Avaleht / Uudised

Isikuandmed töösuhetes. Mida peab teadma uuest isikuandmete kaitse üldmäärusest?

25.05.2018


Selle aasta 25. maist hakkab kehtima Euroopa Liidu isikuandmete kaitse üldmäärus. Uus määrus on otsekohalduv, mis tähendab, et koos riigisiseste rakendusaktidega hakkab see asendama ka senist Eesti isikuandmete kaitse seadust. Ehkki muutuvast andmekaitseõigusest on meedias üsna palju räägitud, on seni peamiselt fookuses olnud kliendiandmetega seonduv. Küsimused, mis puudutavad isikuandmetega ringi käimist töösuhetes, on aga jäänud suurema tähelepanuta. Milliseid muudatusi uus andmekaitseraamistik endaga kaasa toob ning mida peaks määruse valguses silmas pidama töösuhete kontekstis?

Töösuhted on Euroopa Liidus riigiti erinevalt reguleeritud ja nüansse, mis näiteks tööelu korraldust puudutavates seadustes ja määrustes erinevad, on palju. Kuna tööõigus ja sellega seotud harjumuspärased tavad riigiti erinevad, on ka isikuandmete kaitse üldmääruses jäetud liikmesriikidele võimalus töösuhete kontekstis andmete töötlemise osas täpsemad reeglid kehtestada.

Eelkõige on igal liikmesriigil õigus kehtestada täpsemad eeskirjad seoses töötajate värbamisega, töölepingu täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega, tööandja või kliendi vara kaitsega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ning töösuhte lõppemisega.

Need riigisiseselt kehtestatud reeglid peavad sisaldama sobivaid meetmeid, et kaitsta töötaja inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses andmetöötluse läbipaistvusega, isikuandmete edastamisega kontsernisiseselt ning järelevalvesüsteemidega töökohal. On ju töötaja ja tööandja reeglina ebavõrdses olukorras ja riigi kohustus on kehtestada reeglid, mis töötaja kui töösuhte nõrgema poole õiguseid kaitseks.

Suurem osa töösuhteid puudutavatest muudatustest on seega jäetud iga riigi seadusandja otsustada ja erisused peaksid selguma eelkõige määruse riigisisesest rakendusaktist koosmõjus teiste seaduste muutmiseks vajaliku eriseaduste paketiga. Uut isikuandmete kaitset valmistatakse parasjagu justiitsministeeriumis ette. Sama seis on ka eriseaduste muutmisega.

Andmekaitse Inspektsioon on eelnõud ettevalmistavale justiitsministeeriumile teinud mitu ettepanekut. Näiteks oleme soovitanud ühe olulise teemana selgemalt ära reguleerida jälgimisseadmete kasutamise. Siia alla kuuluvad töökorralduslikud kaamerad, turvakaamerad, GPS-seadmed, aga ka näiteks arvutiprogrammid töötajate tegevuse kontrollimiseks. Kuna tehnoloogilised võimalused arenevad kiiresti, peab seadus sellele arengule järele jõudma.

Samuti oleme soovitanud senist regulatsiooni täiendada tööandja õiguste osas töödelda töötaja delikaatseid ehk eriliiki isikuandmeid. Senine regulatsioon koosneb lisaks isikuandmete kaitse seaduse üldpõhimõtetele kahest töölepingu seaduse normist. Esiteks ei või töölesoovijalt küsida infot, mille suhtes tööandjal puudub õigustatud huvi (TLS § 11), teiseks peab tööandja austama töötaja eraelu ega tohi töökohustuste täitmist kontrollida viisil, mis riivab töötaja põhiõigusi (TLS § 28 lg 2 p 11). Need kaks sätet on aga võrdlemisi üldsõnalised ja vajavad üldmääruse kontekstis kindlasti täiendamist. Seetõttu oleme soovitanud töölepingu seadust eriliiki andmete töötlemise osas täpsustada.

Siia kuuluvad mitu küsimust alates sellest, kas ja kuidas on tööandjal õigus kontrollida töötajate joobeseisundit või kuidas võib tööandja kontrollida töökohustuste täitmist kuni selleni, kas ja milliseid tervisetõendeid on tööandjal õigus eri olukordades töötajalt endalt või ka arstilt-Haigekassalt küsida.

Tegu on problemaatiliste, ent paraku iga päev meie tööelu juurde kuuluvate küsimustega, mis on seni olnud ebaselged ja põhjustanud töösuhetes palju vaidlusi. Loodetavasti võtab ministeerium inspektsiooni soovitusi arvesse.

Millest juhinduda?

Nagu eelnevast järeldub, on määruse rakendamisega seoses veel paljud küsimused lahtised. Seda eriti töösuhete valdkonnas. Samas on 25. mai on kohe-kohe ukse ees ja ettevõtted peavad üleminekuks valmis olema. Millest tööandjad oma töökorralduslike küsimusi ja personalipoliitikat planeerides siis juhinduda saavad?

Esmalt tasub rõhutada, et andmekaitse aluspõhimõtted on siiski suures osas jäänud samaks. Ehkki täpsustusi võib veel tulla, ei tasu karta liiga kardinaalseid muudatusi. Teemaga kursis olemiseks tasub tutvuda Euroopa andmekaitseasutuste töögrupi arvamusega, Andmekaitse Inspektsiooni juhenditega ning värske infoga inspektsiooni kodulehel.

Töögrupi arvamus

Euroopa andmekaitseasutuste töögrupp võttis möödunud aasta suvel vastu arvamuse andmete töötlemise kohta töökohal. Selles dokumendis on põhjalikult käsitletud isikuandmete töötlemist just töösuhete kontekstis. Paralleelselt on välja toodud nii seni kehtinud andmekaitsedirektiivist (95/46/EÜ) tulenevad kohustused kui ka uuest isikuandmete kaitse üldmäärusest tulenev. Arvamus on tõlgitud ka eesti keelde, seega on seda mugav lugeda ka neil, kelle töökeeleks ongi peamiselt eesti keel ja kes võõrkeelsete tekstidega vähem kokku puutuvad. Materjal on kättesaadav nii Andmekaitse Inspektsiooni kui ka töögrupi kodulehel. Lihtsasti leiab selle ka pealkirja järgi otsides („Arvamus nr 2/2017 andmete töötlemise kohta töökohal“).

Millest juhinduda?

Andmekaitse Inspektsioon on välja andnud kaks juhendit isikuandmete töötlemise kohta töösuhetes. Üks neist on põhjalikum ja detailideni minev abistav juhendmaterjal, millest saavad juhinduda mõlemad töösuhte pooled, teine aga lühike spikker personalijuhile. Juhendid on esialgu veel määruse valguses värskendamata – riigisisesest rakenduspaketist võib veel tulla mõningaid nüansse, mida juhendite uuendamisel arvesse võtta. Kuna aga üldised põhimõtted on töösuhte kontekstis andmete töötlemisel jäänud samaks, saab neis toodud juhtnööre eeskujuks võtta ka seni. Mõlemad juhendid on kättesaadavad inspektsiooni kodulehelt www.aki.ee. Niipea kui juhend uuendatud, leiab sealt ka värske versiooni.

Värske info veebis

Andmekaitse Inspektsiooni kodulehel on eraldi rubriik reformiga seonduvate materjalide kajastamiseks. Sealt leiab värske info määruse tõlgendamise ja kujundatud seisukohtade osas. Samuti avaldame kodulehel vastuseid sagedasematele küsimustele, mis inimestel igapäevases tööelus andmekaitse kohta tekkida võivad.

Autor: Maire Iro, Andmekaitse Inspektsiooni avalike suhete nõunik

Andmekaitse alustalad on kindlalt paigas!

Ehkki uue määruse tulekut nimetatakse lausa reformiks, ei tule senistesse andmekaitse põhimõtetesse suuri muudatusi.

Isikuandmete kaitse üldmääruse ootuses on meediaväljaanded täis pealkirju uutest paindumatutest reeglitest ning hiiglaslikest trahvidest, mis kohe-kohe, 25. mai saabudes ukse ees ootavad. Tahan aga kõiki tööandjaid rahustada – ehkki ajaleheveergudelt võib jääda mulje, nagu oleks tegu kardinaalsete senist andmekaitseõigust põhjalikult ümberkujundavate muudatustega, siis tegelikult see kindlasti nii ei ole. Senise andmekaitseõiguse alustalad on kindlalt paigas ja kõik olulised seni kehtinud põhimõtted jäävad kehtima ka edaspidi.

Kindlasti ei pea liigselt muretsema tööandja, kel olid juba varem kõik andmetöötlusprotsessid põhjalikult läbi mõeldud ning kes seni oma töötajate privaatsust austas ja andmekaitse reegleid järgis. Rohkem peavalu on aga neil, kel ka praeguste reeglite järgi asjad korrast ära on. Teatud ettevalmistusi tuleb aga siiski teha kõigil.

Riskipõhine lähenemine

Uue määruse läbivaks jooneks on riskipõhine lähenemine. See tähendab, et mida tundlikum andmetöötlus, seda rangemad reeglid. Näiteks tööandjad, kes teavad, et neil on pidev kaameravalve, kelle töötajate liikumisi jälgitakse või kelle juures arvutite ja internetikasutust mingil põhjusel monitooritakse, need tööandjad peavad kindlasti oma töökorralduse ja andmetöötlusprotsessid läbi mõtlema. Samuti on juba pisut keerulisem neil, kelle puhul me räägime rahvusvahelisest keerulise struktuuriga ettevõttest, kus andmeid on vaja liigutada ühest riigist teise. Neil juhtudel tuleb igal tööandjal hinnata, kas kõik tema tegevused on põhjendatud ja andmekaitsepõhimõtetega kooskõlas.

Läbipaistvus

Teiseks oluliseks põhimõtteks isikuandmete kaitse üldmääruses on andmetöötluse läbipaistvus. Läbipaistvuse põhimõte eeldab seda, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Ehk teisiti öeldes peab töötaja aru saama, milliseid andmeid tööandja tema kohta kogub ja miks. Mida paremini on tööandja seda kõike oma töötajatele selgitanud, seda kindlamini saab ta vältida arusaamatusi ja võimalikke tülisid.


5 soovitust tööandjale andmekaitse üldmääruseks valmistumisel

  1. Esmalt – ära mine paanikasse! Andmekaitse aluspõhimõtted jäävad ikka samaks. Ehkki muudatusi tuleb, ei tasu neid liigselt karta.
  2. Selgita välja, milliseid töötajate isikuandmeid ja millistel eesmärkidel sa oma tööprotsesside käigus töötled.
  3. Veendu, et töötajad on teadlikud, milliseid andmeid ja mille jaoks sa nende kohta kogud.
  4. Kui midagi tundub korrast ära olevat, siis tõenäoliselt ta seda ka on. Küsi nõu Andmekaitse Inspektsioonist või keerulisematel juhtudel õigusnõustajalt ning vajadusel muuda senist praktikat.
  5. Hoie ennast kursis riigisiseselt kehtestatavate muudatustega. Värsket infot saad näiteks Andmekaitse Inspektsiooni kodulehelt.

Trahvid

Andmekaitseõiguse uuenemine on tekitanud ärevust eelkõige just trahvidega seoses. Ilmselt enim kajastatud muutus on trahvi uus ülempiir – kuni 20 miljonit eurot või kuni 4% ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Meilt on väga palju küsitud, milline hakkab olema inspektsiooni karistuspoliitika siis, kui määrust juba kohaldatakse. Kas tööandjatel tasuks muretseda?

Ühelt poolt on kindlasti hea, et üldmäärus annab andmekaitseasutustele tõhusad hoovad õigusrikkumistesse sekkuda. Kui mõni tööandja tõepoolest tahtlikult ja teadlikult, olgu siis omakasu saamise eesmärgil, usaldamatusest, pahatahtlikkusest või ka pelgast uudishimust, oma töötajate privaatsust rikub, siis tasub tal valmis olla ka inspektsiooni ettekirjutuseks. Suuremate rikkumiste puhul on oodata ka trahvi.

Teiselt poolt ei ole aga uue andmekaitseõiguse eesmärk trahvide esikohale seadmine. Üldmääruse põhiline mõte on siiski anda inimestele suurem kontroll oma andmete üle ning juurutada ettevõtetes-asutustes riskipõhist lähenemist.

Eesti haldustavad on praeguseks päris põhjaeuroopalikud. Meie järelevalveasutused ei ole karistusorganid, kelle eesmärk on igale avastatud õiguserikkumisele raske trahviga lajatada ning riigikassasse raha teenida. See käib ka Andmekaitse Inspektsiooni kohta. Praegu võime määrata väärteokaristusena kuni 32 000 ning sunnirahana kuni 9600 eurot. Inspektsiooni kogu 18-aastase tegutsemisaja vältel ei ole me määranud mitte ühtki ülempiirini ulatuvat trahvi või sunniraha.

Inspektsioon ei ole oma töös keskendunud üksikrikkumiste avastamisele ja karistamisele, vaid terveid sektoreid katvale ennetavale ja nõustavale järelevalvele ning selgitustööle. Nii saame kõige tõhusamalt mõjutada infoturvet ja inimeste õiguste kaitset ettevõttetes ja asutustes. Teisisõnu – tegeleme eeskätt metsaga, mitte puudega.

Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku ja/või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse ilma trahvi määramata. Vaid väga harva – aastas keskmiselt vähem kui ühe käe sõrmi – on meie ettekirjutus jäetud täitamata ning oleme pidanud määrama sunniraha. Erinevalt trahvist võib sunniraha määrata korduvalt – kuni ettekirjutuse täitmiseni.

On tõsi, et ajalehepealkirjades ja koolitusreklaamides on hiigeltrahvidele rõhumine väga levinud. Uue andmekaitseõiguse eesmärk ei ole aga siiski senise karistuspoliitika muutmine ja trahvide esikohale seadmine.

Autor: Viljar Peep, Andmekaitse Inspektsiooni peadirektor 


Andmekaitseküsimused on muutunud aktuaalseks

Uue isikuandmete kaitse üldmäärusega on nii töötajate kui ka tööandjate teadlikkus andmekaitsevaldkonna probleemidest suurenenud. Järjest enam võtavad mõlema poole esindajad ühendust ka Andmekaitse Inspektsiooniga, et üht või teist nüanssi täpsustada või küsimuste korral selgust saada. Harvad ei ole paraku ka need olukorrad, kus osapooled üksmeelt ei saavuta ning inspektsioonil tuleb sekkuda ja alustada järelevalvet. Millised mured need peamiselt on?

Paljude küsimuste korral, millega inspektsiooni poole pöördutakse, peame tõdema, et tegu ei ole mingi uue reegli või põhimõttega, vaid inimesed on alles nüüd hakanud andmekaitseküsimusi laiemalt teadvustama.

Peamised andmekaitsemured, mis töösuhetes esile on kerkinud on seotud töötajate pideva jälgimisega. Õnneks saame tõdeda, et järjest enam küsivad nõu ka tööandjad, enne kui nad kaameraid paigaldama asuvad. Sellises olukorras saame soovitada kuhu ja millistel tingimustel on lubatud kaamera paigaldada ja millistel juhtudel seda teha ei tohi.

Töötajate arvutikasutuse ja meililiikluse jälgimise kohta on samuti sageli küsimusi. Kui tööandja seadmete ning töötajale eraldatud e-posti kasutamisega seotud reeglid eelnevalt paika on pandud ja nende vajalikkust ning põhimõtteid töötajatele läbipaistvalt selgitatud on, siis üldjuhul nende osas hiljem töötajatega arusaamatusi ei teki.

Autor: Maire Iro, Andmekaitse Inspektsioon

Artiklid ilmusid Tööinspektsiooni ajakirja Tööelu 2018. aasta esimseses numbris

Foto: pixabay

Tagasi
Isikuandmed töösuhetes. Mida peab teadma uuest isikuandmete kaitse üldmäärusest?
Võta ühendust

Teksti suurus

Reavahe suurus

Kontrastsus

Ligipääsetavusest

Tooelu.ee loomisel on peetud silmas, et siin avaldatav info oleks kättesaadav ja kasutatav võimalikult paljudele inimestele.

Loe lisaks