Sa oled siin

Liiklusvahendite lühiajalise renditeenuse osutajate seire

22.09.2023

Andmekaitse Inspektsioon algatas juulis 2022 liiklusvahendite renditeenuste osutajate seire, mille eesmärgiks oli kaardistada renditeenuste osutajate poolt isikuandmete töötlemisega kaasnevad kitsaskohad ning vajadusel koostada konkreetsed soovitused teenuse pakkujatele. Täpsemalt oli plaanis teha kindlaks, mil määral järgivad renditeenuste osutajad teenuse pakkumisel füüsilistele isikutele isikuandmete kaitse üldmäärusest (IKÜM) tulenevaid nõudeid, mis kehtivad neile kui andmete vastutavale töötlejale. Seire raames vaatles Andmekaitse Inspektsioon Eestis asuvat kolme liiklusvahendite renditeenust osutavat ettevõtet. Seire viidi läbi küsimustiku vormis ning järgnevalt anname hinnangu seire tulemustele.

Suurimaks probleemiks liiklusvahendite renditeenuste osutajate puhul isikuandmete töötlemisel oli õiguslike aluste ebaõige valik või suutmatus tehtud valikut inspektsioonile piisavalt selgelt põhjendada. Inspektsioon tuvastas, et isikuandmete töötlemise õigusliku alusena toodi sageli välja lepingu täitmine või lepingu sõlmimisele eelnevate meetmete võtmise vajalikkus (IKÜM - artikkel 6 lg 1 punkt b), kuigi andmete töötlemine ei olnud alati vajalik lepingu täitmiseks.
Andmete töötlemise õiguslike aluste määramisel valitses kohati ebakindlus - isikuandmete töötlemise registris märgitud töötlemise alused erinesid mõnel juhul inspektsioonile vastustes esitatud õiguslikest alustest. Ebaõigete õiguslike aluste määramise tulemusena ei olnud andmetöötlejatel läbi viidud ka nõuetekohaseid õigustatud huvi analüüse töötlemisprotsesside kohta, mis pidanuks toimuma õigustatud huvi alusel (IKÜM artikkel 6 lg 1 punkt f) ning mis pidanuks olema vajadusel kättesaadavad andmesubjektile, kes nendega tutvuda soovib. 

Samuti tuvastas inspektsioon, et ühe andmetöötleja koostatud andmekaitsetingimused ei vastanud läbipaistvuse põhimõttele, mis eeldab, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Näiteks märkis andmetöötleja andmekaitsetingimustes, et täiendava teabe saamiseks tuleb vaadata eraldi dokumenti, kuid ei olnud teinud seda dokumenti kättesaadavaks andmesubjektidele. Lisaks oli dokumendis avaldatud teave kohati ebaselge, sisaldas spetsiifilisi termineid ega olnud seega esitatud selgel ja lihtsal viisil.

Andmete säilitamise tähtajad olid mõnel juhul määratud liiga umbmääraselt (nt andmeid säilitatakse nii kaua, kuni see on kohustuslik või lubatud õigusaktide kohaselt või vajalik andmekaitsetingimustes märgitud eesmärkide saavutamiseks), mille tulemusena ei olnud võimalik selgelt aru saada, kui kaua ning mis põhjusel konkreetset liiki andmeid säilitatakse. 

Isikuandmete kustutamise osas oli praktika erinev: kaks andmetöötlejat kustutavad isikuandmed peale määratud säilitustähtaja lõppu, kuid kolmanda andmetöötleja selgituste kohaselt muudetakse isikuandmed pärast säilitamistähtaja möödumist loetamatuks, mis oma olemuselt on andmete pseudonümiseerimine ning ei muuda kliendikirjes olevaid isikuandmeid pöördumatult anonümiseerituks. 

Andmekaitse Inspektsioon jätkab andmetöötlejate suhtes eraldiseisvaid järelevalvemenetlusi ning teeb omapoolsed ettepanekud selleks, et viia isikuandmete töötlemine kooskõlla isikuandmete kaitse üldmäärusest tulenevate nõuetega.