Sa oled siin

Küsimus-vastus

14.11.2019

Küsimus-vastus eraelu kaitse teemal

Korduma kippuvad küsimused

Kas tööandjal on õigus lugeda minu e-kirju?


Eestis on praktikas kujunenud tavapäraseks, et töötajad kasutavad tööandja domeeniga e-postiaadresse muuhulgas ka oma erakirjade saatmiseks ja saamiseks, kui tööandja ei ole kehtestanud muid reegleid töökorraldusele. Tööandjal on õigus kehtestada nõue, et tööandja domeeniga e-posti ei või töötajad kasutada isiklike e-kirjade saatmiseks.

Kui töötajal on lubatud kasutada töö e-posti ka erasuhtluseks, peab olema kehtestatud reegel, et erakirjad tuleb postkastist kustutada või tõsta spetsiaalselt loodud alamkausta, mis oleks selgelt eristatud nt pealkirjaga „Isiklik". Tööandja võib töötaja e-kirjadega tutvuda nõusoleku alusel või töölepingu täitmiseks, aga tööandja ei või riivata töökohustuste täitmise kontrollimise käigus töötaja põhiõigusi ülemääraselt. Lihtsaim viis on reguleerida töötaja e-posti kasutus töökorralduse reeglites või arvuti kasutamise eeskirjades. Täpsema informatsiooni saamiseks loe Andmekaitse Inspektsiooni koostatud juhist.

Kas isikukood on delikaatne?

Isikukood kuulub tavaliste isikuandmete hulka. Isikukood avalikustatakse, kui on vaja konkreetset isikut tuvastada (ühenimeliste isikute puhul). Samuti võib isikukoodi asemel avalikustada vaid sünniaeg.
Miks mu andmeid vaadatud on?

Kontrollisin riigiportaalis eesti.ee oma isikuandmete kasutamist ja avastasin, et minu kohta on teinud päringuid asutused-ettevõtted, kellega mul enda teada mingit seost ei tohiks olla. Miks minu andmeid on vaadatud?
 
Kui mõne päringu puhul jääb arusaamatuks, miks andmeid vaadatud on, tuleb seda esmalt küsida päringu teinud asutuselt. Paljudel juhtudel selgub, et küsimusi tekitanud päring on olnud igati õiguspärane. Kui aga ka pärast asutuselt vastuse saamist jääb püsima kahtlus, et sinu andmetega on tutvutud põhjendamatult, siis tasub kaebusega pöörduda Andmekaitse Inspektsiooni.
 
NB! Ei tasu unustada, et riigiportaalis päringute ajalugu vaadates kuvatakse loetelus ka inimese enda tehtud päringud oma andmete kohta (nt see sama isikuandmete kasutamise päring eesti.ee portaalis).
Mida pean tegema, kui saan oma e-mailile rämpsposti?

Kui Teie e-posti aadress on internetis avalikult kättesaadav ja sellele on kommertsteadaandeid saadetud, saate nõuda edasise reklaami saatmise lõpetamist. Mainitu kehtib ka juhul, kui e-posti aadress oligi avalikustatud kommertsteadaannete saamise eesmärgil.
 
Soovitame oma elektronposti aadressi ise mitte avaldada või siis juba avaldatud lehekülgedelt eemaldada. Samuti kasutada @-märgi asemel muid sümboleid, et aadress ei satuks otsingurobotite poolt koostatud nimekirjadesse. Sellega saate ise vähendada soovimatute kirjade hulka. Ühtlasi on loonud taolise võimaluse meilikasutajale kõik teenuse osutajad ja isik saab kasutada erinevaid filtreid ja soovi korral ka aadresse blokeerida.
Kas andmetöötleja peab andma inimesele infot tema andmete töötlemise kohta?
Igal inimesel on õigus omada ülevaadet: milliseid isikuandmeid, millistel eesmärkidel ja õiguslikel alustel töödeldakse. Selle õiguse tagamiseks tuleb andmetöötlejal teha esmalt kättesaadavaks andmekaitsetingimused ning lisaks sellele tuleb olla valmis info jagamiseks inimeselt saadud taotluse alusel.
 
Andmekaitsetingimustest teavitamisel võib olla mitmeid variante. Kõige enamlevinud viis on teavitada andmekaitsetingimustest organisatsiooni veebiküljel, kuid teavet saab anda ka kirjalikult vabalt valitud kanali või teabekandja kaudu. Kui inimene soovib, võib teavet anda suuliselt. Lähtuma peab mõistlikkusest ning kasutajamugavusest.
 
Kui inimene soovib saada andmetöötlejalt konkreetset ülevaadet oma isikuandmete kasutamise kohta näiteks kindla ajavahemiku ja andmetöötlustoimingu lõikes, peab organisatsioon seda samuti võimaldama.
 
Inimene võib andmetöötlejale taotluse esitada kas suuliselt või kirjalikult. Oluline, et selles on selgesõnaliselt kindlaks määratud, millist infot täpselt soovitakse ning millise tähtaja või perioodi jooksul. Kirjaliku taotluse eeliseks on see, et toimingust jääb maha jälg. Andmetöötlejal on õigus nõuda küsijalt isiku tuvastamist.
 
Küsitud info tuleb anda inimesele esimesel võimalusel, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Andmetöötlejal on õigus taotlust täpsustada ning paluda ka tähtaja pikendust. Keeruliste ja mahukate taotluste korral võib ühekuulist tähtaega pikendada kuni kahe kuu võrra.
 
Info väljastatakse tasuta
 
Tasu andmete väljastamise eest ei ole lubatud üldjuhul küsida – seda nii andmekaitsetingimuste teavitamisel kui inimese taotluse läbi vaatamise eest. Erisus kehtib olukorrale, kus inimese taotlus on selgelt põhjendamatu või ülemäärane eelkõige korduvuse mõttes. Sel juhul on võimalik küsida mõistlikku tasu halduskulude katmiseks või keelduda andmete väljastamisest. Kui andmetöötleja leiab, et inimese taotlus on selgelt põhjendamatu või ülemäärane, on tal kohustus seda tõendada.
 
Keelduvast otsusest tuleb inimest teavitada ühe kuu jooksul taotluse saamisest.
 
Abistav materjal andmetöötlejale
 
Isikuandmete töötleja üldjuhend, peatükk 10 Läbipaistvus
 
 
Kas isikuandmete kaitse üldmäärus annab tõepoolest inimesele õiguse nõuda kõigi enda kohta käivate andmete unustamist ehk isikuandmete kustutamist?
Ühiskonnas kohati liigseid ootusi tekitanud unustamise õigus on paljudel juhtudel piiratud õigus. Inimene saab andmetöötlejalt nõuda ainult selliste andmete kasutamise lõpetamist, mida kas pole enam vaja või mille edasiseks kasutamiseks puudub alus. Õigus tuleneb andmetöötluse eesmärgipärasuse ja minimaalsuse põhimõttest.
 
Igal andmetöötlejal on vaja andmete saamiseks, kasutamiseks, avaldamiseks või avalikustamiseks ja samuti edasiandmiseks põhjust, ehk õiguslikku alust ning seda iga tehtava toimingu jaoks eraldi. Näiteks, kui üks andmetöötleja teeb isikuandmetega kolme erinevat toimingut, on reeglina vaja kolme õiguslikku alust.
 
Juhul, kui andmetöötleja saab kustutamise nõude, aga reaalsuses on andmetöötluseks olemas õiguslik alus, ei pea taotlust rahuldama. Igat keeldumist peab põhjendama (ÜM art 6 isikuandmete töötlemise seaduslikkus).
 
Mõnikord võib olla andmetöötlus seotud ühiskonna avalike huvidega. Näiteks, kui andmetöötlus toimub rahvatervise ja teadus- või ajaloouuringute eesmärgil, võib töötlejal olla õigus andmete kustutamisest keelduda. Olukorras, kus töötlemine on vajalik sõna- ja teabevabaduse õiguse teostamiseks, tuleb kaalutleda, kumb õigus on suurem, kas inimese õiguse privaatsusele või sõnavabadus.
 
Inimesel on õigus isikuandmete kustutamisele:
 
1) tema isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
 
2) inimene võtab töötlemiseks antud nõusoleku tagasi ning puudub muu õiguslik alus isikuandmete töötlemiseks;
 
3) tema isikuandmeid on töödeldud ebaseaduslikult.
 
Isikuandmete kustutamist reguleerib üldmääruses artikkel 17. Kustutamise nõue tuleb esitada andmetöötlejale, kellel on vastutus andmete nõuetekohase töötlemise ees (vastutav töötleja)
Kuidas küsida nõusolekut?
Nõusolek on vaid üks võimalikest õiguslikest alustest isikuandmete töötlemisel ning seda enamkasutavate variantide - seaduse, juriidilise kohustuse ja lepingu täitmise kõrval. Nõusolekut tuleb inimeselt küsida siis, kui muud õiguslikku alust andmetöötluseks ei ole. Selle kasutamine andmetöötluses on alati ebakindel, sest nõusolekut saab igal ajal tagasi võtta. 
 
Küsides tuleb arvestada mitme nõudega. See peab olema ühemõtteline, selge, lihtsas ja arusaadavas sõnastuses ning seisma eraldi muust infost või tingimustest. Kindlasti ei tohi küsija ära unustada selgitust, milleks täpselt nõusoleku alusel andmeid kasutatakse. Nõusolekut küsides ei tohi seada tingimusi ning küsija peab olema kindel, et see on antud teadlikult ja vabatahtlikult. 
 
Isikuandmete kaitse üldmäärusega kooskõlas oleva nõusoleku taotlemise kuus punkti:
 
1) esitatud peavad olema andmed: töötleva organisatsiooni nimi ja kontaktandmed;
 
2) teave, milliste isikuandmete töötlemiseks luba küsitakse;
 
3) eesmärk, milleks andmeid töödeldakse;
 
4) antud nõusoleku tagasivõtmise võimalus (nt saates e-kirja nõusoleku tagasivõtmiseks);
 
5) asjakohasel juhul teade selle kohta, et andmeid kasutatakse üksnes automatiseeritud töötlemisele (sh profiilianalüüsile) toetuvate otsuste tegemiseks;
 
6) teave selle kohta, kas nõusolek on seotud ka andmete rahvusvahelise edastamisega. Tuleb mainida ELi mittekuuluvatesse riikidesse andmete edastamise võimalikke riske, kui ei ole Euroopa Komisjoni kaitse piisavuse otsust või asjakohaseid kaitsemeetmeid.
 
P.S Kahte õiguslikku alust andmetöötluseks olla ei tohi.
 
 
Kas tohin jagada teistele sünnipäevapeol tehtud pilti?

Kui on kavas pildistada eesmärgiga seda pilti teistega jagada, siis tuleb arvestada, et kõigil pildile jäävatel inimestel on õigus privaatsusele. See aga tähendab ühtlasi, et inimene peab saama võimaluse loobuda pildil olemisest. Teised inimesed kindlasti hindavad väga sinu viisakat teavitust, kui soovid nendest pilti teha ja seda ka hiljem sotsiaalmeedias jagada. Kui teavitad, annad ühtlasi ka võimaluse sellest koheselt keelduda.

Andmetöötluse reegleid arvestades, käitud alati korrektselt siis, kui avaldamiseks tehtud pildi jaoks küsid pildile jäävatelt inimestelt nõusolekut (suuliselt sobib hästi), sest teise inimese isikuandmeid tohib eraisikute vahelises suhtlemises jagada tema enda nõusolekul. Kui vahest ei ole võimalik pildile jäävatelt inimestelt nõusolekut küsida, siis kadreeri parem juba oma foto selliselt, et võõrad jääksid Sinu pildil tuvastamatuks või veel parem, hoopis pildilt välja.

Kui teed pildi vaid isiklikuks kasutamiseks, näiteks endale mälestuseks, siis pole teiste nõusolekut vaja. Isiklikuks kasutamiseks loetakse teinekord ka pildi jagamist sõprade ja pereliikmetega, aga kui pilt jõuab juba sotsiaalmeediasse, hakkab see elama oma elu, mida sina ei kontrolli. Sel juhul tekib sinu jaoks juba uus ja sinu vastu pöördumist võimaldav olukord, kuna oled avaldanud teise isikuandmed ilma tema nõusolekuta, mis tähendab - seadusevastaselt.

Meedia ja sotsiaalmeedia

Kust leida infot selle kohta, kuna AKI sekkub meediavaidlustesse?

Andmekaitse Inspektsioon on avaldanud meediasse sekkumise kriteeriumid, mille leiab rubriigist "Juhised" või klikates Isikuandmete avaldamine meedias: Andmekaitse Inspektsiooni sekkumiskriteeriumid (PDF).
Mida silmas pidada suhtluskeskkondade kaudu inimestega kontakti võtmisel?

Kuna suhtluskeskkondades on võimalik luua nn libakontosid ja  on ka samanimelisi isikuid, tuleks suhtluskeskkondade kaudu inimestega kontakti võtmist vältida. Ühtlasi peab tähele panema järgmist:
 
1. Enne teate saatmist tuleb olla  veendunud, et tegemist on tõepoolest teate adressaadiga nt ei saa olla isikusamasuses veendunud, kui tema kontol on vaid hägune pilt inimesest, samuti ei ole piisav, kui kontol on vaid nimi (samanimelisi on palju, libakontosid ilmselt veel rohkem);
 
2. Samuti tuleb teadete saatmisel lähtuda minimaalsuse põhimõttest st ühenduse võtmise teates ei peaks olema ülemääraselt teavet, et mitte kahjustada isikut, kelle kohta edastatav teave käib. Ideaalne oleks näiteks saata teavitus, millega palutakse inimesel asutusega ühendust võtta;
 
3. Keelatud on saata suhtluskeskkondade kaudu teavet, mis oma olemuselt on piiratud juurdepääsuga ja/või paljastab isiku kohta liigselt andmeid nt  kutsete saatmine süüteo või kriminaalasjas  (AK teave, rikub ka süütuse presumptsiooni), makseteatiste saatmine (maksusaladus + eraisiku puhul era kontaktid), üksikasjaliku võlainfo saatmine (IKS § 11 lg 6 ja 7 rikkumine) jms.
 
Peame vajalikuks meelde tuletada ka seda, et andmete vastutav töötleja (teate saatja) on kohustatud tagama, et inimese õigused oleksid tagatud tema kohta käiva teabe edastamisel, seega langeb vastutus eksimuste korral just andmete edastajale.
 
Loe lisaks

 

 

 

 

Mida teha, kui keegi on loonud suhtlusportaalis minu andmeid kasutades konto?

Sel juhul on õigus Teil rikkuja välja selgitamiseks pöörduda politseisse.
Tegemist on identiteedivargusega, mille uurimine kuulub politsei pädevusse.
Kas Andmekaitse Inspektsioon sekkub meediasse jõudnud eratülidesse? 

Seadus lubab ajakirjanduslikul eesmärgil ülekaaluka avaliku huvi korral isikuandmeid avaldada ka ilma asjaosaliste nõusolekuta. Ajakirjandusliku eesmärgi all peetakse silmas ideede ja informatsiooni levitamist, mis aitavad edendada debatti demokraatlikus ühiskonnas. Need on teemad, mis on avaliku huvi orbiidis. See käsitlus tuleneb Euroopa Inimõiguste Kohtu praktikast. Pelk uudishimu aga ei ole veel avalik huvi. Seega ajakirjandusvabaduse kaitse ei laiene avalikkuse uudishimu rahuldamisele kellegi eraelu detailide osas.
 
Andmekaitse Inspektsioon sekkub suure tõenäosusega meedias isikuandmete avalikustamist puudutavatesse juhtumitesse:
 
*kui olukord nõuab kiiremat tegutsemist, kui seda võimaldab tsiviilkohtumenetlus,
 
*kui abi palub inimene, kes on abitus või eriliselt haavatavas seisundis ning ei saa ise enda õigusi kaitsta,
 
*kui tegemist on alaealisega,
 
*kui tegemist on tõeliselt delikaatsete isikuandmetega,
 
*kui rikkumine puudutab suurt hulka inimesi või on korduv,
 
*kui avalikustatakse raske õigusrikkumise teel saadud andmeid või on avalikustamine ise raske õigusrikkumine.
 
Andmekaitse Inspektsiooni mittesekkumisel, jääb inimesele õigus pöörduda kohtu poole.
 
Kas Andmekaitse Inspektsioon sekkub, kui isikuandmed avaldatakse eraisiku poolt sotsiaalmeedias ilma inimese nõusolekuta?

Inspektsiooni poole pöördutakse sageli küsimusega, mida saab teha inspektsioon, kui eraisiku isikuandmed on avaldatud sotsiaalmeedias ilma tema enda nõusolekuta teise eraisiku poolt. Tegemist eraisikute vahelise vaidlusega, mida saab lahendada tsiviilkohtus (taotleda vajadusel riigi õigusabi ja avaldaja eeltuvastusmenetlust), sh nõuda isikult andmete avaldamise lõpetamist ja ka edaspidist andmete avaldamise keelamist.
 
Korrakaitseseaduse eelnõu seletuskirja kohaselt on isikute subjektiivsete õiguste kaitsmine eelkõige kohtuvõimu funktsiooniks. Kui täitevvõim korrakaitseorganite näol hakkaks lahendama eraisikute õigusi ja vabadusi puudutavaid küsimusi, konkureerides kohtuvõimuga, tooks see kaasa võimude lahususe põhimõtte rikkumise, tekiks õiguskindlusetus ja omavolioht. Korrakaitseorganid ei suuda ega peagi suutma igal juhtumil kindlaks teha isikute vahelisi tegelikke õigussuhteid, mis eraõiguslike vaidluste lahendamisel võib olla vägagi keeruline. Tsiviilkohtu volitused ja võimalused asjaolude tuvastamiseks on oluliselt ulatuslikumad.
Mida saan teha, kui Twitteri säutsuja avaldab ebasünda foto?
Kui Twitteris „säutsuja” või ebasündsa foto avaldaja on teada, siis tuleks pöörduda esmalt avaldaja
poole nõudmisega antud info sealt eemaldada. Kui avaldaja pole teada või avaldaja poole
pöördumine ei too tulemusi, jälgi Twitteri juhendit ebasobivast postitusest teatamiseks, mille leiad 
Samuti on võimalik inimesel pöörduda kohtusse, kui avaldatud info sisaldab laimu või kahjustab
muud moodi inimese eraelu.

Sotsiaal- ja haridus

Kas koolilõpetajate nimekirjade avaldamine on lubatud?

Kool ise otsustab, kas, kuidas ja kus avaldada koolilõpetajate nimekirjad. Põhikooli- ja gümnaasiumiseadus annab õiguse teha spetsiaalne eeskiri ja kui hoolekogu ning õpilasesindus on sellega nõus, saabki edaspidi sellest lähtuda. Muidugi eeldab see eeskirjast teavitust kõigile õpilastele ja lapsevanematele, sest alati peab jääma õigus loobuda koolilõpetajate nimekirjas oma nime avaldamisest.
 
Alternatiiv on ka nõusolekute võtmine. Sel juhul on vaja aga kõigilt õpilaste või õpilaste vanemate nõusolekut.
Kokkuvõttes, kui on olemas võimalikult täpselt ära kirjeldatud nimekirja avaldamise kord ja see on kättesaadavaks tehtud kõigile asjaosalisetele, on vajalik õiguslik alus koollõpetajate nimekirja avaldamiseks olemas.
Kas avalikul kooliüritusel pildistamist saab ära keelata?

Keegi ei saa keelata erasikule avalikul üritusel pildistamist ning saadud fotot oma pereringis või sõpradega vaadata (isiklikul otstarbel töödelda). Kui tegu on jõulupeo või kooliaktusega, siis need on avalikud üritused.
 
Kui avalikul üritusel tehakse pilt isiklikuks otstarbeks ja sinna jäävad peale äratuntavalt teised inimesed, pole selle tegemiseks teiste nõusolekut vaja. Kui aga pilti soovitakse avalikustada määramatule hulgale isikutele, sel juhul peab olema veendunud, et pildile jäänud isikud on ka sellega nõus. Kõik inimesed, kes teistest pilte avalikustada soovivad, peavad enne küsima nende nõusolekut.
Kes peavad tervishoiu- ja sotsiaalhoolekande valdkonnas määrama andmekaitsespetsialisti?

Tervishoiuvaldkonnas peavad andmekaitsespetsialisti määrama:
 
kõik perearstid, haiglad ja kiirabiteenuse osutajad, kuna tegemist on avaliku ülesande täitjatega;
ülejäänud tervishoiuteenuse osutajad, kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed.
Sotsiaalhoolekande valdkonnas peavad andmekaitsespetsialisti määrama:
 
asutused, keda riik on lepingu alusel volitanud osutama avalikku teenust. Avalike ülesannete täitjad ollakse klientide osas, kes on  riigi poolt suunanud sotsiaalhoolekande teenust saama ning kelle teenus tasutakse riigi või kohaliku omavalitsuse eelarvest;
ülejäänud sotsiaalhoolekande teenuse osutajad, kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed.
Täpsemalt saab lugeda isikuandmete töötleja üldjuhendist.
 
Kes tervishoiu- ja sotsiaalhoolekande valdkonnas peavad tegema mõjuhinnangu?


Mõjuhinnang tuleb teha kõigil vastutavatel ja volitatud töötlejatel, kelle andmebaasis on enama kui 5000 inimese eriliiki isikuandmed. Mõjude hindamine tuleb läbi viia enne, kui hakatakse kasutama mõnda (uut) tehnoloogiat või rakendust, millega varem kokkupuudet ei ole olnud.

Täpsemalt saab lugeda isikuandmete töötleja üldjuhendist.

Kas isikuandmete kaitse üldmäärus reguleerib haigla patsientide kohta info väljastamist ja külastusõigust?

Isikuandmete kaitse üldmäärus otseselt info väljastamist ega külastusõigust ei reguleeri. Üldmäärus on Euroopa Liidu õigusakt, millega peavad olema kooskõlla viidud Eesti seadused. Haiglaravi saavate patsientide info väljastamist reguleerivad tervishoiuteenuse korraldamise seadus ja võlaõigusseadus.
 
Tavapärane külastuskorra põhimõte on sama, mis enne üldmääruse kehtima hakkamist 25. mai 2018. Patsient ise ütleb, kes on tema kontaktisik, kellele tohib infot jagada ja kes on need inimesed, kellel on külastusõigus. Seadusandja tahe on anda patsiendile õigus keelata enda kohta info andmise neile, kellel on lähedase inimesena info saamise õigus. Samuti on seadusandja võimaldanud teatavatel juhtudel info saamise õigust piirata uurimisorganil.
 
Juhul, kui patsient on kontaktivõimetu, on patsiendi kohta informatsiooni saamise õigus lähedastel, kelleks on tavapäraselt abikaasa, alanejad ja ülenejad sugulased ning õed- vennad.
Kas telefoni või e-postiga tohib patsiendile tundlikku infot anda?
 
Nii telefoni kui e-postiga võib patsiendile tervisega seotud tundlikku infot anda, aga info andja peab olema veendunud, et selle vastuvõtjaks on õige isik ehk siis seesama inimene, kes enda kohta infot küsib. Vastutust selle eest, et teave jõuab õige inimeseni, kannab info andja ning sellest tulenevalt on tal kohustus helistaja isik tuvastada. Kuidas ta seda teeb, saab olla tema enda otsus.
 
Patsiendiga suheldes on mõistlik igal korral hinnata, kas jagatav info on tundlik või mitte. Vastuvõtuks aja andmine ei ole tundlik info. Kui perearst saab telefoni teel patsiendilt palve pikendada retseptiravimit, siis ei nõua see samuti tervisega seotud tundliku info väljastamist.

Töösuhted

Mida ja kui palju tohib tööandja minu kohta küsida?

Töösuhetes kehtib kuldne reegel: tööandja küsib isikuandmeid nii vähe kui võimalik ja vajalik, õiguslik alus on ennekõike kas seadus või töökorraldusreeglid, mis on lepingulise suhte osa.
 
Kui tööandjal on vaja töötaja kohta saada isiklikke andmeid, mille töötlemiseks puudub muu õiguslik alus, on lisavõimaluseks nõusolek, kuid see peab olema vabatahtlik ja kasutusel vaid erandjuhtudel.
 
Nõusoleku peab tööandja küsima nende toimingute jaoks tema isiklike andmetega, mida ei ole töökorraldusreeglites ja mis ei tulene seadusest. Nõusoleku andmine või mitte andmine ei tohiks kaasa tuua kahjulikke tagajärgi. Seda seetõttu, et tööandja ja töötaja on ebavõrdses olukorras ja kui nõusoleku andmine toob kaasa töötaja jaoks ainult negatiivse tagajärje, siis seda vabatahtlikuks lugeda ei saa.
 
Isikuandmete kaitse üldmäärusega käsitletakse erasektoris lisa õigusliku alusena õigustatud huvi. Töösuhetes on mõistlik vältida õigustatud huvi alusel isikuandmete töötlemist, sest tööandja ei tohiks seada töötajat halvemasse olukorda. Töösuhetes toimuvas andmetöötluses kehtivad põhimõtetena läbipaistvus, minimaalsus, lugupidamine ja ausus.
Kas töötajal on õigus vaidlustada olukord, mil tööandjal oli iseseisvalt vaja tema isikliku e-postiga tutvuda?

Töötajal on õigus vaidlustada igasugune kõrvaliste isikute tegevus, mis on seotud tema nimelise e-postkasti kasutamisega. Kui aga tööandja on eelnevalt töökorraldusreeglites paika pannud nimelise e-postkasti kasutamise reeglid, on selle kaudu täpsemalt reguleeritud, kas ja millistel tingimustel on isiklik kirjavahetus lubatud. Samuti see, millistel juhtudel tohib tööandja, arvestades töötaja õigust privaatsusele, tutvuda tema nimelises e-postis olevate kirjadega.

Näiteks, kui tööandja lubab tööalast e-postkasti kasutada, mis on igati mõistlik, võib töökorraldusreeglitesse panna kirja, et „tööandjal on õigus tutvuda töötaja tööalaste kirjadega juhul, kui tööandjal ei ole teist võimalust äritegevuseks vajaliku info saamiseks. Tööandja väldib seejuures asjasse mittepuutuvate kirjade igasugust töötlemist. Isiklikuks kirjavahetuseks tuleb töötajal pidada e-postkasti kausta nimega „ISIKLIK“.

Kas pärast töösuhte lõppu tohib töötaja e-posti säilitada ja kasutada?


Peale töösuhte lõppemist ei ole tööandjal oma endise töötaja nimelise e-posti aadressi kirjadega tutvumiseks ühtegi põhjendust, mida toetab õigusakt. Seega, tuleb muude kokkulepete puudumisel nimeline e-posti aadress koheselt peale lepingu lõppemist sulgeda ja kustutada.

Kui tööandja on kehtestanud töösuhte ajal e-posti kasutamise põhjendatud reeglid, saab ta reeglites tagada endale õiguse säilitada endise töötaja e-posti kirju mõistliku aja jooksul. Endise töötaja e- kirjad võib paigutada näiteks arvutikettale, kustutades seejärel serverist e-posti aadressi koos selle sisuga. Kui aga peaks olema põhjendatult vaja säilitada mingiks ajaks töötaja e- post, võib serveris töötaja nimelise e-posti asendada muu kombinatsiooniga, mille alusel ei saa inimest enam tuvastada, nt ’tootajaametipost@ettevõte.ee’.
Iga töötaja saab ka ise oma privaatsust endise tööandja juures kaitsta, kui järgib lihtsat nõuannet: töösuhte ajal on mõistlik isiklikud e-kirjad koguda eraldi kausta, mida on lihtne töölt lahkudes kustutada. Kui seda aga tehtud ei ole, tuleks e-postkast enne töölt lahkumist üle vaadata ja isiklikud kirjad kustutada.
Kokkuvõttes on kõige otstarbekam on töötaja e-posti säilitamine ja kasutamine panna paika töökorraldusreeglites.

Kas tööandja võib kohustada töötajat kandma nimesilti?

Nimesildi kandmine võib olla teatud ametite või ettevõtte üldise kuvandi puhul põhjendatud (nt maaklerid, hotellitöötajad). See peab olema töötaja töökohast lähtuvalt põhjendatud vajadus ning seega toimub andmete töötlemine lepingu alusel ja selle täitmiseks. Valikuvõimaluse korral kasutada nimesildil üksnes töötaja eesnime.
 
Müüjad peavad kaubandustegevuse seadusest (§ 5 lg 2 p 3) tulenevalt kandma nimesilti kauplemisel väljaspool alalist tegevuskohta (nt laadal, avalikul üritusel vms).
Kas tööandja võib kontrollida töötaja joobeseisundit?

Joobeseisund on terviseseisund ja kuulub delikaatsete isikuandmete hulka ja selle kontrollimine töölepingu täitmiseks on keelatud. Ka politsei kutsumisest ei pruugi abi olla kui isik ei ohusta ennast ega teisi. Ilmsete joobeilmingute korral on tööandjal seadusest tulenev kohustus töötaja töölt eemaldada ning seega ka õigus selleks vajalikus ulatuses isikuandmeid töödelda. Samas joobeseisundi kontrolli täpsema korra selliste olukordade tarvis peaks tööandja reguleerima töökorralduse reeglites. Ilma et esineks joobeilmingud, võib joobeseisundit kontrollida juhul, kui mõni eriseadus nii ette näeb või kui töötaja annab selleks kirjaliku nõusoleku.
Kas ettevõtte kodulehel võib avaldada, et töötaja on lapsehoolduspuhkusel?
Puhkuse põhjuse avaldamine kodulehel on selgelt ülemäärane ning on lubatav vaid töötaja nõusolekul.
Kas tööandja võib nõuda töötajalt karistusandmete esitamist?
Isikult endalt ei ole õigust nõuda karistusregistri väljavõtte esitamist ning seadusandaja on näinud ette võimaluse tööandajal teha ise sellekohane päring.
 
Töötaja poolt täidetavas ankeedis võib küsida vaid seda, kas isikul on varalise kahjuga seotud kehtivaid karistusi või mitte. Sel juhul on inspektsiooni hinnangul täidetud isikuandmete eesmärgipärasuse ja minimaalsuse põhimõtted. Eelpool kirjeldatu on lubatud vaid töökohtade puhul, kus on otsene kokkupuude rahaga.
Mida teha, et hoida ära kliendiandmebaaside kopeerimist ja mittesihipärast kasutamist?
Kõik tööandjad, kelle tegevuse üheks vundamendikiviks on kliendiandmebaas ning kes tahavad olla kindlad klientide isikuandmete sihipärases kasutamises, peavad täitma andmekaitse - ja turvanõudeid. Esmalt tuleb töötajad informeerida, kuidas ja milleks võib kliendiandmeid kasutada. Selleks on vaja kehtestada isikuandmete töötlemise reeglid ehk andmekaitsetingimused. Teiseks peab tööandja võtma kasutusele infoturbe meetmed, mis muuhulgas tuvastavad ka andmete liikumise. Teisisõnu, tööandja peab hoolitsema selle eest, et igast toimingust jääb maha logi, mis vajadusel aitab saada ülevaadet andmete liikumisest.
 
Kui tööandja on loetlenud toimingud, mida kliendiandmebaasiga tohib teha, on töötajal kohustus nendest kinni pidada. See tähendab, et kui töötaja kasutab kliendiandmebaasi omavoliliselt (nt oma eraeluliste probleemide lahendamiseks või  eraldioleva äritegevuse raames), siis selliseks tegevuseks puudub õiguslik alus.
 
Süüteo osas võib kliendiandmebaasi ebaseaduslik saamine, kasutamine või avaldamine kvalifitseeruda karistusseadustiku* alusel  kuriteoks. Olenevalt olukorrast võib olla tegemist ka väärteoga isikuandmete kaitse seaduse järgi.
 
Kriminaalasja saab algatada siis, kui kliendiandmebaasi kui ärisaladust on kasutatud ärilisel eesmärgil või kahju tekitamise eesmärgil. Selleks peab olema tööandjal ehk isikuandmete töötlejal eelnevalt ja väga selgelt ära fikseeritud, et kliendiandmebaas on tema jaoks käsitletav ärisaladusena. Lisaks sellele on oluline, et tööandja on teinud kõik endast oleneva ärisaladuse kaitsmiseks (paika pannud meetmed ärisaladuse kaitseks).
 
Väärteomenetluse algatamiseks ei pea olema tekitatud kahju. Tegevus ei pruugi otsest kahju tekitada, kui näiteks töötaja on kasutanud kliendiandmebaasi n-ö omavoliliselt ja eiranud kehtestatud andmekaitsereegleid (nt kasutab oma tööalast juurdepääsu mingile infosüsteemile eraprobleemide lahendamiseks) või võtab selle hoopis peale töösuhte lõpetamist endaga kaasa. Kuid inimestel, kes on usaldanud oma andmed ettevõtte kliendiandmebaasi kindlateks toiminguteks, kaob teadmine ja ülevaade, mida isikuandmetega tehakse. See omakorda tähendab riski ja ohtu isikuandmete väärtöötluseks.
 
Uurimise algatamiseks ja võimaliku väärteo tuvastamise hõlbustamiseks peavad olema täitetud andmekaitse- ja turvanõuded. Kui selles osas esineb puudujääke, on võimalus väärteomenetluse algatamiseks ka tööandja enda tegevusetuse suhtes. Iga isikuandmeid töötlev tööandja saab reegleid täites end kaitsta väärteomenetluse eest. Samuti on reeglite täitmine oluline, et tõendada andmete liikumist ning võimalikku väärkasutamist.
 
Kui on juhtunud intsident?
 
Isikuandmete töötlemise nõuete rikkumise korral on vastutaval töötlejal (nt tööandjal) kohustus esitada Andmekaitse Inspektsioonile rikkumisteade, kui intsidendi tagajärjeks võib olla oht füüsilise isiku õigustele ja vabadustele. Kahju korral saab tsiviilkohtus nõuda rikkunud isikult kahju hüvitamist ja andmete hävitamist.
 
*v.t karistusseadustik (KarS) § 377 lg 1.
 
 
Kas palgalehte peab e- postiga saatma krüpteeritult?
Palgaleht sisaldab inimese nime ja pangarekvisiite ja neid ei loeta delikaatseteks andmeteks, tegemist on tavaliste isikuandmetega. Tööandja peab ise otsustama, kui õigustatud on palgalehe krüpteerimine. Isikuandmete krüpteerimine on hea võimalus, kuid mitte seadusest tulenev kohustus, kolmandate osapoolte eest info kaitsmisel ja turvalisuse tagamisel.
 
 

Kliendisuhted

Kas internetis vabalt kättesaadavatele e-posti aadressidele võib pakkumisi saata?

Olenemata sellest, kas e-posti aadress on Internetis avalikult kättesaadav või mitte, võib füüsilise isiku e-posti aadressi kasutada otseturustuseks vaid tema eelnevalt nõusolekul. Nõusolekuna ei saa võtta seda, kui inimene on suvalisel võrgulehel oma e-posti aadressi avalikuks teinud.
Kas ettevõte võib ostutšekil kajastada isikuandmeid?
Osadel ostutšekkidel on kajastatud müüja ees-ja perenimi ja kliendi tuvastamisel ka kliendi nimi ja kodune aadress. See saaks toimuda vaid isikute eelneval nõusolekul. Juhime tähelepanu, et andmete töötlemisel peaks alati lähtuma eesmärgipärasuse ja minimaalsuse põhimõtetest.
 
Juhul, kui eraisik soovib arvet, siis saab seal tema andmeid kajastada, aga tavalisel ostutšekil soovitame märkida näiteks kliendi number ja müüja osas kas kassapidaja number või ainult eesnimi. Juriidiliste isikute kohta eelpool toodud andmekaitse nõuded ei kehti.
Kuidas välistada uudiskirja pakkudes kontaktandmete pahatahtlik kasutamine? 
Andmekaitse Inspektsioonile on jäänud silma, et osad ettevõtted kasutavad uudiskirjadega liitumiseks andmekaitseliselt nõrka lahendust. Veebilehel pakutakse ilma isiku tuvastamiseta võimalust kirjutada vastavasse veebivormi aknasse uudiskirja soovija e-posti aadress ja sellega kogu tellimise protseduur lõpeb.
 
Kontrollmehhanismita lahendus ei vasta isikuandmete kaitse üldmääruse lõimitud andmekaitse põhimõttele.
 
Andmekaitse seisukohalt on õige kasutada näiteks lahendust, kus pärast veebivormi e-posti aadressi sisestamist genereerib ettevõtte süsteem samale aadressile täiendava kontrollkirja, millele e-posti omanik peab reageerima. Sedaviisi toimides saab kindlustada, et uudiskirja hakkab saama kontakt, kes on ise info saamiseks soovi avaldanud ning on välistatud, et uudiskirja ei hakka saama keegi, kes ei ole seda tellinud.
Millist otseturustust saab teha õigustatud huvi alusel?
 
Levimas on ekslik arusaam, et alates isikuandmete kaitse üldmääruse (IKÜM) jõustumisest 25. mail 2018 oleks nagu lubatud saata reklaami, kui reklaami saatjal on õigustatud huvi.
 
Üldmäärus ei reguleeri otseturustust e-kanalite kaudu, milleks loetakse e-posti, tekstsõnumeid ja multimeediasõnumeid. E- otseturustuse osas kehtivad erinormid ja seadus teeb vahet füüsilisel ja juriidilisel isikul. Eraisikutele tohib reklaami saata ainult eelneva nõusoleku või varasema kliendisuhte olemasolul. Juriidilisele isikule reklaami saatmiseks ei pea nõusolekut küsima, kuid e -kirjas või muus elektroonilise side sõnumis peab olema loobumislink.
 
Kui otseturunduse tegija kasutab isikuandmeid telefonimüügis või posti teel reklaami tegemiseks, tuleb arvestada kolme asjaoluga.
 
Esiteks, püsiv ärimudel ei saa tugineda õigustatud huvile – see eeldab igakordset kaalumist-põhjendamist, kas konkreetsel juhul kaalub reklaami saatja õigustatud huvi üles inimese õiguse eraelule. Teiseks, kui viidata õigustatud huvile, tuleb seda reklaami saajale põhjendada. Kolmandaks, inimesel on alati õigus keelata oma andmete kasutamine otseturustuseks ning reklaami saatja peab sellest informeerima.
 
ABC e-otseturundajale
 
E-otseturustusele (e-post, SMS) kohalduvad erinormidena e-privaatsusdirektiivi (art. 13) ja elektroonilise side seaduse (ESS § 1031) nõuded.
Elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud kas inimese eelneval nõusolekul või varasema kliendisuhte olemasolul samalaadsete kaupade/teenuste pakkumisel. Vaikimist või tegevusetust nõusolekuks ei loeta.
Inimesel peab olema alati lihtne võimalus otseturustussõnumitest loobuda.
Juriidilise isiku elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud juhul, kui tal on lihtsalt võimalik otseturustussõnumitest loobuda.
 
ABC muudes kanalites otseturundajale
 
Mõistlik on tugineda reklaami saaja eelnevale nõusolekule.
Õigustatud huvi ei saa reklaami saatmisel olla püsiv ärimudel, vaid igakordne kaalumine. Iga püsiv skeem peab toetuma kindlale reeglistikule.
Õigustatud huvile viidates reklaami saatmisel tuleb inimesele seda põhjendada (IKÜM art 13 ja 14).
Inimene saab alati keelata mistahes alusel toimuva otseturunduse (IKÜM art 21 lg 3).

Maksehäired

Kas koos ettevõtte võlainfoga võib avalikustada juhatuse liikme isikuandmeid?

Riigikohus peab lubatavaks äriühingu juhatuse liikme nime avaldamist koos infoga ettevõtte võla kohta võla sissenõudmise (võlgniku survestamise) eesmärgil järgmistel tingimustel:
 
Võla tasumisele sundimise eesmärgil on lubatud avalikustada juriidilise isiku võlg koos registrist nähtuvate juhatuse liikmete andmetega. Kuid võla tasumisele sundimise eesmärgil ei või avalikustada koos juriidilise isiku võlaga endiste juhatuse liikmete nimesid, sest neil puudub võimalus võlgniku majandustegevust mõjutada.
 
Juhatuse liikme nime ei või avalikustada võlaga seoses ka siis, kui avalikustajale on teada, et see isik tegelikult ei saa mõjutada võlgniku majandustegevust. Avalikustajal ei ole kehtivate juhatuse liikmete puhul kohustust hakata ise seda uurima, kes või kas tegelikult saab mõjutada. Aga kui avalikustajale on selline asjaolu teatatud, siis peab avalikustaja seda arvesse võtma. Samuti peab avalikustatav info olema tõene ja ei tohi eksitada. Teisiti öeldes ei tohi avaldatud infoga jätta muljet, et võlgu on juhatuse liige.
 
Võla tasumise eesmärgil on õigus avaldada võlgniku ja selle juhatuse liikmete kohta kohaseid väärtushinnanguid. Lubatud on näidata juriidilise isiku võlga koos seotud isikutega ka negatiivses kontekstis, mida saab käsitada ka avaliku häbistamisena, kui seejuures on järgitud sündsuse piire ega ole vastuollu mindud heade kommetega. Üksnes asjaolust, et äriühing on kellelegi võlgu, ei järeldu iseenesest seda, et äriühingu juhatuse liikmed on ebakompetentsed või olnud pahatahtlikud. Ainuüksi maine kahjustamise eesmärk ei ole aktsepteeritav. Kui avalikustamise peamine eesmärk on kellegi maine kahjustamine, mitte võla kättesaamine, siis selline tegevus võib olla vastuolus heade kommetega.
 
Asjakohased Riigikohtu lahendid: 3-2-1-67-10 (21.12.2010) ja 3-2-1-80-13 (25.09.2013)
Kas ettevõte võib avaldada eraisikust võlglase nime oma koduleheküljel?
Ei, kui selleks puudub isiku nõusolek.
Kas korteriühistu võib arve juures näidata võlgnevusi ja võlglasi?
Jah, kui arve edastatakse kas e-mailile või korteri omaniku postkasti. Trepikoja teadetetahvlil võlgnevusi näidata ei või.

Avaldamine ja kustutamine

Kas avalikust registrist pärit andmeid võib internetis taasavalikustada?

Mitmetes registrites avalikustatakse seaduse alusel isikuandmeid, näiteks kinnistusraamatus, Ametlikes Teadaannetes, Riigi Teataja kohtulahendite rubriigis, äriregistris. Kas neist registritest pärit isikuandmeid võib igaüks omakorda internetis taasavalikustada? 
 
Internetis võivad kõik isikud piiranguteta taasavalikustada üksnes andmekogude avaandmeid. Avaandmed on need, mis on kättesaadavad leheküljel https://opendata.riik.ee/.
 
Andmekogudes seaduse alusel avalikustatud muid andmeid võib taasavalikustada üksnes juhul, kui seda lubab mingi seadus. Kui seaduslikku alust ei ole, siis selliseid andmeid taasavalikustada ei või. 
 
 
Millal tohib avalikustada sugupuu andmeid internetis?
Igal ühel on õigus uurida ja teada saada oma esivanemaid, sugulasi ja hõimlasi ning tulemuste avaldamiseks koostada sugupuu. Kui taoline sugupuu koostatakse ja avaldatakse sugulaste ringis, siis ei kohaldu Isikuandmete kaitse seadus, kuna andmeid töödeldakse isiklikul otstarbel.
 
Juhul, kui isikuandmed aga avalikustatakse Internetis (nt http://www.geni.com/ lehel), siis kohaldub isikuandmete kaitse seaduses ettenähtud nõusoleku küsimise nõue ehk teisisõnu tuleb isikuandmete avalikustamiseks küsida isikult endalt selleks isikuandmete kaitse üldmääruse artikkel 6 kohane nõusolek. Lisaks soovitame sätestada veebilehele piirangud sugupuuandmetele juurdepääsevate isikute hulga osas (nt vaid suguvõsasse kuuluvad isikud pääsevad enda suguvõsa andmetele ligi).
 
Kui te aga leiate oma isikuandmed avalikult kättesaadavana ja te ei soovi seda, siis pöörduge avaldaja poole omaenda andmete umbisikustamiseks või kinniseks muutmiseks.
 
Tutvu ka Andmekaitse Inspektsiooni juhisega Isikuandmete töötlemine suguvõsa uurimiseks  (221.57 KB, PDF)
Kas võistlusprotokollides tohib isikuandmeid avalikustada?
Spordiürituse korraldaja peab registreerumisel osalejat teavitama, kuidas ja millised isikuandmed võistluste tulemustest avalikustatakse, kus avalikustatakse ja kui kauaks jäävad  andmed avalikuks. Muude isikuandmete osas, mis ei ole võistluse läbiviimiseks hädavajalikud, tuleb osalejale anda võimalus ja vastav juhis avalikustamisest keelduda.
Kas kohtulahendist saab oma nime eemaldada?
Isiku taotlusel asendab kohus lahendis andmesubjekti nime initsiaalide või tähemärgiga ning ei avalikustata tema isikukoodi, sünniaega, registrikoodi ega aadressi tsiviilkohtumenetluse seadustiku § 462 lg 2 ja halduskohtumenetluse seadustiku § 175 lg 3 alusel.
 
Avalikustatud kuriteo ja väärteo kohtulahendites või muudes registrisse kandmise aluseks olnud ametnike avalikustatud otsustes asendatakse isiku nimi initsiaalide või tähemärgiga pärast karistusandmete registrist kustutamise tähtaja saabumist karistusregistri seaduse § 28 kohaselt. Erisus kehtib alaealistele kriminaalmenetluse seadustiku § 4081 lg 2 alusel. Kuriteo koosseisude puhul, mis on loetletud karistusregistri seaduse §-s 28, ei ole õigust isikuandmete avalikustamise lõpetamist nõuda.
 
 
Kuidas kustutada ID-kaardi kasutusajalugu?
ID-kaardiga e-teenusesse sisenemisel kuvab arvuti kõigepealt akna, milles kasutaja peab valima sertifikaadi, millega ta soovib e-teenusesse siseneda. Kui arvuti kasutaja on alati sama isik, on valikus ainult üks sertifikaat – kasutaja enda oma. Kui aga arvutit kasutavad erinevad inimesed (näiteks avalikes internetipunktides või ametiasutuste ja ettevõtete teenindussaalides), võib veebilehitsejate Internet Explorer ja Google Chrome puhul arvuti kuvada ka eelnevate kasutajate sertifikaatide andmed.
 
Mittevajalikud ja segadust tekitavad sertifikaadid saab eemaldada järgmiselt:
 
Kui veebilehitsejaks on Internet Explorer.
avage veebilehitseja;
avage tegumiribal menüü Tööriistad (Tools) ja valige Inerneti-suvandid (Internet Options);
avanenud aknas liikuge valikule Sisu (Content) ja klikake ikoonil Serdid (Certificates);
kustutage valiku Personal alt kõik sertifikaadid. Sertifikaatide kustutamiseks tehke hiirega klikk sertifikaadil, valige Remove ja Yes.
Kui veebilehitsejaks on Google Chrome.
avage veebilehitseja;
klikake tegumiriba ikoonil Kohandamine ja juhtimine (Customize and control) ja valige Seaded (Settings);
avanenud lehel klikake tekstil Kuva täpsemad seaded (Show advanced settings), liikuge valikule HTTPS/SSL ja klikake ikoonil Halda serte (Manage sertificates);
kustutage valiku Personal alt kõik sertifikaadid. Sertifikaatide kustutamiseks tehke hiirega klikk sertifikaadil, valige Remove ja Yes.
 
 
Kui aken on sertifikaatidest tühi, siis valige Close ja OK. Seejärel asetage ID-kaart lugejasse, avage ID-kaardi haldusvahend ja lubage rakendusel sertifikaadid uuesti registreerida.
 
Kui nüüd uuesti ID-kaardiga e-teenusesse siseneda, kuvab arvuti ainult kasutaja sertifikaati.
Kas ja mismoodi saab otsingumootoritesse jõudnud isikuandmed ära kustutada?

Nagu igal asjal on oma hea ja halb külg, on seda ka infomaailma põhitegijal- otsingumootoril, mis leiab üles kõik avalikud võrgulehed ja kajastab nende sisu. Kuna osa infost on inimeste isikuandmed, võivad mõned inimesed ainuüksi juba oma nime ja sünniaega otsingumootorist nähes tunda privaatsuse riivet ning leidub neidki, kes tahaksid teha kõik selleks, et maha saada mistahes isikuandmed. Tsitaat elust enesest: „Pole ju teiste asi, et minu koer toob koju medaleid ja jooksen oma vanusegrupis kõige kiiremini.“

Olukorras, kus otsingumootor toob välja võrgulehel avaldatud inimese andmed, mida ei soovita seal näha, tuleb esmalt pöörduda andmete avaldaja poole ehk võtta ühendust võrgulehe pidajaga. Näiteks vana töökoha võrgulehelt soovivad paljud oma andmeid kustutada ja seda soovi saab täita vana tööandja.

Vahest võib olla inimestel igati õigustatud kahtlus, kas andmed üldse pidid olema avaldatud. Sel juhul on mõistlik taaskord teha pöördumine võrgulehe pidaja poole ja otse küsida, millisel eesmärgil ja õiguslikul alusel isikuandmed on avaldatud.

Kui tegemist on seaduse või ajakirjanduse sätte (avalik huvi) alusel avaldatud andmetega, ei saa alati andmete kustutamise nõude täitmisele loota. Ajakirjanduslik säte tähendab oma sisult, et kui kaalukausi vaeb üles avalik huvi, ei pruugita inimese privaatsuse sooviga arvestada.  Kuid alati peab ajakirjanduse sätte kasutamisel olema arvestatud ajakirjanduseetika koodeksiga.

Kui õiguslikku alust ja eesmärki ei ole, on inimesel õigus nõuda avaldajalt oma isikuandmete kustutamist. Pärast muutuse tegemist võrgulehel, uuendab end teatud ajatsükli jooksul ka otsingumootor. Alati võib ka otse otsingumootori poole pöörduda, kasutades selleks ette antud vormi. Kui inimene pöördub otse, peab ta arvestama, et otsingumootor ootab põhjendamist ja tõendamist, miks peaks andmed kustutama.

Isikuandmete kaitse üldmäärus annab võimaluse nõuda ka andmete töötlemise piiramist. See tähendab, et inimene saab nõuda oma andmete mittekuvamist ja seda kas võrgulehel või otsingumootoris. Igal juhul tuleb olla valmis põhjendamiseks ja kui vaja siis ka tõendamiseks.

Millest alustada?

 

  1. Tee kindlaks, kes on andmete avaldaja või milliselt veebilt andmed on pärit. Kui võrgulehe omanik pole teada, siis võrgulehe registreerijat on enamasti võimalik tuvastada kasutades erinevaid whois-otsinguid, nt https://www.whois.com/whois, https://uk.godaddy.com/whois ning .ee domeenide puhul www.eis.ee ja .eu domeenide puhul www.eurid.eu.
  2. Uuri välja põhjus, miks andmed on avaldatud. Igal avaldamisel peab olema eesmärk. Näiteks, kui on avaldatud foto tagaotsitavana politsei veebis või ajakirjanduses, on avaldamisel eesmärk inimene üles leida. Kui inimene on üles leitud, kaob ära avaldamise eesmärk.
  3. Nüüd kui tead avaldajat ja põhjust, miks on andmed avaldatud, hinda olukorda edasise sammu astumiseks. Õigus andmed kustutada on reeglina Sinu poolel, kui andmete avaldamisel pole olnud seaduse sätet või eesmärki või on see juba täidetud. Võid olla kindel, et isikuandmete kaitse põhimõtted annavad inimesele õiguse olla unustatud nende andmete osas, mida enam ei ole vaja või mis on avaldatud seadusevastaselt. Lisaks on sul õigus andmete töötlemist piirata, näiteks ei pea olema avalikkusele teada, millises lasteaias või koolis oled käinud. Andmete töötlemise piiramine on ka oma nime initsiaalide vastu asendamine, mis teinekord on hea lahendus, kui ilmtingimata on vaja mõnda dokumenti avaldatuna hoida. Töötlemise piiramine on hea võimalus leida kompromisslahendus andmetöötleja ja inimese vahel, s.t andmeid saab edasi kasutada, aga need ei ole leitavad otsingumootorist.
  4. Kui leiad, et sul on õigus saada unustatuks ehk andmed kustutada või nende töötlemist piirata, pöördu avaldaja poole. Selleks tuleb võtta ühendust veebikülje omanikuga, teisisõnu andmete algallikaga ning talle põhjendada, miks nii arvad. Kui näed, et avaldamine on olnud ebaseaduslik, ole valmis seda ka tõendama. Otsingumootor uuendab end peale muutusi reeglina ise, aga kui soovid olla kindel, et andmed otsingumootorist kindlalt maha saaks, võid pöörduda taotlusega ka ise. Euroopa Kohtu otsuse (24. septembril 2019/ kohtuasi C‑507/17) järgi peab otsingumootor andmed kustutama piirkonnas, kust kustutamise nõue tuli. 
Siit leiab kolme otsingumootori taotlusvormid

Google vorm

Bingi vorm

Yahoo vorm.

Hispaania vs Google Inc kohtuasjast C-131/12 tulenevalt on isikul õigus pöörduda ise oma andmete eemaldamiseks otse Google´i poole

Kuidas teada saada, kes avaldas minu andmed välismaa võrgulehel?
Kui võrgulehe omanik pole teada, siis võrgulehe registreerijat on enamasti võimalik tuvastada kasutades erinevaid whois-otsinguid, nt https://www.whois.com/whoishttps://uk.godaddy.com/whois ning .ee domeenide puhul https://www.internet.ee/
 ja .eu domeenide puhul https://eurid.eu/en/
 
Sealt näed, kes on lehe registreerinud (registrant) ja kelle juures on omanik ostnud majutusruumi (technical contact). Võta ühendust võrgulehe omanikuga (registreerijaga), sest välismaisel võrgulehe omanikul ei ole kohustust reageerida inspektsiooni ettekirjutustele. Eraldi võid pöörduda ka vastava riigi andmekaitseasutuse poole.
Kuidas oma andmeid Facebookist maha saada?
1) Esmalt tuleks võtta ühendust andmete avaldajaga ja paluda tal avaldatud andmed maha võtta. Kui see ei anna tulemust või avaldajaga ei ole võimalik ühendust saada, tasub oma õiguste rikkumisest teavitada Facebooki.
 
2) Facebook on kasutajatele õiguste rikkumisest teavitamise väga lihtsaks teinud. Teavitada saab iga postituse paremast ülanurgast avaneva menüü kaudu, kust tuleb valida "teata ebasobivast postitusest" või "teavita fotost". Facebooki poole saab pöörduda ka e-posti teel aadressil abuse@facebook.com.
 
3) Kui Facebooki poole pöördumine ei anna tulemusi, soovitame pöörduda hagiga andmete avaldaja vastu maakohtusse ja taotleda enda kohta edaspidiste andmete, sh laimu avaldamise keelamist.
Kas ma saan sünnipäevaõnnitluse avaldamist ajalehes keelata?
Ajalehtedes inimestele sünnipäevaõnnitluste ja lähedaste surma puhul kaastunde avaldamine on kauaaegne tava. Kuigi nendes kuulutustes töödeldakse isikuandmeid, mille kaitseks on tänapäeval isikuandmete kaitse seadus, ei riku inimese nime ja vanuse avalikustamine inimese eraelu puutumatust sel määral, et juurdunud tavasid keelama hakata.
 
Kui isik on siiski sünnipäevaõnnitlusest häiritud, on tal õigus keelata oma andmete avaldamist õnnitletavate nimekirjas. Kuulutuste avaldaja peab inimese sellist soovi aktsepteerima ja arvestama, et vastupidisel juhul saab puudutatud isik kaevata Andmekaitse Inspektsiooni või kohtusse.
 
Mis puudutab aga vastsündinu nime ja sünniaja avaldamist vallalehes, siis peaks hilisemate arusaamatuste vältimiseks vastsetelt lapsevanematelt selleks nõusoleku küsima.
Kas internetis võib inimese kohta avaldada kõike, sest Eestis on sõnavabadus?
Ei või kõike valimatult avaldada. Ilma inimese enda nõusolekuta lubab seadus eraelu riivavaid isikuandmeid avalikustada, kui on ülekaaluka avaliku huvi olemasolu ning see avaldamine ei tohi ülemääraselt kahjustada kajastatava inimese õigusi. 
Kas elektronkirja koopiareal tohin avaldada e-posti aadresse?
Eraisiku e-posti aadress on samasugune isikuanne nagu kodune aadress ja üldreeglina ilma inimese nõusolekuta seda avaldada ja jagada ei tohi.
 
Kui tavamaailmas ei ole heaks tavaks jagada kellegi kodust aadressi ilma tema nõusolekuta, siis digimaailmas tuleb olla sellega veelgi ettevaatlikum. Iga e-kiri, mille välja saadate, võib jõuda isikuteni, kellele see konkreetne kiri ei ole adresseeritud – seda ennekõike siis, kui eksitakse e-posti aadresside kirjutamisel. Selle tulemusena võivad kõrvalised isikud teada saada informatsiooni, mis ei ole neile mõeldud – olgu selleks nii kirja adressaadid koos e-posti aadressidega kui ka kirja enda sisu. Kõige mustema stsenaariumi tulemusena võidakse selle kirja sisu (koos e-posti aadressidega) edastada veel suuremale isikute ringile või laiemale avalikkusele. Sellepärast tulebki eraisikute e-posti aadresside kasutamisel kindlasti arvestada isikuandmete töötlemise reeglitega, sh eelistama neid meetmeid, mis kohe alguses tagavad suuremat privaatsust.
 
Näide koolist
 
Toome ühe näite lastevanemate e-posti aadresside kasutamisest koolis. On tavapärane, et õpetajad loovad oma klassi lastevanemate e-posti aadressidest ühe nimekirja. Selle nimekirja pidamise mõte on anda vanematele informatsiooni koolis toimunust ning tulevastest üritustest. Kõik vanemad ei eelda ega soovi automaatselt, et nende e-posti aadressid oleksid nähtavad ka teistele vanematele. Seetõttu tuleb nende e-posti aadressid lisada pimekoopiasse (BCC – blind carbon copy), mitte tavakoopiareale. See on üks näide vaikimisi andmekaitse põhimõtte järgimisest. Muidugi on ka neid vanemaid, kes soovivad, et nende e-posti aadressid oleksid ka teistele vanematele nähtavad ja kättesaadavad. Sel juhul peab vanem olema sellest teadlik ja sellega nõus.
 
Alternatiivne võimalus: kooli IT-teenistus või õpetaja on loonud eraldi grupi e-posti aadressi (nt „1A_lapsevanemad“ vms), kus kõikide vanemate e-postide aadressid on teada ainult koolile. Selle näite korral saab lapsevanem teada, mis grupis ta on ning mis grupile konkreetne kiri saadeti, kuid ta ei saa teada, kes selles grupis veel on, sh ka nende e-posti aadresse.
Kas võlaandmeid ei tohigi avaldada?

Tohib, aga võlaandmete avaldamisel kehtib põline reegel: kui andmed on kontrollitud ja õiged, tohib neid ilma isiku nõusolekuta avaldada ainult seadusega kooskõlas. Võlaandmete avaldamise eesmärk ei tohi olla kättemaks või häbistamine.

Seega on olukord, mil iga inimene avaldab internetis oma suva järgi võlaandmeid, üheselt keelatud. Võlaandmete edastamine on lubatud ennekõike inimese krediidivõimekuse hindamiseks ja seda arvestusega, et andmete saajal on seaduslik alus või õigustatud huvi sellist infot saada.

Kas isikuandmete kaitse üldmäärus annab tõepoolest inimesele õiguse nõuda kõigi enda kohta käivate andmete unustamist ehk isikuandmete kustutamist?
Ühiskonnas kohati liigseid ootusi tekitanud unustamise õigus on paljudel juhtudel piiratud õigus. Inimene saab andmetöötlejalt nõuda ainult selliste andmete kasutamise lõpetamist, mida kas pole enam vaja või mille edasiseks kasutamiseks puudub alus. Õigus tuleneb andmetöötluse eesmärgipärasuse ja minimaalsuse põhimõttest.
 
Igal andmetöötlejal on vaja andmete saamiseks, kasutamiseks, avaldamiseks või avalikustamiseks ja samuti edasiandmiseks põhjust, ehk õiguslikku alust ning seda iga tehtava toimingu jaoks eraldi. Näiteks, kui üks andmetöötleja teeb isikuandmetega kolme erinevat toimingut, on reeglina vaja kolme õiguslikku alust.
 
Juhul, kui andmetöötleja saab kustutamise nõude, aga reaalsuses on andmetöötluseks olemas õiguslik alus, ei pea taotlust rahuldama. Igat keeldumist peab põhjendama (ÜM art 6 isikuandmete töötlemise seaduslikkus).
 
Mõnikord võib olla andmetöötlus seotud ühiskonna avalike huvidega. Näiteks, kui andmetöötlus toimub rahvatervise ja teadus- või ajaloouuringute eesmärgil, võib töötlejal olla õigus andmete kustutamisest keelduda. Olukorras, kus töötlemine on vajalik sõna- ja teabevabaduse õiguse teostamiseks, tuleb kaalutleda, kumb õigus on suurem, kas inimese õiguse privaatsusele või sõnavabadus.
 
Inimesel on õigus isikuandmete kustutamisele:
 
1) tema isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
 
2) inimene võtab töötlemiseks antud nõusoleku tagasi ning puudub muu õiguslik alus isikuandmete töötlemiseks;
 
3) tema isikuandmeid on töödeldud ebaseaduslikult.
 
Isikuandmete kustutamist reguleerib üldmääruses artikkel 17. Kustutamise nõue tuleb esitada andmetöötlejale, kellel on vastutus andmete nõuetekohase töötlemise ees (vastutav töötleja).
 
 
Mida teha seaduserikkumist või huligaansust näitava foto või videoga?


Kui Teie kasutuses on õigusrikkuja foto või video, kus inimene on äratuntav ja mida justkui sisemise õiglustunde järgi tahaks avaldada, siis õige on hoog maha võtta ja mõelda, mida selline tegevus endaga kaasa toob. Reaalsuses vahet ei ole, kas omate enda tehtud pilti või videot kellegi rikkumise kohta või olete selle saanud sõbralt.

Häbipost pole lubatud

Videod ja fotod „huligaanidest“ võib rahuliku südamega avaldamata jätta. Igasuguste huligaansuste avaldamisel võite panna teise inimese asjatult häbiposti ja olukord võib pöörduda Teie enda vastu. Nimelt on võlaõigusseaduse (§ 1046) kohaselt isiku au teotamine, muu hulgas ebakohase väärtushinnanguga, isiku nime või kujutise õigustamatu kasutamine, eraelu puutumatuse või muu isikliku õiguse rikkumine õigusvastane, kui seadusega ei ole sätestatud teisiti. Õigusvastasuse tuvastamisel tuleb arvestada rikkumise liiki, põhjust ja ajendit, samuti suhet rikkumisega taotletud eesmärgi ja rikkumise raskuse vahel. Samuti nõuab isikuandmete kaitse üldmäärus, et isikuandmete avaldamiseks peab olema õiguslik alus.

Seega, Eesti seadusandlus ei luba panna inimesi häbiposti ega teha seeläbi „omakohust“. Karistuste määramine on õiguskaitseasutuste pädevuses. Seepärast ei ole lubatud ilma ametliku otsuseta kedagi sotsiaalmeedias seaduserikkujana esitleda.

Mida peaksin ma sel juhul tegema?
Kui olete avastanud sündmuse, kus on õigusrikkumine ja olete seda jäädvustanud foto või videona, siis tuleks ennekõike see jäädvustus edastada sellele asutusele, kes uurib või menetleb sedasorti õigusrikkumisi. Näiteks kui salvestisele jääb sõiduk, mis põhjustas liikluses ohtliku olukorra, siis anda sellest teada politseile, edastades salvestise. Kui näiteks keegi on enda olmeprügi ehk jäätmed viinud nö metsa alla, siis on võimalik sellest teavitada Keskkonnainspektsiooni, politseid või kohalikku omavalitsust.

Kas ma üldse võin avalikkusele teada anda avastatud rikkumisest?


Nagu eelnevalt mainitud, peab isikuandmete avalikustamiseks olema õiguslik alus. On arusaadav, et avalikkusele soovitakse mingist probleemist märku anda. Siiski peate olema veendunud, et kellegi kohta mingi info avalikustamisega Te seadust ei riku. Näiteks ei ole iga küla tänaval ringi sõitev võõras auto potentsiaalne varaste seltskond – seetõttu ei ole alati ka õigustatud, kui selle sõiduki juhist tehakse foto, mis avaldatakse sotsiaalmeedias koos väitega, et tegemist on vargaga. Tegemist võib olla olukorraga, kus inimene on eksinud ja/või otsib mingit konkreetset aadressi, et näiteks sõbrale külla minna.

Kui näiteks avastatakse metsa alt ehitusjäätmeid, siis on võimalik sellest pilt teha ning sellest avalikkust oma sotsiaalmeedia konto kaudu teavitada. Lisaks tuleks teavitada ka ühte eelnevalt märgitud asutustest- keskkonnainspektsiooni, politseid või omavalitsust.

Kui leiate näiteks metsa alt mingid dokumendid, kus on ka inimeste andmed (nt kliendikaardi taotlused, tervisekaardid vms) siis tuleks sellest teavitada Andmekaitse Inspektsiooni. Sellises olukorras ei tohi neid fotosid või videoid nendest dokumentidest koos nendes olevate andmetega avalikustada enda sotsiaalmeedia kontol, kuna see võib tuua pöördumatut kahju neile, kelle andmed nendes dokumentides on. Kui foto jõuab juba sotsiaalmeediasse, hakkab see elama oma elu, mida Teie ise ei kontrolli.

Kui ma soovin avalikkusele teada anda mingist probleemist koos isikuandmetega – miks ajakirjandus seda tohib teha, kuid mina mitte?
Ajakirjanduse puhul on olemas erisäte, mis neil lubab isikuandmeid avalikustada. Isikuandmete kaitse seaduse (§ 4) järgi on isikuandmeid lubatud inimese nõusolekuta töödelda ajakirjanduslikul eesmärgil, eelkõige avalikustada meedias, kui selleks on avalik huvi ja see on kooskõlas ajakirjanduseetika põhimõtetega. Isikuandmete avalikustamine ei tohi ülemäära kahjustada inimese õigusi. Kõik need tingimused peavad olema täidetud.

Andmekaitse Inspektsioon on oma võrgulehel avaldanud sekkumiskriteeriumid, millal inspektsioon sekkub meediasse (458.83 KB, PDF)Meediana käsitletakse selles dokumendis nii professionaalset meediat (päeva- ja nädalalehed, tele- ja raadiokanalid) kui ka blogisid, netifoorumeid ja sotsiaalmeedia suhtlusvõrgustikke. Mõlemad võivad sisaldada ajakirjandusliku eesmärgiga artikleid ning meelelahutust. Erinevalt meelelahutusest on ajakirjanduslikul eesmärgil lubatud isikuandmeid avalikustada ka ilma inimese enda nõusolekuta.

Seega, kui mingeid isikuandmeid on avalikustatud avalikkuse teavitamise eesmärgil, siis võib Teie tegevus olla samastatav olukorraga, kus meedia avaldab isikuandmeid. Samas, kui kõik need tingimused ei ole täidetud, siis peab olema mingi muu õiguslik alus – näiteks inimese nõusolek.

Miks on politseil võimalik avaldada õigusrikkujate isikuandmeid, kuid minul mitte?
Politseil on õigus menetlusalast teavet väljastada avalikkusele ja pressile – sellekohased õigused tulenevad valdkondlikest menetlusseadustest. Siiski ei tähenda, et avaldatakse valimatult kõike ja kõigi kohta. Sel teemal on soovituslik tutvuda ka politsei enda meediasuhtluse põhimõtetega.

Jätke meelde oluline põhimõte: kui avaldate kellegi teise isikuandmed foto või videona negatiivses võtmes ja põhjustate sellega teisele mainekahju, olete vastutav Teie ise. Andmete avaldamise tagajärgede eest on vastutus alati avaldajal. See kehtib ka teiste inimeste jagatud info avaldamisel. Seega, kui avaldate, võtate vastutuse.

 

Kokkuvõttes: fotode või videode avaldamine on lubatud järgmiste õiguslike aluste olemasolul:


-Kui on olemas inimese vabatahtlik nõusolek. Peate seda alati saama tõendada.

-Kui see tuleb seadusest. Näiteks politsei saab avaldada menetlusinfot (sh ka isikuandmeid) ainult menetlusseaduste alusel.

-Kui on täidetud kõik ajakirjanduslikul eesmärgil isikuandmete avalikustamise nõuded.

Millal kustutatakse andmed karistusregistrist?

Karistusregistrist karistusandmete kustutamise aeg sõltub sellest, millise süüteo eest määratud karistusega on tegemist. Väärteo eest määratud karistused kustuvad 1 aasta möödumisel (v.a. maksuväärteod, kus see tähtaeg on 2 aastat), kuriteo eest mõistetud karistuste kustutamise tähtajad sõltuvad mõistetud karistusest. Üldkasuliku töö puhul kustutatakse karistusandmed registrist ja kantakse selle arhiivi, kui üldkasuliku töö tegemisest on möödunud 3 aastat. Seega tuleb kõigepealt oodata, millal üldkasulik töö saab tehtud ja seejärel veel 3 aastat, et karistus ei oleks enam registris.

Kaamera ja audio

Kas isikliku maja külge paigaldatud kaamera tohib avalikku ruumi filmida?

Euroopa Kohus tegi 2014. aastal otsuse asjas, kus analüüsiti videovalve kasutamist isiklikul otstarbel.
 
Kohus leidis, et füüsilise isiku poolt isikliku maja külge vara ja isikute kaitseks paigaldatud kaamerasüsteemi kasutamine ei toimu üksnes isiklikul otstarbel, kui selline süsteem jälgib ka avalikku ruumi (nt üldkasutatavat tänavat). Euroopa Kohus rõhutas, et erandit, mis reguleerib isikuandmete töötlemise lubamist isiklikul otstarbel, tuleb tõlgendada kitsendavalt.
Lähtuvalt nimetatud kohtuotsusest: kui kaamera vaatevälja jääb ka avalik ruum, siis seda ei käsitleta enam filmimisena isiklikul otstarbel. Seega kohaldub isikuandmete kaitse üldmäärus. Kui kaamera vaatevälja jääb ainult inimese enda omandis olev ala, on jätkuvalt tegemist isiklikul otstarbel andmete töötlemisega ja isikuandmete kaitse reeglid ei kohaldu.
 
 
Kas kortermaja trepikotta võib paigaldada turvakaamera?

Kaamera paigaldamisel kortermaja trepikotta tuleb lisaks andmekaitsele arvestada ka omandiõigusest tulenevate piirangutega. Trepikoda on kõigi korteriomanike kaasomandis. See tähendab, et kaamerate paigaldamise üle saavad otsustada korteriomanikud ühiselt. Otsus kaameraid kasutada või nende kasutamisest loobuda tuleks vastu võtta korteriühistu koosolekul ja sellega seotud kokkulepped kinnitada näiteks maja sisekorraeeskirjades. (vt KOS § 12)
 
Otsuse tegemisel peab hindama ohtude tõsidust ja realiseerumise tõenäosust ning analüüsima alternatiive turvariskide maandamiseks (nt turvauks, signalisatsioon, täiendav valgustus). Kui pärast hinnangu tegemist selgub, et kaamerate paigaldamine on siiski vajalik ja seejuures ei kahjustata ülemääraselt vaatevälja jäävate inimeste huve, on kaamerate kasutamine lubatud. Kaamera salvestisi ei või kasutada muul eesmärgil. Samuti peab trepikotta nähtavale kohale paigutama kaamerate kasutamisest teavitavad sildid koos kontaktandmetega. (IKS § 14 lg 3)
 
Põhjalikuma ülevaate turvakaamerate kasutamisega seotud nõuetest saab Andmekaitse Inspektsiooni kaamerate kasutamise juhendi peatükist 5 ning kaamerast teavitamise kohta saab rohkem infot juhendi peatükist 13.
Kas spordiüritusel võib teha fotosid ja avaldada neid internetis koos nimega?
 
Jah tohib küll ja isikult nõusolekut võtta ei ole vaja, kui jäädvustamine toimub avalikus kohas ning pildistamist ja filmimimist võib eeldada. Toimuva jäädvustamise puhul asendab inimese nõusolekut tema teavitamine sellises vormis, mis võimaldab tal heli- või pildimaterjali jäädvustamise faktist aru saada. Inimesele tuleb jätta võimalus soovi korral jäädvustamist vältida.
Avalike ürituste puhul, nagu näiteks rahvaspordiüritused, kus avalikustamise eesmärgil jäädvustamist võib mõistlikult eeldada, teavitamiskohustus ei kehti.
 
Siiski jääb inimesele alatiseks õigus nõuda andmete avaldamise lõpetamist, kui seadus ei sätesta teisiti ja see on tehniliselt võimalik ega too kaasa ebaproportsionaalselt suuri kulutusi.
Näiteks inimese nõudmisel on spordiürituse korraldajal kohustus ürituse veebileheküljelt inimese pilt ja nimi eemaldada, kuid paberajalehe tiraaži kokkukorjamise nõudmine oleks liigne.
Kas korteriühistu koosolekut tohib salvestada ja teistele jagada?

Ühistu koosolekut mõistetakse kui piiratud osalejate ringiga arutlusvormi. Üldiseks põhimõtteks on, et kui salvestada ainult isiklikuks otstarbeks, on salvestamine lubatud.

Heaks tavaks ja erinevate probleemide ennetamiseks on mõistlik oma salvestav seade panna koosoleku ruumis nähtavasse kohta, et ka teised teavad salvestamise faktist.

Kui aga kehtib kokkulepe, et salvestada ei tohi, kehtib see ka Sinu mistahes seadmetele.

Ilma teavitamata salvestamisel tuleb arvestada, et koosoleku sisu reprodutseerimist iseenda tarbeks ei saa kindlasti ükski seadus küll keelata, kuid salvestise jõudmisel kolmandate isikuteni võib kaasa tulla probleeme, sest enam ei ole tegemist isiklikuks otstarbeks salvestamisega ja kõik olukorrad, kuhu on kaasatud teised inimesed, ei ole enamasti enam sinu kontrolli all.
See tähendab, et kuna sa ei tea, milline võib olla ühe (digi)salvestise edasine võimalik teekond või kuidas kasutatakse salvestises olevaid isikuandmeid, on salvestise jagamises ainult juba vaid ühele teisele inimesele sees suur oht rikkuda kellegi õigusi või põhjustada talle kahju.

Kogu eelnev jutt kehtib Sinu individuaalseade jaoks. Kui salvestamine toimub ühistu enda otsuse alusel, toimub see reeglina järelkuulamise võimaluse andmiseks ning sel juhul peavad salvestamise ja jagamise reeglid olema kokku lepitud ühistu üldkoosoleku otsusega.

Isikuandmed ja inimese õigused

Kas automärk kuulub isikuandmete hulka?

Auto numbrimärk kuulub isikuandmete hulka juhul, kui auto omanik ja number on kokkuviidav.  Eestis ei ole autoomanike register avalik, mis tähendab, et pelgalt numbrimärki ilma tema omanikust teadmata ei saa lugeda isikuandmete hulka kuuluvaks infoks, küll aga omaniku ja numbrimärgi kokkuviimisel olukord muutub.
Kas juriidiline isiku või tema esindaja isikuandmed on kaitse all?
Juriidilisel isikul eraelu ei ole ja andmed, milleks on ka juriidilise isiku esindaja andmed (nt nimi, tööalane e-posti aadress), määruse kaitsealasse ei kuulu, sest tegemist pole eraeluliste, vaid majandustegevusega seonduvate andmetega. Seda olukorras, kus on kehtiv esindusõigus (nt lepingu või volituse alusel). Esindusõiguse lõppemisel ei saa aga isik ettevõtet esindada, mistõttu puudub alus tema kui ettevõtte esindaja või kontaktisiku andmete töötlemiseks. Sellisel juhul kohaldub ka isikuandmete kaitse üldmäärus.
Kas isikuandmete kaitse üldmäärus annab võimaluse automatiseeritud otsustesse sekkuda?
Mõned andmetöötlejad kasutavad õigusliku aluse olemasolul inimese kohta otsuste tegemisel isikuandmetel põhinevaid algoritme, mis profileerivad inimest. Näiteks saavad nii toimida krediidiasutused ja maksuamet, kus andmekogudes oleva info põhjal saab kokku panna isiku profiili, mille põhjal tehakse automaatotsus.
 
Kuna inimese jaoks võib automaatotsus kaasa tuua õiguslikke tagajärgi või avaldada muud ebasoovitavat mõju, peab iga inimene saama õiguse oma isikuandmeid parandada, kui selgub, et automaatotsus on tehtud ebaõigete, mittetäielike või ebatäpsete andmete põhjal.
 
Näiteks antakse inimesele võimalus ära hoida õigusliku tagajärjena lepingu tühistamist, võimalikest toetusest või hüvitusest ilma jäämist. Ebasoovitava mõjuna on võimalik vältida mittesattumist ebasoodsasse olukorda töö saamisel või mittepääsemisel näiteks hariduse - või  terviseteenusteni.
 
Automatiseeritud töötlusega tegelevatel andmetöötlejatel on vaja üksikotsuste tegemisel lähtuda viiest nõudest, mis kehtivad sõltumata sellest, kas automaatotsus põhineb isiku profiilianalüüsil või mitte.
 
  1. Inimest tuleb eelnevalt teavitada, et tema suhtes kasutatakse automaatset otsust.
  2. Inimesele tuleb anda eelnevalt sisulist teavet automaatselt tehtava otsuse loogika kohta.
  3. Inimesele tuleb eelnevalt selgitada, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed inimese jaoks.
  4. Inimene peab saama õiguse lasta automatiseeritult tehtud otsus üle vaadata.
  5. Inimene peab saama automatiseeritud otsust vaidlustada.
Kui näiteks krediidiasutus annab inimesele võimaluse sisestada taotlusvormi oma andmed, mille põhjal sünnib automaatotsus, tuleb ettevõttel esmalt teatavaks teha, et otsus on automaatotsus. Lisaks tuleb taotlejat teavitada, et otsust saab vaidlustada ja nõuda inimese sekkumist menetlusse. Andmetöötlejal tuleb tagada, et taotleja peab teadma oma õigusest isikuandmeid parandada, kui selgub, et automaatotsus on tehtud ebaõige, mittetäielike või ebatäpsete andmete põhjal.
 
Nõuded automaatotsuseid tegevale andmetöötlejatele tulevad isikuandmete kaitse üldmääruse artikkel 13 (2) punktist f, artikkel 14 (2) punktist g ning artikkel 22 (3).
Millistel tingimustel on automatiseeritud otsuste tegemine minu andmetega lubatud?
Automatiseeritud otsustamist koos profiilianalüüsiga kasutatakse sageli panganduses ja maksunduses, aga ka tervishoius ja teistes sektorites. Kuigi see võib olla tõhusam, võib see olla samuti vähem läbipaistev ning võib piirata inimese õigusi või valikuid.
 
Automaatotsuse tegemine on lubatud ainult:  
 
a) lepingu sõlmimiseks või täitmiseks üksikisikuga;
 
b) kui õigus tuleneb konkreetsest õigusaktist, milles on sätestatud ka asjakohased kaitsemeetmed üksikisiku õiguste ja vabaduste ning õigustatud huvide kaitsmiseks;
 
c) üksikisik on andnud selgesõnalise nõusoleku automaattöötlusel põhineva otsuse tegemiseks.
 
Arvestada tuleb ka isikuandmete kaitse üldmäärusest tulevate isikuandmete töötlemise põhimõtetega, mis tulevad artikkel 5 punktist 1.
 
1. Seaduslikkus, õiglus ja läbipaistvus.
 
2. Edasine töötlemine ja eesmärgi piirang.
 
3. Võimalikult väheste andmete kogumine.
 
4. Isikuandmete õigsus.
 
5. Säilitamise piirang.
 
6. Usaldusväärsus ja konfidentsiaalsus.
 
Lisaks tuleb automaatotsuste tegemisest teada anda andmekaitsetingimustes.
 
Kokkuvõttes on profiilianalüüsiga automaatotsus lubatud, kui selleks on olemas õiguslik alus ning igasuguste ebasoovitavate mõjude eest kaitsmiseks on kasutusele võetud asjakohased meetmed.
 
Mis on automatiseeritud otsus ja profiilianalüüs?
 
Automatiseeritud otsustamisega on tegemist, kui inimese kohta tehakse otsus infotehniliste vahenditega ja ilma inimese sekkumiseta. 
 
Profiilianalüüsiga on tegemist, kui isikuga seotud asjaolusid hinnatakse tema kohta prognoosi tegemiseks, isegi kui mingit otsust ei tehta. Näiteks kui ettevõte või organisatsioon hindab mingeid inimese omadusi nagu vanust, sugu ja pikkust või liigitab teda mingisse kategooriasse.
 
 
Mida tähendab minu õigus andmete ülekandmiseks?
Õigus enda kohta käivate andmetega tutvuda on võimalik olnud enam kui paarkümmend aastat. Alates isikuandmete kaitse üldmääruse kehtima hakkamisest on lisandunud inimese jaoks uus õigus – andmete ülekandmine.
 
Andmeid saab küsida ettevõttelt teisele ettevõttele üle kandmiseks samas ulatuses, mida on võimalik enda kasutusse saada.
Küsimisel tuleb arvestada, et saadavad andmed on kogutud nõusoleku või lepingu alusel.
Andmete ülekandmise õigust saab kohaldada ainult elektrooniliselt töödeldavatele andmetele tingimusel, kui see on tehniliselt võimalik.
Ettevõtte jaoks tähendab toiming esmalt tehnilise valmisoleku loomist andmete ülekandmiseks. See ei ole sama, mis juurdepääsu tagamine küsija andmetele. Tehnilise valmisoleku loomine tähendab andmevormingute ja edastuskanalite ettevalmistamist või vastavusse viimist andmete ülekandmiseks. Info peab olema vastuvõtjani toimetatud talle arusaadavalt ja loetavalt.
 
Näiteks, kui inimene avab veebipoes oma konto, sisestab sinna nime, telefoni, arvelduskonto numbri, aadressi ja maksekaardi numbri ning kontole hakkab tekkima ostuajalugu, peab ettevõtja olema valmis veebikonto andmete ülekandmiseks. Juhul kui inimene soovib, peab ta saama kas enda kasutusse või teisele ettevõttele edastamiseks kõik isikuandmed ning seda struktureeritud ja masinloetaval kujul. Ettevõttel ei ole kohustust anda ärisaladust paljastavat teavet või muud olulist infot, mille ettevõtte ise on loonud uue eraldiseiva väärtusena (nt kui ettevõte on teostanud saadud andmete põhjal analüüse). Andmete ülekandmine ei ole absoluutne kohustus, sest seda saab nõuda vaid siis, kui  selleks on ettevõttel tehniline valmisolek. Juhul, kui tehniline valmisolek puudub, tuleb seda küsijale põhjendada.
 
Andmete ülekantavust reguleerib isikuandmete kaitse üldmäärus (art 20) ning see kohaldub kõigile isikuandmete töötlusega tegelevatele organisatsioonidele, v. a avaliku sektori asutused.
 

Kas mul on õigus saada oma surnud isa haiguslugu?

Igal inimesel on õigus küsida isikuandmete töötlejalt enda kohta käivaid andmeid.
Peale inimese surma on õigus saada inimese andmeid tema pärijal. Seega on lapsel õigus saada oma surnud isa kohta käivaid andmeid, sealhulgas terviseandmeid, kui ta on pärija. Küll aga tuleb surnud isiku isikuandmete küsijal tõendada, et ta tõepoolest on pärija.