Edastamist vajav teave

Andmekaitse määruse artikli 4 punkti 11 kohaselt on järgmine oluline aspekt andmesubjekti nõusoleku küsimisel teadlik tahteavaldus. Selge viide teadliku nõusoleku andmise kohustusele tuleneb ka andmekaitse määruse preambula punktist 42, mis selgitab, et teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. See tähendab, et andmesubjektil peab olema enne otsuse tegemist piisavalt teavet. Teabe esitamise kohustust ei täideta aga mitte andmesubjekti taotlusel, vaid vastutav töötleja peab seda täitma proaktiivselt, sõltumata sellest, kas andmesubjekt tunneb kõnealuse teabe vastu huvi või mitte.¹⁹⁵ Teabe piisavuse üle saab otsustada aga ainult iga üksikjuhtumi puhul eraldi.

Andmekaitse töörühm on oma viimases nõusoleku nõudeid selgitavas juhises leidnud, et andmekaitse määrus tugevdab informeerimise kohustust. Andmekaitse määruse artikli 5 lõike 1 alusel on läbipaistvuse nõue üks põhiprintsiipe, mis on tihedalt seotud õigluse ja seaduslikkuse põhimõtetega. Andmesubjektidele teabe andmine enne nende nõusoleku saamist on oluline teadlike otsuste tegemiseks. Lisaks peavad nad mõistma, millega nad nõustuvad ja andmesubjektid peavad saama kasutada oma õigust nõusolekut tagasi võtta. Juhul, kui vastutav töötleja ei anna juurdepääsetavat teavet, ei saa andmekaitse subjekt omada kontrolli nõusolekute üle, mis võib muuta nõusoleku alusel töötlemise kehtetuks.¹⁹⁶

Andmesubjekti on vaja teavitada teatavatest elementidest, mis on valiku tegemiseks äärmiselt olulised. Andmekaitse määrusest tuleneb informeerimise kohustus artiklitest 12-14. Siin peab andmesubjekti informeerimisel eristama kahte olukorda. Esiteks, andmekaitse määruse artikkel

195 Fundamental Rights Agency, p 94.

196 Article 29 Data Protection Working Party. Guidelines on Consent Under Regulation 2016/679, p 13.

13 lõiked 1 ja 2 eristavad teavet, mis tuleb andmesubjektile edastada andmete kogumise hetkel ning teiseks tuleb hiljemalt ühe kuu jooksul edastada ka muu oluline teave.

Andmete kogumise hetkel tuleb artikli 13 kohaselt andmesubjektile esitada:

1) vastutava töötleja (ja asjakohasel juhul andmekaitseametniku) kontaktandmed;

2) töötlemise eesmärk ja õiguslik alus;

3) kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

4) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

5) asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile.

Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda.¹⁹⁷ Seega peab vastutav töötleja tagama, et nõusolek antakse teabe alusel, mis võimaldab andmesubjektil lihtsalt tuvastada, kes on vastutav töötleja ja mõista, millega ta nõustub. Vastutav töötleja peab selgelt kirjeldama andmetöötluse eesmärki, milleks nõusolekut taotletakse. Töötlejaid ei pea nimetama nõusolekus, kuid andmekaitse määruse artiklite 13 ja 14 järgimiseks peavad vastutavad töötlejad esitama täieliku nimekirja andmete saajatest.¹⁹⁸ Võttes eelneva kokku, on kõige olulisem teave alati info sellest kes, milleks ja mille alusel töötleb.

Vastutavad töötlejad peaksid esitama koos iga nõusoleku taotlusega info, mis käsitleb iga eesmärgi jaoks eraldi töödeldavaid andmeid, et andmesubjektid saaksid teadlikuks nende erinevate valikute mõjust. Sellega võimaldatakse andmesubjektidel anda teadlik nõusolek.¹⁹⁹ Hiljemalt ühe kuu jooksul tuleb andmesubjektile andmekaitse määrus artikli 13 lõike 2 alusel edastada info isikuandmete säilitamisest, andmesubjekti õigustest, kaebuse esitamise õigusest, teave selle kohta, kas andmete esitamine on vajalik seaduse või lepingu täitmise jaoks ning andmete mitte-esitamise tagajärgedest ning teave automaatsete otsuste kohta. Andmekaitse määrus ei keela infot esitamast ka kohe. Kui andmed ei pärine andmesubjektilt, tuleb asjakohasel juhul teavitada isikut ka õigustatud huvist ning andmete päritoluallika kohta.

197 Andmekaitse määruse preambula punkt 42.

198 Article 29 Data Protection Working Party. Guidelines on Consent Under Regulation 2016/679, p 14.

199 Ibid, p 13.

Kui ettevõte küsib nõusolekuid kahe erineva eesmärgi jaoks, peab nendest mõlemast isikuandmete töötlemise eesmärgist andmesubjekti teavitama. Näiteks kolmandatele isikutele pakkumiste saatmiseks ning käitumispõhise reklaami pakkumiseks.²⁰⁰

Lisaks tulevad mõned täiendavad nõuded veel ka teistest sätetest. Nimelt sätestab andmekaitse määruse artikkel 7 lõige 3 kohustuse isikut teavitada tema õigusest nõusolek igal ajal tagasi võtta. Automatiseeritud töötluse puhul on vajalik teave andmete automatiseeritud otsuste, sealhulgas profiilianalüüsi kohta (andmekaitse määruse art 13 lg 2 p f). Andmekaitse töörühm märgib, et sõltuvalt asjaoludest ja kontekstist võib olla vaja rohkem teavet, et andmesubjektil oleks võimalik töötlemistoimingutest tegelikult aru saada.²⁰¹ Eelnev olukord võib tekkida juhul, kui isikuandmete töötlemine on tavapärasest mahukam või ka siis, kui töödeldakse isikuandmeid, mille töötlemise tagajärgi tavaisik ei pruugi mõista (näiteks geneetiliste andmete töötlemine). Seega eeltoodud info pole lõplik.

Kui isikuandmeid töötleb mitu töötlejat (kaasvastutavad töötlejad), tuleb kõikide töötlejate kontaktandmed andmesubjektile välja tuua, kui mõlemad töötlejad tuginevad nõusolekule.²⁰² IKS-is on samuti ette nähtud kohustuslik teave, mida töötleja peab nõusolekus esitama. IKS § 12 lõige 1 sätestab, et nõusolekus peavad olema selgelt määratletud andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ning isikud, kellele andmete edastamine on lubatud, samuti andmete kolmandatele isikutele edastamise tingimused ning andmesubjekti õigused tema isikuandmete edasise töötlemise osas.

Andmesubjekti õigused on sätestatud IKS-i kolmandas peatükis. Selle kohaselt tuleb teavitada andmesubjekti veel õigusest saada teavet, õigusest nõuda töötlemise lõpetamist, parandamist, sulgemist ja kustutamist, õigusest pöörduda Andmekaitse Inspektsiooni ja kohtu poole ning õigusest nõuda kahju hüvitamist. Seega on nõusoleku teadlikkuse kriteerium kajastatud ka kehtivas IKS-is. Kehtiv regulatsioon erineb aga andmekaitse määrusest selles osas, et määrus eristab nõusolekut ja nõusoleku küsimiseks esitatavat teavet aga IKS-i järgi moodustab kohustuslik informatsioon justkui nõusoleku osa. Kui nõusolekust oli mingi oluline teave välja jäänud, võis sellega IKS-i kohaselt saabuda kohe nõusoleku tühisus. Samas see ei tähenda, et andmekaitse määruse alusel olulise teabe välja toomata jätmine, ei võiks tuua nõusoleku tühisust kaasa.

200 A. Bussche, P. Voigt. The EU General Data Protection Regulation, p 97.

201 Article 29 Data Protection Working Party. Guidelines on Consent Under Regulation 2016/679, p 14.

202 Ibid.

Lisaks tulevad nõuded kohustusliku teabe osas ka IKS § 12 lõikest 3, millest tulenevalt peab ettevõte enne teatavaks tegema isikuandmete töötleja või tema esindaja nime ning isikuandmete töötleja aadressi ja muud kontaktandmed. Kui isikuandmeid töötlevad vastutav töötleja ja volitatud töötleja, siis tehakse teatavaks või kättesaadavaks vastutava ja volitatud töötleja või nende esindajate nimed ning vastutava ja volitatud töötleja aadressid ja muud kontaktandmed.

Eestis täna kehtiva regulatsiooni tõlgendamisel on Andmekaitse Inspektsioon viidanud sellele, et andmesubjekti nõusolek peab olema informeeritud. Informeerituse eesmärk on tagada, et andmesubjekt saab teabest aru, mis võimaldab tal teha informeeritud otsuseid. See tähendab, et andmesubjektile esitatav teave peab olema lihtsalt mõistetava keelekasutusega.²⁰³ Eelnevast saab järeldada, et informeeritus ja teadlikkus on printsiibis sama tähendusega.

Võrreldes kehtiva IKSi-ga tuleb andmesubjekti täiendavalt teavitada näiteks töötleja ja andmekaitseametniku kontaktandmetest, isikuandmete säilitamise ajavahemikust või säilitamise kriteeriumitest, töötleja õigustatud huvist ning õigusest võtta nõusolek tagasi.

Samas sõltub osa kohustusliku teabe esitamise vajaduse mahust konkreetsest olukorrast, kuna artiklite 13 ja 14 kohaselt ei tule kogu teavet esitada iga kord, vaid üksnes asjakohasel juhul.

Seega suureneb andmekaiste määrusega esitatava teabe maht sõltuvalt sellest, kas tegemist on erandjuhtumiga, mil andmekaitse määrus näeb ette täiendava teabe esitamise kohustuse. Lisaks eristab andmekaitse määrus erinevad teabe esitamise nõuded sõltuvalt sellest, kas andmed on kogutud andmesubjektilt või saadud mujalt. Näiteks, kui andmed pole kogutud andmesubjektilt, tuleb esitada teave selle kohta, kust andmed pärinevad (andmekaitse määruse art 12 lg 2 p f).

Teabe loetelu on aga väga pikk ning ettevõtetel võib olla keeruline jälgida, millise isikuandmete töötlemise juhtumiga on tegemist ning sellest tulenevalt jälgida, milline on edastamiseks vajalik teave. See võib kaasa tuua olukorra, kus igaks juhuks esitakse andmesubjektile ka erandolukorda puudutav teave, koormates seeläbi andmesubjekti mahukate teabelehtedega.

Uus isikuandmete kaitse seaduse eelnõu eristab teavet, mis tuleb andmesubjektile kättesaadavaks teha veebilehel või muul andmesubjektile kergesti juurdepääsetavas asukohas teabest, mis tuleb anda siis, kui seaduses on sätestatud kohustus teavitada andmesubjekti tema isikuandmete töötlemisest.²⁰⁴

203 Andmekaitse inspektsioon. Informeeritud nõusolek isikuandmete töötlemiseks. 01.03.2013. Kättesaadav:

http://www.aki.ee/et/mida-peab-teadma-isikuandmete-tootlemisest/informeeritud-nousolek-isikuandmete-tootlemiseks.

204 2018 a. isikuandmete kaitse seaduse eelnõu, § 25 ja § 26.

Kohustusliku informatsiooni, millest andmesubjekti peab isikuandmete töötlemiseks nõusoleku küsimisel teavitama, on üle võetud andmekaitse määrusest ka uude IKS-i. 2018. a. IKS-i eelnõu kohaselt tuleb teha kättesaadavaks teave, mis puudutab töötlemise eesmärki, andmete parandamise, kustutamise või piiramise õigusi ja õiguste teostamise korda, vastutava töötleja ning andmekaitseametniku nime ja kontaktandmeid, Andmekaitse Inspektsiooni kontaktandmeid ja kaebuse esitamise õigust (2018. a. IKS-i eelnõu § 25). Andmesubjekti teavitamisel seadusest tuleneva kohustuse korral tuleb lisaks eelnevale teabele esitada veel töötlemise õiguslik alus, andmete säilitamise tähtaeg, vastuvõtjate kategooriad, kellele on lubatud edastada isikuandmeid ning muu asjakohane teave (2018. a. IKS-i eelnõu § 26). Sellega ei muutu põhimõte, et üldiselt tuleb teavitada sellest, et kes, milleks ja mille alusel isikuandmeid töötleb. 2018. a. IKS-is on §-des 25 ja 26 kokku võetud ka muu andmekaitse määrusest tulenev kohustuslik informatsioon, millest andmesubjekti peab teavitama, nagu näiteks erinevad õigused (parandamine, kustutamine, piiramine), säilitamise aeg, vastuvõtjate kategooriad. Kuna andmekaitse määrus on otsekohalduva iseloomuga, on see regulatsioon siiski rohkem deklaratiivne.

Sõltuvalt olukorrast, tuleb ettevõtjatel seega hoolega jälgida, millist teavet on kõnealuses situatsioonis vaja kliendile enne nõusoleku andmist edastada, kuna isikuandmete senise regulatsiooniga võrreldes on andmekaitse määrus suurendanud kohustust vajaliku teabe osas, mis tuleb andmesubjektile nõusoleku küsimisel edastada. Kuna 2018. a. IKS-i eelnõus on võetud esitatav teave üle andmekaitse määrusest, saab võtta muutuse hindamisel arvesse eelnevalt tehtud võrdlust kehtiva IKS-i ja andmekaitse määruse vahel.