtudel:
töödeldakse isikuandmeid, mille töötlemiseks ei ole vaja nõusolekut;
isikuandmete töötlemine toimub muudel õiguslikel alustel;
isiku surmast on möödunud rohkem kui 10 aastat;
alaealiselt surnud isiku surmast on möödunud 20 aastat. Lisaks eeltoodule tuleb ka arvestada võimalusega, et valdkondlikes seadustes võivad olla ka lisatingimused, millal võib surnud isikute andmeid töödelda. Näiteks peavad avaliku teabe seaduse kohased teabevaldajad arvestama ka sama seaduse § 40 lõikega 3.

Last updated: 16.09.2024

Inimese õigused

Andmetöötlejale

Juhendid

Abimaterjalid

KKK

Teabe soovijale

Teabe valdajale

Juhendid

KKK

Piiriülene koostöö

Uudised

Kohtupraktika ja suunised

Andmete vaba liikumine

Andmed rahvusvahelistes infosüsteemides

Euroopa andmestrateegia

Kontaktid

Võta ühendust

AKI tegevus

Sündmused

Asutusest

Liitu meiega

Pressiruum

Juhendid ja KKK

Aki otsused

Teadlikkus