Isikuandmed töösuhetes. Mida peab teadma uuest isikuandmete kaitse üldmäärusest?
25.05.2018
Selle aasta 25. maist hakkab kehtima Euroopa Liidu isikuandmete kaitse üldmäärus. Uus määrus on otsekohalduv, mis tähendab, et koos riigisiseste rakendusaktidega hakkab see asendama ka senist Eesti isikuandmete kaitse seadust. Ehkki muutuvast andmekaitseõigusest on meedias üsna palju räägitud, on seni peamiselt fookuses olnud kliendiandmetega seonduv. Küsimused, mis puudutavad isikuandmetega ringi käimist töösuhetes, on aga jäänud suurema tähelepanuta. Milliseid muudatusi uus andmekaitseraamistik endaga kaasa toob ning mida peaks määruse valguses silmas pidama töösuhete kontekstis?
Töösuhted on Euroopa Liidus riigiti erinevalt reguleeritud ja nüansse, mis näiteks tööelu korraldust puudutavates seadustes ja määrustes erinevad, on palju. Kuna tööõigus ja sellega seotud harjumuspärased tavad riigiti erinevad, on ka isikuandmete kaitse üldmääruses jäetud liikmesriikidele võimalus töösuhete kontekstis andmete töötlemise osas täpsemad reeglid kehtestada.
Eelkõige on igal liikmesriigil õigus kehtestada täpsemad eeskirjad seoses töötajate värbamisega, töölepingu täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega, tööandja või kliendi vara kaitsega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ning töösuhte lõppemisega.
Need riigisiseselt kehtestatud reeglid peavad sisaldama sobivaid meetmeid, et kaitsta töötaja inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses andmetöötluse läbipaistvusega, isikuandmete edastamisega kontsernisiseselt ning järelevalvesüsteemidega töökohal. On ju töötaja ja tööandja reeglina ebavõrdses olukorras ja riigi kohustus on kehtestada reeglid, mis töötaja kui töösuhte nõrgema poole õiguseid kaitseks.
Suurem osa töösuhteid puudutavatest muudatustest on seega jäetud iga riigi seadusandja otsustada ja erisused peaksid selguma eelkõige määruse riigisisesest rakendusaktist koosmõjus teiste seaduste muutmiseks vajaliku eriseaduste paketiga. Uut isikuandmete kaitset valmistatakse parasjagu justiitsministeeriumis ette. Sama seis on ka eriseaduste muutmisega.
Andmekaitse Inspektsioon on eelnõud ettevalmistavale justiitsministeeriumile teinud mitu ettepanekut. Näiteks oleme soovitanud ühe olulise teemana selgemalt ära reguleerida jälgimisseadmete kasutamise. Siia alla kuuluvad töökorralduslikud kaamerad, turvakaamerad, GPS-seadmed, aga ka näiteks arvutiprogrammid töötajate tegevuse kontrollimiseks. Kuna tehnoloogilised võimalused arenevad kiiresti, peab seadus sellele arengule järele jõudma.
Samuti oleme soovitanud senist regulatsiooni täiendada tööandja õiguste osas töödelda töötaja delikaatseid ehk eriliiki isikuandmeid. Senine regulatsioon koosneb lisaks isikuandmete kaitse seaduse üldpõhimõtetele kahest töölepingu seaduse normist. Esiteks ei või töölesoovijalt küsida infot, mille suhtes tööandjal puudub õigustatud huvi (TLS § 11), teiseks peab tööandja austama töötaja eraelu ega tohi töökohustuste täitmist kontrollida viisil, mis riivab töötaja põhiõigusi (TLS § 28 lg 2 p 11). Need kaks sätet on aga võrdlemisi üldsõnalised ja vajavad üldmääruse kontekstis kindlasti täiendamist. Seetõttu oleme soovitanud töölepingu seadust eriliiki andmete töötlemise osas täpsustada.
Siia kuuluvad mitu küsimust alates sellest, kas ja kuidas on tööandjal õigus kontrollida töötajate joobeseisundit või kuidas võib tööandja kontrollida töökohustuste täitmist kuni selleni, kas ja milliseid tervisetõendeid on tööandjal õigus eri olukordades töötajalt endalt või ka arstilt-Haigekassalt küsida.
Tegu on problemaatiliste, ent paraku iga päev meie tööelu juurde kuuluvate küsimustega, mis on seni olnud ebaselged ja põhjustanud töösuhetes palju vaidlusi. Loodetavasti võtab ministeerium inspektsiooni soovitusi arvesse.
Millest juhinduda?
Nagu eelnevast järeldub, on määruse rakendamisega seoses veel paljud küsimused lahtised. Seda eriti töösuhete valdkonnas. Samas on 25. mai on kohe-kohe ukse ees ja ettevõtted peavad üleminekuks valmis olema. Millest tööandjad oma töökorralduslike küsimusi ja personalipoliitikat planeerides siis juhinduda saavad?
Esmalt tasub rõhutada, et andmekaitse aluspõhimõtted on siiski suures osas jäänud samaks. Ehkki täpsustusi võib veel tulla, ei tasu karta liiga kardinaalseid muudatusi. Teemaga kursis olemiseks tasub tutvuda Euroopa andmekaitseasutuste töögrupi arvamusega, Andmekaitse Inspektsiooni juhenditega ning värske infoga inspektsiooni kodulehel.
Töögrupi arvamus
Euroopa andmekaitseasutuste töögrupp võttis möödunud aasta suvel vastu arvamuse andmete töötlemise kohta töökohal. Selles dokumendis on põhjalikult käsitletud isikuandmete töötlemist just töösuhete kontekstis. Paralleelselt on välja toodud nii seni kehtinud andmekaitsedirektiivist (95/46/EÜ) tulenevad kohustused kui ka uuest isikuandmete kaitse üldmäärusest tulenev. Arvamus on tõlgitud ka eesti keelde, seega on seda mugav lugeda ka neil, kelle töökeeleks ongi peamiselt eesti keel ja kes võõrkeelsete tekstidega vähem kokku puutuvad. Materjal on kättesaadav nii Andmekaitse Inspektsiooni kui ka töögrupi kodulehel. Lihtsasti leiab selle ka pealkirja järgi otsides („Arvamus nr 2/2017 andmete töötlemise kohta töökohal“).
Millest juhinduda?
Andmekaitse Inspektsioon on välja andnud kaks juhendit isikuandmete töötlemise kohta töösuhetes. Üks neist on põhjalikum ja detailideni minev abistav juhendmaterjal, millest saavad juhinduda mõlemad töösuhte pooled, teine aga lühike spikker personalijuhile. Juhendid on esialgu veel määruse valguses värskendamata – riigisisesest rakenduspaketist võib veel tulla mõningaid nüansse, mida juhendite uuendamisel arvesse võtta. Kuna aga üldised põhimõtted on töösuhte kontekstis andmete töötlemisel jäänud samaks, saab neis toodud juhtnööre eeskujuks võtta ka seni. Mõlemad juhendid on kättesaadavad inspektsiooni kodulehelt www.aki.ee. Niipea kui juhend uuendatud, leiab sealt ka värske versiooni.
Värske info veebis
Andmekaitse Inspektsiooni kodulehel on eraldi rubriik reformiga seonduvate materjalide kajastamiseks. Sealt leiab värske info määruse tõlgendamise ja kujundatud seisukohtade osas. Samuti avaldame kodulehel vastuseid sagedasematele küsimustele, mis inimestel igapäevases tööelus andmekaitse kohta tekkida võivad.
Autor: Maire Iro, Andmekaitse Inspektsiooni avalike suhete nõunik
Andmekaitse alustalad on kindlalt paigas!
Ehkki uue määruse tulekut nimetatakse lausa reformiks, ei tule senistesse andmekaitse põhimõtetesse suuri muudatusi.
Isikuandmete kaitse üldmääruse ootuses on meediaväljaanded täis pealkirju uutest paindumatutest reeglitest ning hiiglaslikest trahvidest, mis kohe-kohe, 25. mai saabudes ukse ees ootavad. Tahan aga kõiki tööandjaid rahustada – ehkki ajaleheveergudelt võib jääda mulje, nagu oleks tegu kardinaalsete senist andmekaitseõigust põhjalikult ümberkujundavate muudatustega, siis tegelikult see kindlasti nii ei ole. Senise andmekaitseõiguse alustalad on kindlalt paigas ja kõik olulised seni kehtinud põhimõtted jäävad kehtima ka edaspidi.
Kindlasti ei pea liigselt muretsema tööandja, kel olid juba varem kõik andmetöötlusprotsessid põhjalikult läbi mõeldud ning kes seni oma töötajate privaatsust austas ja andmekaitse reegleid järgis. Rohkem peavalu on aga neil, kel ka praeguste reeglite järgi asjad korrast ära on. Teatud ettevalmistusi tuleb aga siiski teha kõigil.
Riskipõhine lähenemine
Uue määruse läbivaks jooneks on riskipõhine lähenemine. See tähendab, et mida tundlikum andmetöötlus, seda rangemad reeglid. Näiteks tööandjad, kes teavad, et neil on pidev kaameravalve, kelle töötajate liikumisi jälgitakse või kelle juures arvutite ja internetikasutust mingil põhjusel monitooritakse, need tööandjad peavad kindlasti oma töökorralduse ja andmetöötlusprotsessid läbi mõtlema. Samuti on juba pisut keerulisem neil, kelle puhul me räägime rahvusvahelisest keerulise struktuuriga ettevõttest, kus andmeid on vaja liigutada ühest riigist teise. Neil juhtudel tuleb igal tööandjal hinnata, kas kõik tema tegevused on põhjendatud ja andmekaitsepõhimõtetega kooskõlas.
Läbipaistvus
Teiseks oluliseks põhimõtteks isikuandmete kaitse üldmääruses on andmetöötluse läbipaistvus. Läbipaistvuse põhimõte eeldab seda, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Ehk teisiti öeldes peab töötaja aru saama, milliseid andmeid tööandja tema kohta kogub ja miks. Mida paremini on tööandja seda kõike oma töötajatele selgitanud, seda kindlamini saab ta vältida arusaamatusi ja võimalikke tülisid.