Selgesõnalisus

Andmekaitse määrusest tuleneb lisaks eelmises peatükis sätestatud nõusoleku tingimustele teatud juhtudel täiendavalt sõnaselge nõusoleku esitamise nõue. Andmekaitse määruse alusel peab nõusolek olema sõnaselge isikuandmete eriliikide töötlemisel (artikkel 8 lõige 2 punkt a), andmete edastamisel kolmandatesse riikidesse või rahvusvahelistele organisatsioonidele, kui puuduvad piisavad tagatised (artikkel 49) ja automatiseeritud otsusete, sealhulgas profileerimise puhul (artikkel 22).

Andmekaitse määrus ei selgita, mida selgesõnaline nõusolek tähendab. Lisaks on seda keeruline eristada ühemõttelisest nõusolekust. Õiguskirjanduses on asutud seisukohale, et selgesõnaline nõusolek (ing. k explicit consent) artikli 8 mõistes ja otsene tahteavaldus (ing. k express consent), mis on oluline ühemõttelise nõusoleku juures, omavad juriidiliselt sama tähendust.

See hõlmab kõiki olukordi, kus üksikisikutele esitatakse ettepanek nõustuda või mitte nõustuda

254 Article 29 Data Protection Working Party. Opinion 15/2011 on the definition of consent, p 21.

255 P. Varul. TsÜS komm, lk 221.

256 Ibid, lk 222.

nende isikuandmete konkreetse kasutamise või avalikustamisega ning nad vastavad nõusoleku päringule aktiivse tegevusega suuliselt või kirjalikult.²⁵⁷ Vahe tegemine selgesõnalisuse ja ühemõttelisuse vahel on keeruline ka seetõttu, et ka andmekaitse määruse artiklis 7 toodud nõusoleku nõudeid kohaldatakse ka selgesõnalise nõusoleku andmisel.²⁵⁸

Põhiline erinevus nõusoleku selgesõnalisuse ja ühemõttelisuse vahel seisneb õiguskirjanduses toodu kohaselt selles, et selgesõnaline nõusolek tuleb ka selgesõnaliselt (suuliselt või kirjalikult) kinnitada. Nõusoleku definitsioonist tuleneb, et nõusoleku saab anda kas avalduse vormis või selge nõusolekut väljendava tegevusega. Selgesõnalise nõusoleku andmiseks sobib aga üksnes avalduse vorm.²⁵⁹ Nõusolekut väljendav tegevus, nii nagu ühemõttelise nõusoleku juures, ei ole seega selgesõnaline nõusolek, mida saaks näiteks eriliigiliste isikuandmete töötlemiseks kasutada.Seega on siin erinevus nõusoleku ühemõttelisuse kriteeriumiga, kuna ühemõttelist nõusolekut saab tegevusega anda juhtudel, mis ei vaja selgesõnalist nõusolekut.

Seega tähendab selgesõnalisus, et nõusoleku nõuded pole täidetud nõustumust kinnitava teksti

juurde märke tegemisega selleks ette nähtud kasti või

e-posti aadressi sisestamisega vajalikku lünka. Seeläbi muutub ettevõtete jaoks veel keerulisemaks isikuandmete töötlemine olukordades, kus nõutakse selgesõnalist nõusolekut.

Üheks võimaluseks on ettevõttel mõelda välja lause, milles oleks selgesõnalisuse nõue täidetud ning paluda see juhul, kui klient töötlemisega nõustub, selgesõnalisuse kindlustamiseks ka omakäeliselt välja kirjutada. Kindluse tagab veel enamgi, kui eelnevalt toodud olukorras kirjalik avaldus ka andmesubjekti poolt allkirjastatakse. ²⁶⁰ Samas võiks autori hinnangul selgesõnalisuse nõue olla täidetud ka juhul, kui andmetöötleja annab ise nõusoleku sisu ette ning kliendi ülesandeks jääb see üksnes allkirjastada.

Internetis saab selgesõnalist nõusolekut anda elektroonilist vormi täites, mille lõpus antakse selgesõnaline nõusolek digitaalallkirja abil. Samas ei tähenda see, et selgesõnalist nõusolekut saab anda üksnes kirjalikus vormis või allkirjaga.²⁶¹

Selgesõnalise nõusolekuga on tegemist ka kahe-etapilise kinnituse (ingl. k. double opt-in) juures.²⁶² Kahe-etapiline kinnitus on nõusoleku andmise viis, millega andmesubjekt esmalt annab nõusoleku ning hiljem kinnitab selle üle. Näiteks kui klient annab andmete töötlemiseks nõusoleku sisestades enda e-posti aadressi, saadab töötleja andmesubjektile kinnituseks e-kirja

257 Article 29 Data Protection Working Party. Opinion 15/2011 on the definition of consent, p 25.

258 Information Commissioner’s office. Consultation: GDPR consent guidance, p 24.

259 Ibid, p 24.

260 Article 29 Data Protection Working Party. Guidelines on Consent Under Regulation 2016/679, p 18.

261 Ibid.

262 Ibid, p 19:

või SMS-i, mis sisaldab linki. Ainult siis, kui klient lingi avab ning oma andmed kinnitab, on kahe-etapiline nõusolek antud.²⁶³ Kahe-etapiline kinnitus on eriti oluline just nõusoleku küsimisel internetis, kuna andmekaitse määrus ei sätesta selle saamise jaoks formaalseid nõudeid. Sellisel viisil saab ettevõte olla kindel, et keegi ei väärkasuta andmesubjekti e-posti aadressi ehk ei esine kellegi kolmandana.²⁶⁴

Samas kui andmekaitse määruse tõlgenduste kohaselt tuleb ettevõtetel hakata nõusolekuid küsima kahe-etapiliselt, suurendab see ettevõtete halduskoormust, kuna see tähendab põhjalikumat süsteemi üles ehitust. Lisaks loob kahe-etapiline süsteem täiendava kontrollikohustuse. Teisalt on see süsteem vajalik selleks, et ettevõtted saaks siiski nõusoleku olemasolus kindlad olla. See aga näitab, kui põhjalike meetmeid ettevõtted peavad ette võtma, et saada internetis andmesubjektilt selgesõnaline nõusolek.

Töö autori hinnangul on sellise eraldi instituudi kehtestamine põhjendamatu, kui selle ainuke sisulise vajadus ja toime on nõusolekule justkui vorminõude kehtestamine, kuna eelnevast saab järeldada, et selgesõnalise nõusoleku jaoks on vaja kirjaliku tahteavaldust juhul. Kui nõusolek võetakse kahe-etapilise kinnitusena, siis tuleb kinnitus anda vähemalt kirjalikku taasesitamist võimaldavas vormis. Kuna käesoleval juhul on vorminõue peidetud vormireeglile mitte viitava kriteeriumi taha, võib selgesõnalisuse nõude selline kohaldamine olla ettevõtetele segadust tekitav.

Eesti kehtivas regulatsioonis ei näe IKS ette selgesõnalise nõusoleku nõuet määruses toodud juhtumite töötlemisel. Automatiseeritud otsuste tegemise kohta näiteks puudub IKS-is viide sellele, et seda võiks teha nõusoleku alusel (IKS §-d 17 ja 18). Kolmandatesse riikidesse edastamine on lubatud IKS § 18 lõike 5 punkti 1 alusel, kuid seejuures ei nähta nõusolekule ette täiendavaid nõudeid. Täiendav nõue on ette nähtud üksnes delikaatsete isikuandmete töötlemiseks, mille kohaselt tuleb andmesubjektilt tuleb saada nõusolek kirjalikku taasesitamist võimaldavas vormis (IKS § 12 lg 4). Kui nõusolek tuleb võtta uue regulatsiooni kohaselt kirjalikult või kahe-etapilise kinnitusena, on tegemist uue nõudega, mida tuleb ettevõtetel kohaldama hakata. Selgesõnalisuse nõude praktiline tähendus jääb aga ilmselt piiratuks, kujutades endast vaid peidetud täiendavat vorminõuet kehtivale nõusolekule.

2018. a. IKS-i eelnõu ei selgita selgesõnalisuse nõudeid, mistõttu tuleb lähtuda andmekaitse määruse alusel tõlgendatud seisukohast.

263 A. Bussche; P. Voigt. Data protection in Germany: including EU General Data Protection Regulation. Berlin:

Springer 2018, p 40.

264 A. Bussche, P. Voigt. The EU General Data Protection Regulation, p 93.