Eesmärgipärane töötlemine ja eesmärk kui töötlemist piirav element

GDPR-i artiklis 1 on sätestatud kolm põhimõtet, mis autori hinnangul on sisuliselt võimalik kokku võtta ühe põhimõttena – eesmärgipärasuse põhimõte. Määruses on need sätestatud kui eesmärgi piirangu põhimõte²⁸⁸, võimalikult väheste andmete kogumise põhimõte²⁸⁹ ehk minimeerimise põhimõte ja õigsuse põhimõte.²⁹⁰ Kõik nimetatud deklareerivad andmetöötleja kohustust isikuandmete töötlemisel mitte väljuda eesmärkidest, milleks andmed algselt koguti ja tunnustavad andmesubjekti õigust isikuandmete kogumise eesmärgi vastu eksiva töötlemise keelamist nõuda. Kokkuvõtlikult võiks seda põhimõtet väljendada järgmiselt: Isikuandmeid

285 GDPR artikkel 13(1b), 13(2f), 14(1b) ja 14(2g)

286 Rakendusotsus 2016/1250 lisa 2 II lisa; Põhimõtted – teade; punktid ix, xi; lk 50

287 Rakendusotsus 2016/1250 lisa 2 II lisa; Põhimõtted – juurdepääs, lk 51

288 GDPR artikkel 5(1b)

289 GDPR artikkel 5(1c)

290 GDPR artikkel 5(1d)

68 võib koguda ja töödelda vaid täpselt ja selgelt kindlaksmääratud ning õiguspäraste eesmärkide saavutamise ulatuses ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus.

Sellest tuleneb ka otseselt kohustus hoida isikuandmed õiged ja ajakohastatud ning rakendada meetmeid, mis tagaksid eesmärgi seisukohast ebaõigete isikuandmete kustutamise ja parandamise (ehk õigsuse põhimõte).

Eesmärgipärasuse põhimõtte tagamiseks on GDPR-is sätestatud andmesubjektile õigus nõuda andmete parandamist (artikkel 16), kustutamist (artikkel 17) ning isikuandmete töötlemise piiramist (artikkel 18).

PS põhimõtetes on eesmärgipärasuse põhimõte esindatud andmete terviklikkuse ja eesmärgi piiramise põhimõttes ning juurdepääsu põhimõttes. Neist nähtuvalt peavad töödeldavad isikuandmed olema piiratud ulatusele, mille eesmärgiks need koguti või milleks isik hiljem loa andis. Eesmärkidest lähtuvalt peab töötleja võtma mõistlike meetmeid tegemaks et isikuandmed on kavatsetud kasutamiseks usaldusväärsed, täpsed, täielikud ja ajakohased.²⁹¹ Juurdepääsu põhimõte kohustab töötlejat andma andmesubjektile võimalus andmeid parandada, muuta ja kustutada, kui need on ebatäpsed või neid on töödeldud vastuolus põhimõtetega.²⁹² PS täiendavate põhimõtetega on sätestatud eraldi tingimused, kuidas juurdepääsu põhimõtet rakendama peaks.²⁹³

PS põhimõtetes on andmete parandamise, kustutamise, muutmise ja andmetega tutvumise õigus sätestatud ühe põhimõtte all sellisena, et töötlejal on õigus keelduda kõigi nimetatud alustel esitatud nõuete täitmistest samadel alustel. Esiteks on sätestatud, et nimetatud nõudeid saab andmesubjekt esitada, kui tema isikuandmed on ebatäpsed või neid on töödeldud vastuolus PS põhimõtetega. Juurdepääsu võimaldamisest võib keelduda, kui see on ebaproportsionaalselt tülikas või kulukas või kui juurdepääs rikuks teiste isikute õigusi. Tülikus ja kulukus on olulised tegurid, mida tuleks arvesse võtta vaid siis, kui need ei ole otsustavad tegurid juurdepääsu võimaldamise mõistlikkuse üle otsustamisel.²⁹⁴

Selline väljendusviis PS põhimõtetes ei vasta GDPR-is sätestatule seetõttu, et vastavad andmesubjekti õigused on määruses sätestatud eraldi ning ka andmetöötlejatele on ettenähtud erinevad võimalused vastavatest nõuetest keeldumiseks. Näiteks andmete parandamise õigus peaks olema sätestatud universaalselt, ehk olukorras, kus andmesubjekt saab teada, et tema

291 Rakendusotsus 2016/1250 lisa 2 II lisa; Põhimõtted – andmete terviklikkus ja eesmärgi piiramine; punkt a; lk 51

292 Rakendusotsus 2016/1250 lisa 2 II lisa; Põhimõtted – juurdepääs; lk 52

293 Rakendusotsus 2016/1250 lisa 2 II lisa; Täiendavad põhimõtted – juurdepääs; lk 57

294 Rakendusotsus 2016/1250 lisa 2 II lisa; Põhimõtted – juurdepääs; lk 52

69 isikuandmed, mis on töötleja valduses, on ebaõiged, peaks töötleja andmesubjekti nõudmise korral andmeid parandama tingimusteta.

PS täiendavates põhimõtetes on pühendatud mitme leheküljeline osa juurdepääsu põhimõtte rakendamisele, kuid sealt nähtuvalt käsitletakse peamiselt vaid isiku õigust oma andmetega tutvumiseks ehk täiendavates põhimõtetes on juurdepääsu põhimõttel PS üldistes põhimõtetes sätestatust kitsam tähendus. Selles mõttes on GDPR artiklist 15 tulenev andmesubjekti õigus oma andmetega tutvuda samaväärne PS põhimõtetes ja PS täiendavates põhimõtetes sätestatuga, kuid parandamise, kustutamise ja töötlemise piiramise õigus on jäänud laiemalt avamata.

Selline ebatäpsus võib tipneda andmetöötlejate poolt andmesubjektide esitatud kustutamise, parandamise ja töötlemise piiramise nõuete täitmisest keeldumisega alustel, mis GDPR-i kohaselt on keeldumise aluseks vaid juurdepääsu nõude täitmisest.

Google’i privaatsustingimustes nähtubki, et Google jätab endale õiguse vale teabe muutmisest või kustutamisest keeldumiseks, kui teabe valel kujul säilitamiseks on ettevõttel „seaduslikud ärilised või õiguslikud“ eesmärgid.²⁹⁵ Kuna Google Inc. on USA äriühing, ei ole andmesubjektidele ettenähtav, millised nimetatud seaduslikud ärilised ja õiguslikud eesmärgid olla võivad. Veelgi enam, seaduslikud ärilised eesmärgid võivad osutuda äärmiselt laiaks määratluseks, näiteks võiks selle alla liigitada ettevõtlusvabaduse vms õigused. Autori hinnangul on EL-i andmekaitseõigusest ja täpsemalt GDPR artiklist 16 tulenev õigus valede isikuandmete parandamiseks kategooriline andmesubjekti õigus, mille tunnustamata jätmine võib andmesubjektile kaasa tuua olulist kahju, kuna mõjutab oluliselt isiku enesemääratlusõigust ja võib soodustada näiteks laimu levitamist.

GDPR artiklis 17 sätestatud õigus andmete kustutamisele on oluline täiendus EL-i andmekaitseõiguse positiivses õiguses, mis osati on deklareeritud määruses just võrgukeskkonnas toimuvat isikuandmete töötlemist silmas pidades,²⁹⁶ seda tüüpi töötlemine Privacy Shield programmi puhul on küllaltki asjakohane.

PS põhimõtete kohaselt on andmesubjektil õigus nõuda kustutamist siis, kui andmed on ebatäpsed või neid on töödeldud PS põhimõtetega vastuolus. Nagu nähtus käesoleva töö alapeatükist 2.2.1.1.1 on teatud juhtudel võimalik, et Privacy Shield ettevõte töötleb andmesubjekti isikuandmeid ilma seadusliku aluseta. Kui selline töötlemine lähtub isikuandmete kogumise eesmärkidest, ei ole võimalik andmesubjektil seega nõuda andmete

295 Google’i privaatsuseeskirjad – Juurdepääs isiklikule teabele ja selle värskendamine

296 GDPR preambuli punkt 66

70 kustutamist, nagu GDPR-i artikkel 17(1d) seda võimaldab. Kuna PS põhimõtted ei käsitle eraldi lapse isikuandmete töötlemist, ei ole võimalik isikuandmete kustutamist nõuda, kui lapse esindaja seda nõuab, nagu võimaldab GDPR artikkel 17(1f). Seega ei võimalda PS põhimõtted andmesubjektile GDPR-is sätestatuga võrdväärset isikuandmete kustutamise õigust.

GDPR artikkel 18 kohaselt on andmesubjektil õigus teatud õigustatud huvi olukordades nõuda töötlejalt isikuandmete töötlemise piiramist. Näiteks isikuandmete õigsuse vaidlustamise korral võib andmesubjekt nõuda töötlemise piiramist, kuniks vaidlustus on lahendatud, ka võib ta nõuda, et töötleja ei kustuta andmeid kui töötleja neid enam töötlemise eesmärkide täimiseks ei vaja, kui subjektil on neid andmeid vaja õigusnõude koostamiseks, esitamiseks või kaitsmiseks jne.²⁹⁷ Selline nõudeõigus ei ole PS põhimõtete osaks.