Ettevõtja, tea: millistel tingimustel tohid töötaja isikuandmeid töödelda?

Kui isikuandmete kaitse üldmääruse (IKÜM) jõustumisel pingutasid ettevõtted täitmaks andmekaitsealaseid kohustusi oma klientide ees, siis ei tohi jätta tähelepanuta ka töötajaid. Isikuandmete töötlemiseks peab tööandja määrama töötlemise eesmärgi ning õigusliku aluse andmete töötlemiseks.

Kuna töösuhtes on töötaja üldjuhul nõrgem osapool, siis ei ole kohane kasutada töötlemise alusena töötaja nõusolekut. Nimelt määrab IKÜM, et nõusolek peab olema vabalt antud ning suhtes, kus üks osapool on sõltuv või tunduvalt nõrgem, ei saa lugeda nõusolekut vabatahtlikult antuks. Samuti ei ole töösuhtes nõusolek kergesti tagasivõetav.

Kuu aega tagasi trahvis Kreeka andmekaitseamet ettevõtet PWC Business Solutions 150 000 euroga, kuna ettevõte oli määranud töötajate isikuandmete töötlemise alusena nõusoleku. Amet leidis, et see alus ei ole sobiv ning andis töötajatele vale arusaama.

Lisaks leiti, et selline käitumine on vastuolus IKÜM-ist tuleneva läbipaistvuse põhimõttega ning rikutud oli ka töötajate informeerimiskohustust. Samuti ei suutnud ettevõte ametile tõendada, et nad oleksid varasemalt hinnanud sobiva õigusliku aluse määramist.

Töösuhetes on isikuandmete töötlemise peamiseks õiguslikuks aluseks lepingu või juriidilise kohustuse täitmine. Isikuandmeid, mis on vajalikud töölepingu täitmiseks, töödeldakse lepingu täitmise alusel, näiteks palgaandmed. Seadusest tuleb tööandjal kohustus edastada riigile töötaja isikuandmeid sotsiaal- ja ravikindlustuse jaoks, samuti peab töölepingu äseaduse kohaselt säilitama töölepinguid 10 aastat.

Tööandja võib isikuandmeid töödelda ka õigustatud huvi alusel, kui tööandjal on kaalukas huvi isikuandmeid koguda ning nende kogumine ei riku oluliselt isiku õigusi, näiteks turvakaamerate kasutamine töökohal.

Siinjuures tuleb silmas pidada, et isikuandmeid tuleb koguda minimaalselt ehk niipalju, kui seda on vaja töölepingu, seadusest tuleneva kohustuse või õigustatud huvi täitmiseks. Näiteks ei ole tööandjal põhjust koguda andmeid töötaja perekondliku seisundi või hobide kohta.

Töötaja nõusolek võib olla kohane olukordades, mis on korraldusliku iseloomuga, näiteks jõulupeo jaoks töötajate laste andmete töötlemine või ühismeedias töötajate fotode kasutamine.

Andmekaitse nõuete täitmiseks tuleb tööandjal koostada andmekaitse töötlemise tingimused, näiteks osana töökorralduse reeglitest ning töötajaid andmetöötlusest teavitada. Sellega võib ära hoida nii mõnedki vaidlused kui ka potentsiaalsed trahvid.

Ole kursis Hedmani uudiste ja üritustega

Hedman

Meie kuuluvused:
FinanceEstonia, Lexing®,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum