Sisukord
GDPR (General Data Protection Regulation) ehk isikuandmete kaitse üldmäärus näeb ette, et isiku, kelle andmeid töödeldakse, nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega ta kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.
Inimene saab üldjoontes anda nõusoleku enda isikuandmete töötlemiseks ainult juhul, kui tal on kontroll enda andmete üle ja tal on võimalik töötlemisest keelduda ilma negatiivsete tagajärgedeta. Töötleja vastutab selle eest, et nii nõusoleku küsimine, kui nõusoleku alusel andmete töötlemine on GDPR-iga kooskõlas.
Nõusoleku küsimine IT-lahendustes
Töötlemiseks antud nõusolek peab olema vabatahtlik, st. ilma kõrvaliste mõjutusteta. Euroopa Andmekaitsenõukogu juhendi kohaselt ei saa vabatahtlikuks nõusoleku andmiseks pidada olukorda, kus nõusolekuvorm on osa teenuse üldtingimustest ning nendega ei ole võimalik eraldi nõustuda. Inimene peab saama vabalt otsustada enda andmete töötlemise üle ja ei tohiks muuhulgas kannatada negatiivseid tagajärgi nõusoleku mitteandmisel.
Vabatahtliku nõusolekuga ei ole tegemist ka siis, kui teenuse kasutamine või selle funktsionaalsus sõltub andmete töötlemiseks nõusoleku andmisest. Näiteks, kui veebilehe sisule ei ole võimalik ligi pääseda ilma nuppu “Nõustu küpsistega” vajutamata ehk nn küpsise seina (inglise keeles cookie wall) korral.
Näiteks ei saa mobiilirakenduse tegijad küsida enda kasutajatelt kohustuslikus korras nõusolekut asukohaandmete kogumiseks eesmärgil kasutajatele turundust teha. Asukohaandmed ei ole sellisel juhul vajalikud teenuse osutamiseks.
Nõusoleku andmine peab olema teadlik ja aktiivne tegevus kasutaja poolt. Näiteks võib inimeselt küsida kirjalikku või salvestatud selget nõusolekut, kuigi see ei pruugi alati realistlik olla, eriti tehnoloogiliste lahenduste puhul. On välja toodud, et linnukese klõpsamine on piisavalt eristuv ja aktiivne tegevus, et siinkohal pädev olla.
Ka füüsilist liigutust, nagu üle ekraani libistamist, kaamera ees lehvitamist, nutitelefoni keeramist või kaheksa kujundis liigutamist, võib pidada nõusoleku andmiseks, kui kasutaja saab selgelt aru, et sellise liigutusega antakse nõusolek andmetöötluseks.
Seevastu on oluline rõhutada, et nõusolek ei saa olla sama tegevus, mis üldtingimustega nõustumine, vaid need kaks nõusolekut peavad olema eristatavad. Niisamuti ei saa selgeks nõusolekuks lugeda privaatsustingimuste lehekülje lõppu kerimist või muud sarnast tegevust.
Kuidas kasutajat teavitada?
Selleks tuleb nõusoleku küsimisel kasutajale teatavaks teha, kes tema andmetele ligi pääseb, iga andmetöötlusprotsess ja selle eesmärk, milliseid andmeid kogutakse ja kasutatakse, nõusoleku tagasivõtmise viis ning automatiseeritud töötluse, sh profileerimise kasutamine.
Nõusolekuvorm peaks olema võimalikult konkreetne ja lihtsasti arusaadav. Pikkade dokumentide esitamine või kantseliitlik keelekasutus muudab teksti kasutajatele raskemini ligipääsetavaks ja ei pruugi seetõttu olla GDPR-i nõuetele vastav.
Andmetöötluse eesmärk peab olema konkreetne ja selgesõnaline. Nõusoleku küsija peab vältima olukorda, kus eesmärk on sõnastatud umbmääraselt nii, et andmete töötlemine muutub pikkamööda laiemaks kui see, milleks nõusolek algselt anti.
Isikul peab nõusoleku andmise hetkel olema hea arusaam sellest, milleks ja kuidas täpselt tema andmeid kasutatakse. Näiteks juhul, kui inimene annab nõusoleku meediateenuse pakkujale endale soovitada vaatamisharjumuste põhjal uusi saateid, ei ole teenusepakkujal lubatud kasutada samu andmeid muu turunduse tegemiseks.
Eriliiki andmete nõusolek
Lisatingimused on kehtestatud tundlikumatele isikuandmetele, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta. Nende andmete töötlemiseks peab olema töötlejal kasutaja selgesõnaline nõusolek.
Eelkõige peetakse siinkohal silmas kirjalikku ja soovituslikult allkirjastatud nõusolekut, et töötlejal oleks võimalikult lihtne kindlaks teha ja hiljem tõendada isiku nõusolekut. Siiski on ka siin võimalik lahendada nõusoleku andmine linnukese tegemisega kasti, mis väljendab selgesõnalist nõusolekut, mitte lihtsalt andmete töötlemisega kursis olemist.
Nõusoleku andmiseks võib kasutada ka teisi võimalusi, mis on eriti asjakohased tehnoloogiliste lahenduste puhul, näiteks digiallkirjastamine, Smart-ID, dokumendi skännimine vms.
Igal juhul on andmetöötleja kohustus kindlaks teha, et andmeid kasutatakse vaid selles ulatuseks, milleks on nõusolek antud ja ka sellisel juhul tuleb kindlaks teha, et muid GDPR-i nõudmisi järgitakse. Ka nõusoleku olemasolu tõendamine on andmetöötleja kohustus terve andmete kasutamise ja töötlemise aja vältel.
Võimalus igal hetkel loobuda
Andmetöötleja peab ka kindlaks tegema, et inimesed saaksid nõusoleku igal ajal tagasi võtta ja vähemalt sama lihtsalt, kui nõusoleku andmisel. See ei tähenda ilmtingimata, et nõusoleku tagasivõtmise kinnitustegevus peab olema täpselt sama, mis nõusoleku andmisel, kuid ta ei tohi olla keerulisem.
Näiteks, kui kasutaja on veebilehel linnukest klikkides andnud teenusepakkujale nõusoleku otseturunduse tegemiseks, ei saa nõuda, et nõusoleku tagasivõtmiseks peaks kasutaja helistama teenusepakkuja kontorisse tööpäeva jooksul.
Selline protsess oleks ebamõistlikult koormav võrreldes sellega, kuidas nõusolek esialgu anti. Siinkohal on näiteks küsitav, kas samas olukorras saaks pidada ebamõistlikult koormavaks praegu levinud praktikat, kus isik peab saatma eraldi e-kirja teenusepakkuja esindajale.
Andmetöötleja kohustuseks on ka kindlaks teha, et inimene oleks enda tagasivõtmise õigusest ja selle protseduurist teadlik.
Inimene peab saama vabalt otsustada
Seega on inimeselt nõusoleku küsimisel oluline kindlaks teha, et andmete töötlemise tingimused, eesmärgid ja nõusoleku tagasivõtmine on selgelt väljendatud ning arusaadavad. Nõusoleku andmisel peab isik olema kontrollipositsioonil ja vaba otsustama ilma väliste mõjutusteta enda andmete kasutamise üle.
Andmetöötleja kohustus on kindlaks teha, et nõusoleku andmine ei ole mitte ainult formaalsus, vaid nõusolek on sisult kooskõlas GDPR-i nõuetega, seejuures ka tõendatav ja eristatav muust kasutaja tegevusest. Samuti peab andmetöötlus vastama sellele, milleks inimene nõusoleku andis.
